見出し画像

【Discord】いいBotばかりではないということ

【2022/11/27更新 詳細は最下部】

人間が行えることを代替し、高速に処理できるBot。それを作成し使用できるのはDiscordの大きな長所の一つです。

Discordの過去のブログにも「BotはDiscordにとって無くてはならないもの」との記述があります。

24時間体制で怪しいスパムを削除したり、IRCやMinecraft、他のDiscordサーバーとチャットを共有したりと多種多様な役に立つBotが存在しています。

一方で、害を与えるBotも少数ながら存在しています。
今回はそんな便利なBotの裏にスポットを当てて、実情と対策を書いていきます。

1. 開発者が悪意を持っているBot

・便利だからこのBotをサーバーに招待してほしい
・Botを招待してくれたら無料で〇〇をあげる

といったメッセージを送られたらまずは疑ってみるべきです。

知らないBotを管理者権限をつけて招待したら、チャンネルを消されてメンバーをBANされたというケースもあります。

Botはサーバーに関するあらゆる権限をなくしてもダイレクトメッセージを送ることができるので、Discordのアカウント名やパスワードを抜き取るためのリンクやファイルを送ることができ、サーバー管理者から見えにくい部分で被害を起こす場合もあります。

有名なBotを名乗っていてもプロフィール画像と名前が同じなだけで中身は全く別物だったというケースもあります。


2. 乗っ取られたBot

DiscordアカウントとBotには必ず「トークン」と呼ばれる一種のパスワードがついています。

外部からこのトークンを知ることは不可能なのですが、何らかの形で流出してしまうと乗っ取られてしまいます。

乗っ取られたBotは以前と違う挙動をさせることができるため、そのBotをサーバーに入れていると悪さされる可能性が飛躍的に高まります。

ストップ!!!

パソコン版アプリでctrl+shift+iキーを押してコンソールを開くと上のようなメッセージが出てきます

冗談めいたメッセージですが、コンソールにはアカウントのトークンも記述されているため議論の余地のない事実です

Botの場合、開発者がネットやサーバーにトークン入りのソースコードを載せた結果、悪意のある人物に見つかってしまい乗っ取られるという事例は少なくありません。

なお、Githubに掲載した場合はトークンが検出され次第Discordに報告され無効化されるようです。


3. 対策


・怪しいメッセージ、ファイル、Botは無視する

触らぬ神に祟りなし。知識があっても調べないようにしましょう。


・Botを導入する際はApp directory、もしくは公式サイトから

サーバー設定にあるApp directoryからBotを導入しましょう。

いくつのサーバーで使われているBotなのかも確認できるので偽物を導入してしまう可能性も減らせます。

また、有名なBotの多くは公式サイトを持っているのでそちらのリンクからBotを導入しましょう。

公式サイトが無くてもサポートサーバーに入ることでBotのアカウント名が正しいことや認証つきBotであることが確認できます。


・Discordをよく知らない運営メンバーにBotを導入する権限を与えない

悪意のあるBotを導入してしまう事例では、ほとんどの場合運営メンバーのミスが原因です。

「サーバーの管理」「管理者」の権限を無くすことでBotを導入できなくなります。

関係性を考えると難しい措置になるとは思いますが、サーバーのことを第一に考えるのであれば絶対にやったほうがいいです。

新たにBotを導入する際には運営メンバーで必ず話し合う仕組みを作っておくのも効果的でしょう。


・トークンの入力、扱いは慎重に

トークンをなにかに入力するのはやめましょう。すべてが終わったあとに気付いたのでは遅いです。

特にBot開発者の方は日ごろからトークンが直接見えないようなソースコードにしておくのが大事です。

なお、アカウントのトークンであればパスワード変更と共にリセットされますのであやしいと思ったら最後の手段として使ってみましょう→参考


・Botの権限は必要最小限にしておく

それでも見抜けなかったときの被害を小さくするため、Botへは必要な権限だけを与えておきましょう。

管理者権限を直接要求するBotは疑いましょう。権限がなければBotができることは限られます。

権限って何?設定方法がわからないという方はこちらをどうぞ。


解説は以上です。
よきDiscordライフを!


この記事はManagementSupportServerに提供しています


 Discord専門サーバーのUnofficial-JP-Discordをよろしくお願いします
 Twitterでも豆知識や最新情報などを載せています


2020/6/28 Botの権限とダイレクトメッセージの関係が間違っていたため修正
2020/11/29 Githubのトークンスキャニング、アカウントのトークン変更方法について記載
2022/11/27 App Directoryについて記載

この記事が気に入ったらサポートをしてみませんか?