プロフ見てスパムのブロックはスパム撲滅に繋がるのか

背景

先日、X で「スパムをブロックして攻撃者に要素を与えるべきではない」という主張をポストしたら普通に懇意にしていたフォロワーさん達からブロックやブロ解を受け、その方達が「スパム受け入れなんて非常識だからお別れしたわ(意訳)」のようなやり取りを行なっていることを目撃した。もうその方達との仲が戻ることはないしこの記事を読まれることもないと思うが、明らかに私の言葉足らずが招いた悲劇であると思うので、本記事ではスパムの取り扱いに関する私の考えだけを明確に述べておこうと思う。

結論

ユーザーの行動データ解析や収集を業務の1つとしている私個人の見解としては、ユーザーの反応は攻撃者のデータ資産となり、そのデータ資産は販売されたり詐欺に使われたり高品質なスパムへの成長に使われたりするので、スパムをブロックすることはスパムの撲滅に逆効果であり、攻撃者にデータ資産を与えないためには通報だけして反応しないことが最適だと考えている。その詳しい理由について本記事で解説する。

定義

スパム

本記事においては、X で無差別に「プロフ見て」のようなリプライを送ってきたり、無差別にフォローして bio に怪しいリンクを設置している bot を「スパム」と呼ぶ。俗に言うインプレゾンビ等については本記事で言及しない。

攻撃者

そのスパムアカウントを作成して何かしらの目的を達成しようとしている人間を「攻撃者」と呼ぶ。また、攻撃の目的は攻撃者によって千差万別と仮定し、目的の可能性を想像した話をする。

ブロックの意義

まず断っておきたいのは、私の主張は「逆効果だからブロックするな」ではないということだ。「ブロックしていない人を攻撃するな」ということだ。単純にフォロワー欄にスパムが並んでいると不愉快なのでブロックするというのは当然の反応であり、それは個人の自由なので咎める意図はない。最近は「ブロックしない奴はスパムに加担している」みたいな思われ方を一定数されていると思うので、ブロックしないことには1つの正義があることに理解を示してもらいたいという意図の主張であり、ブロックすることに正義があることを否定する意図の主張ではない。スパムの目的はスパムによって異なるので、ブロックすることが効果的に働く場合もあるということも一切否定しない。

中身が人間だという誤解

まず触れておきたいのは、スパムアカウントの中身は基本的に人間ではないということだ。私が今回の件でブロックされて傷付いたのとは違い、攻撃者はスパムアカウントがブロックされたところで凹みはしないということだ。恐らく多くの人は安く買い叩かれた人々がポチポチと手運用しているイメージをしているようだが、基本的にはプログラムによって全自動でアカウントを発行し、全自動で無差別フォローし、全自動で無差別リプライを送っている。自分がスパムにリプライされることに作為的意味を見出そうとしている方や、フォローされることに法則性を見出そうとしている方も多く見受けられるが、私の語学用のフォロー数1の鍵アカウントもフォローリクエスト欄はスパムで埋まっている。無作為に選ばれているだけなので、恐らく考察するだけ無駄である。何かしらの行動を起こしたら様々なバイアスがかかって減った気がすることもあると思うが、その行動を起こさなかった未来と比較できるものではないので恐らく気のせいである。とにかく中身は人間ではなく攻撃する相手は誰でも良いロボットなのでその前提で読み進めてほしい。

攻撃者の目的を想像してみる

bio の URL を踏ませる

多くの人が想像しているのは、bio に書いてある怪しい URL を踏ませて、フィッシングサイト等に誘導することだと思う。これは1つの目的として間違ってはいないと思う。実際に多くのスパムは LINE の友達追加 QR に誘導しているようで、恐らくこの QR コードを読み取った LINE アカウントを「こんなバレバレの QR にも引っかかる情弱リスト」のような形で販売するか、直接何かの商品を買わせようとしたりクレジットカードの情報を収集したりするわけだ。

ただ、こんなものに本気で引っかかるユーザーなんて極一部であり、数人から数十人程度のリストに大した価値はないと思うし、そのリストの人々にいちいち「この商品買いませんか？」みたいな DM を送るのはコスパ的に全く想像ができない。ここまで大規模かつリスキーなスパムシステム開発を行なっておきながら、やることは古典的な個人ターゲットの詐欺というのは主目的としては非常に考え辛いので本記事ではこれ以上言及しない。

反応した人のリストを作る

私が想像する攻撃者の目的は主にこれである。リプ返したユーザー、フォロバしたユーザー、ブロックしたユーザーのような属性毎にリストを作るのだ。この「リスト」とは X 内のリスト機能とは関係がない。ここで重要なのは、この反対のリストを作れるということだ。つまり、リプ返しなかったユーザー、フォロバしなかったユーザー、ブロックしなかったユーザーのような属性毎のリストも作れるのだ。つまり、仮に本当にブロックが有効だとして「ブロックするユーザーはリテラシーが高く絶対に騙せない」が真だと仮定したとしても、その時にはブロックしてないリテラシーの低い情弱ユーザーリストの価値が跳ね上がるだけなので、攻撃者からすればブロック行為がリテラシー高いか低いかに関わらず、どちらにせよブロックという反応そのものがお得なのである。そのため、私はスパムをブロックする行為はスパムをフォロバしたりリプ返したりする行為と(データ資産形成の一端を担うという一点では)大差がないと考えている。

ちなみにブロックすれば縁が切れるからリストに加えられないと考える方も多いようだが、フォローしたユーザーを履歴に残しておいて差分を取ればブロックしたユーザーのリストは作れることは覚えておいてほしい。また、多数のユーザーがブロックすることで X がスパムアカウントとして凍結させてくれるから撲滅に繋がると考えている方も多く目にするが、仮に凍結させたとしてもデータ資産は攻撃者の手の中にたっぷりと蓄積された後であり、ご存じのように後続のスパムアカウントは無数に増やせてしまう。むしろ、どのラインまでなら凍結されないかというスパム開発に有益なデータを得ることもできてしまう。そのため、スパムを撲滅するにはユーザーができる限り攻撃者にデータを与えずに、一生懸命スパム行為をしても大したデータ資産を形成できず採算が合わないように仕向けることが一般ユーザーにできるせめてもの微力な手段だと私は考えている。

リストに加えられるとどうなるのか

属性に応じて作成された数千数万というユーザーのリストはどのような名目で販売されるのだろうか。悪い表現を敢えて使うが、これらのリストは「情弱リスト」といった形で販売されるのではないかと思う。ここで重要なのは、この「情弱」の定義は販売者が自由に決めることができる。例えばブロックしたユーザーのリストは「スパムに反応してしまう情弱ユーザーリスト」として販売し、ブロックしなかったユーザーも「スパムを放置する情弱ユーザーリスト」として販売できるわけだ。これはあくまでも一例ではあるが、攻撃者に要素を渡してリストを作らせてしまうと、何かしら理由をつけた資産として成立させてしまうことが危険だと私は考えている。

反応が資産となる

私もメールマガジンや LINE 広告の配信を業務上行うことがある。これらは一般ユーザーの目線ではほぼほぼスパムという見方もあるだろう。実際に、迷惑メールフォルダーに入れられたり、ブロックされたりすることはあり、配信系の多くの手段ではこれらの反応を集計することができる。ここで1つお伝えしたいのは、この反応は大変重要な資産であるということだ。基本的には開封率や成約率にコンバージョン目標を持つが、迷惑メールフォルダに入れられたりブロックされたりした「反応」の傾向からは非常に多くの仕事が生まれる。単純にこれらの反応をされないための施策を打つこともできるし、次回からの配信内容の見直しを行うこともできる。つまり、その反応によって日々育成されているのが配信側の目線だ。そして当然だが、一番困るのは何の反応も得られずに次の施策を打つ手がかりを失うことだ。

話を X のスパムに戻すが、ブロックというネガティブな反応であっても、攻撃者から見れば重要な資産であり、攻撃者を育成しているのは間違いないと思う。前述のようにブロックした人とブロックしてない人の2つのリストを作って販売するのはわかりやすい資産の形だが、攻撃者にとって一番嬉しいのはデータが手元に集まることそのものである。このデータは仮にスパムアカウントが全て凍結されようが攻撃者が摘発されようが資産として当分消えることはない。「こういう手口だとブロックされる」というデータが集まることは攻撃者にとって非常に喜ばしいことなのだ。

何故スパムであることを隠そうともしないのか

攻撃者もバカではない。少なくとも X 社という仮にも web テクノロジーでインターネットに革命をもたらした優秀なテック企業の bot 防止システムを貫通してスパムアカウントを量産して終わらないイタチごっこを繰り広げながらも摘発されないだけの明らかに大変優秀な知性を持っている。「プロフ見て」で本当にプロフのリンクを踏んでもらうつもりでやってはいないだろう。本当に URL に誘導したいのであれば、これほどのテクノロジーを備えてあれば他にいくらでもやりようがあるだろう。攻撃者はわざとバレバレなスパムアカウントを作っているはずだ。「こんなバレバレなのに引っかかるわけないだろ」というのが既に罠なのだ。「スパムはバレバレなものである」という共通認識を形成しておけば、ガチで騙したい時にバレバレじゃない手段を取った時の成功率が上がるというわけだ。

例えば、バレバレのスパムならブロックしてきたユーザーが、一般ユーザーを装ったアカウントからアプローチした時にブロックしなければ、見込み客として判定される可能性がある。ちなみに数年前から運用されている中身が人間っぽいアカウントは格安で購入することができるので気になる方は調べてみてほしい。誰しも詐欺をガチる時はそういったアカウントを使うだろう。この先「どのラインならブロックされないのか？」というデータが集まって攻撃者達で共有されるとスパムの品質が上がっていくことになるかもしれない。攻撃者にデータ資産を与えないため、そして攻撃者を成長させないために、古来から「スパムに反応してはいけない」と教えられているように「ブロックも反応の1つであるから反応してはいけない」というのが私個人の考えだ。結論に戻るが、ブロックはスパムを撲滅することに逆効果になり得るので、攻撃者に一切の要素を与えないようにしてこっそり通報だけして反応はしないでおくのが最適ではないかと思う。

あなたが攻撃者だったとしたら？

ここまでを踏まえた上で攻撃者の視点に立ってみよう。例えば私が攻撃者の視点に立って想像すると、ブロックという反応データが大量に集まることは非常に喜ばしいことであり無数のビジネスの可能性が目の前に広がると考えると思う。

あなたも考えてみてほしい。あなたが法を恐れずに活動が可能で大量の資金が必要になったとして、手元にバレバレのスパムアカウントをブロックした数万ユーザーのリストとブロックしなかった数万ユーザーのリストが手元にある。このリストを使ってどれほど多くのビジネスができるだろうか？このリストを業者に販売するだろうか？それともさらに高度なデータ解析を行ってより価値のある情報を抽出してから販売するだろうか？ブロックされないスパム開発の踏み台にするだろうか？それともこれらのデータを利用して更に進化したスパム攻撃の手法を開発するだろうか？恐らく無数のビジネスの可能性に胸が膨らむのではないかと思う。そういった攻撃者の手元のデータ資産をリアルに想像した上で、手元のスパムアカウントがブロックされることに何かしらのダメージを負うかどうかを考えてみてほしい。

それでもブロックした方が良いと考える人も多いと思う。しかし、ここまで考えた上でのブロック選択は「皆がブロックしないと増えるって言ってるから」等といった根拠の乏しい理由ではないし、ブロックしてない人を短絡的だ非常識だと何となく非難したりブロックしたりするような行いは避けようと思えて来るのではないだろうか。ブロックするとスパムが減る、ブロックしないとフォロワーに感染する、ブロックしないと自分がスパムとみなされる、特定の方法のブロックだとバレない、そういった情報を耳にするかもしれないが、その噂は本当だろうか。ただの都市伝説の可能性はないだろうか。有識者はどう言っているだろうか。攻撃者の目線で見ても納得のいく噂だろうか。ブロックしていない人を攻撃したりブロックしたりする前には、自分の常識が本当に合っているかを今一度自分の手で調べ直してみてほしい。スパムは人類の共通の敵であるからブロック推奨のポストはバズりやすい。ブロックしている人達も手間暇をかけているから正当化バイアスが働いて共感を得やすいので「ブロックしない人たちは悪だ！」と盛り上がりやすい。今までスパムをブロックするためにとんでもない時間と労力を割いてきたのに今更ブロックしない方が良かった可能性があるなんて考えたくもない方も多いだろう。しかし、スパムをブロックした方が良いとされる噂話にはちゃんとした根拠が示されているだろうか。対して本記事の主張に一理あるかもしれないとは思えないだろうか。あなた自身の考えはどうだろうか。ブロックすることをマナーとしておくことで得するのは攻撃者の可能性があることを頭の片隅に置いた上でブロックしない人の評価を下してほしい。スパムに対して明確にブロックすべきという技術的根拠を持った上でスパムをブロックすることは一切私は否定しないが、ブロックしない人の取り扱いについては注意深く考えてみてほしいと思う。

X社は何もしていないのか？

最後にこれは雑談だが、X によるスパム対策は不十分に見えると思う。お世辞にも行き届いているようには表面上見えない。FPS や格ゲー等の bot 対策に関しては、メーカーが全力で取り組んでいる様子がリアルに見られることも多いので、そういったものに比べて X がスパムに対する意識が低すぎるように見られがちであることは事実だと思う。私個人の見解は1人の技術者としてロボットとのイタチごっこの不毛さとコストは想像できる部分があるので否定的な言及の仕方はしないが、現実問題として一般ユーザーの世論として X の対応が不十分であるが故に今の惨状があると考えられていると思う。

しかし、実は X 社の施策に1つの小さな希望があって、現在 X 社はスパムアカウントのオートブロックの機能を開発している。これが実現されればブロック派もブロックしない派も幸せになれるだろう。ブロック派はいちいちブロックする必要もなくなるし、ブロックしない派はブロックをしないままでもスパムが勝手にブロックされていく。何より、本記事でここまで述べてきたリスクは全て回避することができる。攻撃者にシステムが勝手にブロックしたのか、ユーザーが意思を持ってブロックしたのかが伝わらないためだ。ブロック情報を集計したところで、人間の意思を持った行動が反映されていないのであれば大したデータ資産にならないだろう。そうなってくると、スパムを放流する意義も無くなっていくのではないだろうか。X 社も頑張ってはくれていると思うので、ブロック派もブロックしない派もこのオートブロック機能のリリースを楽しみに待ってみよう。

おわりに

あくまでも本記事で書いてあるのは私個人の考えであり、ただの想像だ。しかし「ブロックしない」という選択に関しては「スパムを減らしたい」というブロック派と共通の目的を持った意図的な決断であり、それを理解してくれる人が少しでも増えればと思って本記事を執筆した。勿論、ブロックすることで大切なフォロワーを守れる等の数々の側面があり、それが間違いなく1つ正義であることは疑いようのない事実だと思うので、己のジャスティスに従って行動を決めるのが良いと思うが、ブロックしない人を敵対視するのではなく「こういう考えの人もいるんだな」程度に考えを改めてくれる方がいれば嬉しく思う。