(Mastodon)スパマーとの終わりなき戦い #1

突然ですが、スパムは好きですか？わたしは嫌いです。

といっても、ランチョンミートのことではありません。無差別に広告メールを送りつけたりする方のスパムです。

他人のリソースを奪い、時に訴訟リスクすら与える、ある意味テロリズムだと考えています。

わたしはMastodonというOSSのマイクロブロギングサイトをホストしているのですが、開設以来、ずっとスパマーによるスパムに悩まされてきました。

スパマーはどこからやってくるのか？

どこからやってきたか、というところは追えないので、あくまで推測ですが

・検索エンジン経由で

検索エンジンで、たとえば「Mastodon」というキーワードで検索し、ヒットしたところにアカウントを開設してスパム投稿を行う。

ある意味正統派というか、普通のやり方ですね。。。

しかし機械化できる部分が少ないので、スパマー側から見れば非効率的なのだろうと思います。

・サーバ一覧サイト経由で

Mastodonというソフトそのものは、いまのところ知名度はあまり高くありません。そして、各々が好きにホストできるものなので、一般のユーザーから見ても自分に合ったMastodonサーバーを探すのは困難です。

そのため、公式・非公式のサーバ一覧サイト（ディレクトリ）が存在します。

それらのデータを用いれば、機械的にサインアップすることが可能となり、スパマーから見れば効率的に活動ができるんだと思います。

また、Mastodonだけの機能ですが、Mastodonの内部コマンドを用いることでサーバの探索ができます。悪意のあるMastodonサーバ管理者であれば、それをデータソースとして利用できると思います。

これまでに観測したスパマーの傾向

（これどこまで公開していいのか悩みますね）

2019年12月～2020年2月末までの期間、明らかにスパム登録だろというアカウントのアクセス元を記録し調査した結果、アジア・アフリカ・ヨーロッパ諸国の特定のプロバイダから送られてくるものが大半だということが分かりました。

また、使用するユーザ名のパターン、メールアドレスから見て、同一人物（あるいは組織）によるスパム活動だと推測しました。

大量作成されたアカウントの活動についてですが、実際に悪用される前に対処を行うことができていたため、目立った活動はみられませんでした。

このスパマーの目的については不明ですが、大量にアカウントを保有することで、特定のサーバに対して大量にスパムを送りつけたり、DDoS攻撃を行ったりといったことが可能になると思われます。

あるいは、Mastodon登録時に確認メールが送られますが、外部のメール配信サービスを利用している場合、大量に登録して確認メールを送らせることで、クォータを超過させてそれ以上送れなくしたり、従量課金プランの場合は、より料金を吹っ掛けたりできることになります。悪質です。。。

スパムへの対処

あいにく（？）きちんと管理していましたので、大量アカウントが生成される度に削除することで対応していましたが、それも大変な作業でした。

そこで、Webサーバのアクセス制限機能を使ってアクセス拒否をしていましたが、それでもいたちごっこ状態が続いていたため、新規登録を禁止し、招待リンク制とすることで落ち着きました。

通常、Webサービスにおいては、reCAPTCHAなどのロボット除けが使われます。しかしMastodonに導入するには改造が必要となるため、導入を見送りました。

対処はちゃんとしないとヤバイかも

現在のところ、実害が出る前に封じ込めに成功しましたが、今後もスパム対策を行っておくべきだと考えます。

冒頭に書いた通り、「自分のサーバのリソースが不当に浪費され」、「他サーバに害をなす可能性が存在し」、「違法な活動が行われることにより、法的リスクを抱える可能性を捨てきれない」ためです。

Mastodonならびに他実装の管理者、また開発に携わっている皆様おかれましては、スパム対策について前向きに検討して頂ければ幸いでございます。

（了）