裏アカ女子spam
Twitter(𝕏)で蔓延しているアフィリエイト目的のspamで、LINEアカウントやハッピーメール・FITTY ONE・メル☆パラ・副業タイガー・アダルトマーケットなどのサイトに誘導する、大量のアカウントを抱えるbotnetである。トレンドspam・reply spamが確認されている。
トレンドspam
ランダムの固定誘導文(これは必ず先頭に来る)+トレンドワード(ハッシュタグの場合#は除去される)や特定のハッシュタグやワード(裏アカ女子など。地域名が入っていることもある)と共に顔にぼかしの掛かった/顔が写っていない写真(恐らくAI生成。写真は無いこともある)をtweetし、bioに記載されているURLに誘導する(稀にアカウント作成時のミスなどで入っていないこともある)。
11/28~29の間に仕様が変わり、AI生成の写真の顔にぼかしがかからなくなった&QRコード添付(写真 or QRの片方だけだったり両方ないこともある)のパターンに変更された。特定ワードの挿入も若干変わった?
(QRコード画像添付は昔のパターンであったような)
12/01-02あたりから誘導文にハッシュタグが加わっているパターンが増えた模様。といっても、movieなどのようなシンプルなハッシュタグだが。 →一時的だった?
2024/02/13あたりから連絡先としてURLをtweetに含めるようになったがこれも一時的だった。
2024/02/22から写真の上にQRコードを載せるようになり、「QR読んで」等の文言が末尾に加わった。また場合によってはサインや絵文字顔隠しなどの加工も加わっていることもある。 → 07/22-24あたりに「QR読んで」等は削除された
2024/03/07あたりから顔のぼかしが復活した。本文に貼る短縮URLとしてtiny.one、tinyurl.comが追加された(リンク先はad-link.xyz)。QR読んでの文言も復活&プロフのURL見ての文言が追加(QR/プロフどちらかになる)。
2024/03/13あたりから写真にアカウント名のウォーターマークが追加された?
2024/07/15あたりからspammer専用のコミュニティができた(後述)。アカウントによっては当該コミュニティに所属していたり、コミュニティへの投稿を行うことがある。
AI生成写真投稿は取りやめとなった模様
2024/07/22-24あたりに「プロフを見て」などの誘導文言が削除された。
reply spam (最近このパターンで活動している様子が見られない)
ランダムで選択されたtweetに対し短い誘導文(あいさつ+絵文字+改行x2+誘導文+絵文字)をreplyしbioに記載されているURLに誘導する。トレンドspamとは異なり画像添付はない。
ランダムに選択されるtweetはリプライも含む。つまり容赦なし。
最近になって名前も含めるようになった(下記例も参照)
03/13: 最近になって文末に顔文字等も挿入されるようになった。
03/19:シンプルreplyパターンに変化?(下記例も参照)
フォロー&fav spam(亜種かもしれない)
ランダムで選択されたtweetに対しfavし同時にフォローを行い、bioに記載されているURLに誘導する。もしかして: ママ活トレンドspamの一種かも? トレンドspamはトレンドspam用、reply spam用はreply spam用と使い分けているっぽい?
7/15あたりに裏垢女子spamが集うコミュニティができたようだ(うらあかコミュニティ)。つまり報告&ブロック推奨一覧をspammer自ら作ったようなもの。アカウントによってはコミュニティに対して投稿するようになっている(コミュニティへの投稿は検索でも引っかかる)。
アカウント名の法則
例えば名前が「ひかるི」ならIDは"@hikaru1945038"などのように、@名前+ランダム数字な法則になっていることが多い。ただし現在運用されているアカウントは基本的に名前とIDは一致しないことが多い。
漢字の場合、「海未🐏」→"@hiwi986782"とピンイン変換しているっぽい?
最近はランダムIDなど上の法則に当てはまらないIDが出てきている。
リダイレクト先
bit.ly→twiiiii777.tokyo(現在はlinklink.tokyo)→sorakichi.red(ここで何回か内部リダイレクトする)→happymail.co.jpというspamにありがちな多段リダイレクトである。
Cookieチェックなどを行っているようで、curlなどでリダイレクトを追うとsorakichi.redの段階で「リンクが無効になっています。」と怒られる(urlscan.ioではCookieを焼いているのかちゃんとハッピーメールに飛ぶ)。
spam用のアカウントは雑に作成しているのかアイコンが設定されていないことが多い。bioの誘導先URLも稀に入っていなかったりする。
09/27時点(22日あたりから変わっていた?)はハッピーメールではなくFITTY ONEのサイトに飛ばされていた。
bit.ly→linklink.tokyo→sorakichi.red→(さらにlalalaapp.online→sorakichi.redとなる場合あり→)mttag.com→goichido.comの多段リダイレクト。
ちなみにlinklink.tokyo(sorakichi.redも?)は恐らく国外IP(or/and Tor)からのアクセスを拒否している(パケットドロップ)。
11/10時点で生成されているアカウントに関してはアフィリエイトランディングサイト(ジュエルライブ)にリダイレクトされる。
(xr2.me (or) x.gd (or/and)) add-link.blue (or/and) ad-link.xyz→line-link.blue(多段リダイレクトする場合あり)→fam-ad.com→happy-matome.com (アフィリエイトランディングサイト。ハッピーメールだったりジュエルライブだったりする)
11/22時点: メル☆パラという出会い系サイトにリダイレクトされる。(xr2.me or add-link.blue → ad-link.xyz → line-link.blue(2段階リダイレクト?) → meru-para.com (環境分岐もあるのか多段リダイレクト。adv=_991__1buw449jccn9c26g3l9liohmcs))
12/06時点: 副業タイガーというサイトにリダイレクトされる。 (xr2.me or add-link.blue → ad-link.xyz → line-link.blue(3-4段階リダイレクト?) → ad1.girls-affiliate.com → success-dream.jp) ランディングページのようでどうやらLINEアカウントに誘導されるっぽい。
12/19時点: アダルトマーケットというサイトにリダイレクトされる。 (xr2.me or add-link.blue → ad-link.xyz → line-link.blue (多段あり) → mttag.com → mttag.a-market.jp → a-market.jp)
12/23時点: 副業タイガーに戻った。
12/26時点: (reply spamでの観測) VI-VOのアフィリエイトランディングサイトにリダイレクトされる。(xr2.me (or) x.gd (or/and)) add-link.blue (or/and) ad-link.xyz→line-link.blue(多段リダイレクトする場合あり)→fam-ad.com→happy-matome.com
01/06,02/01,03/08時点: ジュエルライブにリダイレクトされる。(xr2.me (or) x.gd (or/and) tiny.one (or/and) tinyurl.com (or/and)) add-link.blue (or/and) ad-link.xyz→line-link.blue(多段リダイレクトする場合あり)→fam-ad.com(2段階)→www.j-live.tv
05/23,07/16時点: LINEアカウントにリダイレクトされる。 tiny.one or tinyurl.com → ad-link.xyz → line-link.blue → short-link.pink → line.me(~@151n◯◯◯b、~@276c◯◯◯j、~@505h◯◯◯zなど多数)
spammerが使っているハッピーメールのアフィリエイトID(直接リダイレクト時代)はaf21945492、FITTY ONE/アダルトマーケットのmttagアフィリエイトIDはcab66420である。
写真はAI生成画像やどこかから拾った写真を使いまわしているので、写真付きtweetに対して
プライバシー→私や他の人の性的、ヌード、または私的な画像/動画を許可なしに共有すると脅迫している、または共有している→他の人が所有しています
で報告すると早くて数分以内には凍結される。現行(04/23現在)の写真付きTweetには「QRコードをスマホで読んでね」「QRを読んでね」等の文言があるので「QRを読んで」などで検索すると一気に報告しやすい。
spam例:
https://gyazo.com/27f73fa23eb49fb6ae1a0e7c560a068fhttps://gyazo.com/23420d145eec2f57f09331fc23f91a3c
https://gyazo.com/ccb799f46864b1059040a622d023a7behttps://gyazo.com/2c43c1643d1544810c32c64f8e0556b1
https://gyazo.com/1f025ad852806906934bf0817eb617c8
リプライspam
https://gyazo.com/cb12b5e54a421ecc47c3c1fb0dc36059
https://gyazo.com/b2c9207584ebcf104f04e0ae31630daa
https://gyazo.com/3bc371bfde348291a1771351602ad829(03/19確認)
11/29以降のパターン
https://gyazo.com/e1e7c476962e16c9d51517be8413ab7dhttps://gyazo.com/0dcfbfabd568e1e5ba95a48174a3115ehttps://gyazo.com/b0cec98142be71c4ca8b09f8ad54f124
2024/02/22以降のパターン(新規画像パターン追加+QRコード追加)
https://gyazo.com/07a6e63549e4de07a37959bb1ba4b491https://gyazo.com/c7cc6257e2457c63225d845c30fd5a52
2024/03/07以降のパターン(顔ぼかし復活、URL挿入パターン追加。QRコードあり・無しが混在)
https://gyazo.com/784c3fe931cb8407910db5c221412012https://gyazo.com/ceb5d055ceecee429419109c821804a8https://gyazo.com/6b5f733282c1970bab79a7f69338da6fhttps://gyazo.com/c8b47a22cb72e255d9ad71e132b4f60c
2024/03/13確認(アカウント名のウォーターマーク入り)
https://gyazo.com/1d254fe5dfc1fc516f83ce342d234bff
2024/07/25時点のパターン(誘導文言削除)
https://gyazo.com/36449a5052a29faaf2e2e7e5bf7d1f95https://gyazo.com/be4a2c1f89281e4e6db664fe8b092ece
tweet内容もAIで生成していることがあるのか、稀に日本語がおかしかったり怪文書ができるなどバグることもある
https://gyazo.com/b960464a39a675e965c5e7720af14d6b
https://gyazo.com/d35bd769aa03cf1e7ecce8b786da9a4d(※ブログから引用)
https://gyazo.com/121aac81e35ee26a06cd223b7b985b52
https://gyazo.com/f3e693836c8874d75e8db7e2654fc0d5