秋葉原に住むIT技術者の単なる雑記帳

【Fediverse】日本語圏で発生した悪質なスパマーへの対応と今後のサーバ運営について

昨日あたりに、Fediverse(MastodonFirefish等の分散型SNSによって構成されるネット空間)の日本語圏を中心に、悪質なスパム行為が多発していた模様です。

 本日未明(まあ執筆時点でも未明だが)には犯人とおぼしき人物のメインアカウントも特定され、所属サーバ側でしかるべき措置が執られた模様です。

 しかし、このたったひとりのスパマーのために、Fediverseのいくつかのサーバがいわゆる鎖国に追い込まれました。また、それ以外のところでも、多くのサーバで、ユーザ登録に制限が加わったりスパマーがユーザ登録してしまったサーバへのドメインブロックをおこなう等の措置が執られました。

 幸い、私が運営するリベラル(自由主義者)向けコミュニティ「LIBERA TOKYO」は、元々ネトウヨ(いわゆるネット右翼)等の思想的に相容れない者たちへの対策としてユーザ登録等にわざと多数の制約を設定していたこともあってか、サーバ運営に直接影響の出る被害は皆無でした。しかしながら、一部のユーザ様がスパマーから通知を受け取るという被害は出てしまいました。

 とりあえず、「LIBERA TOKYO」からは、ユーザ様から通報があったアカウントの所属サーバへのドメインブロックにとどめておりますが、それらについても、事態の収束を確認でき次第ドメインブロックを解除しようと思います。

 とはいえ、たった約1日間とはいえ、今回の件でFediverse日本語圏に及ぼした被害は甚大なものとなりました。私を含め、Fediverse上で何らかのコンテンツを運営する方々には、今後より一層のスパム対策が求められます。

best quality,8k, realistic, masterpiece, RAW photo, Many tall Japanese voluptuous short-haired intelligent beautiful evil girls are using flamethrower at the town, exciting.

This image is created by NMKD Stable Diffusion GUI.


サーバ運営(管理者やモデレーター)以外でも出来るスパム対策

 Fediverseと言っても、私はMastodon以外についてはよくわかりませんのでMastodon中心に話しますが、サーバ運営に直接関わっていないユーザ各位におかれましては、スパマーや偽情報発信者等の悪質なユーザを見かけましたら、とにかく所属サーバの運営に通報しましょう。

 個人運営による中小・零細規模のサーバの多いFediverse界隈では、大資本による大手SNS以上に通報が重要な防御手段になります。個人でサーバ管理をしている人は、当然ながら24時間365日ずっとサーバに張り付いているわけではないのですから、的確な理由が述べられている通報は重要な判断材料となります。

 もちろん、通報内容が虚偽だった場合は大抵無視されるでしょうし、それが何度もおこなわれると最悪通報者のほうがサーバから追い出される可能性もありますが。

サーバ運営は招かれざる客を寄せ付けないようにすべし

 サーバ運営は、自分たちのサーバがスパマーの踏み台にされないように、その手の輩を寄せ付けないように対策をとらなければなりません。

 先述の「LIBERA TOKYO」のような、最初からユーザ登録を管理者承認制にしたり利用規約を書いた本人が無茶苦茶と言うレベルで厳しいところのケースは極端にしても、今や、最低限の情報を登録しただけですぐに登録完了出来てしまうという状況は、高リスクであると言ってよいでしょう。

 そのため、期間限定でもよいので、しばらくの間はユーザ登録に制限を加えてしまったほうがよいと思われます。

ユーザ登録時の運営承認制の採用

 大半のFediverseサーバ(特にMastodon)でもっともお手軽に執れるであろうスパム対策として、ユーザ登録時に運営による承認を必要にするという手があります。

 Mastodonであれば標準で備わっている仕組みで、管理画面での設定変更だけで利用可能な、お手軽な対策です。

 ただし、サーバ管理業務が増大してしまうというリスクがあります。また、運営は限られた情報を頼りに登録申請の認否を決めなければならず、悪意のあるものがそれを隠してユーザ登録申請をしたときにそれを見抜ける管理者でないと厳しいと思います(その意味では私は「LIBERA TOKYO」を完全招待制に移行させたいくらいなのだよ)。

招待制の採用

 「LIBERA TOKYO」でも先述の承認制と併用して採用している招待制。既存ユーザが発行する招待コードを使ってユーザ登録出来るという仕組みです。

 なお、承認制と併用している「LIBERA TOKYO」の場合、通常の登録画面からの登録申請の場合は管理者(ここでは私)が申請内容に目を通して登録是非を決めますが、招待コードを発行出来る権限を持った常連ユーザが発行する招待コードを受け取った方は、管理者(私)による承認を経るという時間のロスを避けてユーザ登録をおこなうことが出来ます。

 ただし、招待コード経由で登録したユーザの場合、どのユーザによって招待されたのかという情報が記録されます。そのため、たまたま招待コードを受け取って入ってきた人物が危険人物だった場合、その人物を招待したユーザが運営から目をつけられることになりかねません。裏を返せばそれがスパム抑制に繋がるとも言えるわけですが。

 あと、招待制を採用し、なおかつそれ以外でのユーザ登録を認めない場合、ユーザ登録の門戸が非常に狭くなります。今月に入ってから招待制が廃止されたBlueskyでは、長らく続いていた招待制の時代に招待コードを売買するという行為があったようです。

メールドメインブロックの採用

 Mastodonでは、ユーザ登録時に求められる個人情報はせいぜいメールアドレスぐらい。しかしそれだけに、メールアドレスの取り扱いも重要となります。

 もし、スパマーのユーザ登録を許してしまったサーバの運営が再登録を防ぐためということであれば、メールドメインブロックはある程度有効だとは思います。

 とはいえ、いくつものフリーメールを使い分けるような者に対する効果は薄いでしょうし、大手サービスのメールアドレスで堂々と悪さをするような輩を下手に規制しようとするとほかの無実の人々への影響が大きくなってしまいます。

 なので、再発防止というより、日本語圏からは悪用以外の目的ではまず使われないような海外のフリーメールサービスのドメインを事前に封じ込めるために使われるケースの方が多いのではと思います。

連合の制限

 Fediverse、特にMastodonでサーバを運営している人々がよく発する言葉に「ドメインブロック」があります。

 平たく言えば、特定のホストとの連合を制限あるいは完全拒否するということです。

 海外のFediverseサーバの多くからは、児童ポルノや差別発言等への対策の緩い日本語圏の多くのサーバがドメインブロックの対象となっています。下手にその手のサーバと連合を組んでそこから情報を取得してしまってサーバのストレージに蓄積された場合、それがサーバ設置国では違法となってしまうというケースも往々にしてあり得るため、もはやドメインブロックはなくてはならない仕組みです。

 今回のスパム騒動のケースの場合は、管理の手薄なサーバがスパマーの踏み台として狙われましたが、それらのサーバがスパムへの対策をとるまでの一時的な措置として、ドメインブロックは有効な対策となります。

 先述の「LIBERA TOKYO」の場合は、スパム加害サーバや思想信条的に相容れないところなど、多数のサーバをドメインブロックしています。特にMastodon日本語圏ではリベラル(自由主義者)は肩身が狭く、そうでもしないとコミュニティを守れないという切実な事情があります。

鎖国

 Fediverseの特徴の一つに「連合」というものがあります。多数のサービスが緩やかに結合することによって、サーバ運営やユーザの分散を図る仕組みです。

 しかし、中には何らかの事情で他サーバとの連合をおこなわずにクローズドな運営を選択するところも出てきます。これを俗に「鎖国」と呼んでいます。

 残念ながら、今回のスパム騒動では、スパマーの踏み台にされてしまったサーバの一部が鎖国するという事態に追い込まれてしまいました。

 もっとも、ある程度以上の規模のあるコミュニティで、なおかつその中でのやりとりが活発なところであれば、スパマー等の外敵の脅威をあえて断ち切ることによってコミュニティを守るために、あえて鎖国を選択するというケースもあるでしょう。よそのコミュニティと連合したいユーザは、別途そこにもアカウントを作ればいいだけですしね。

 ただ、鎖国はそのほかの方策をとっても効果が無かったときの最終手段として考えるべきであり、これまで普通の他サービスと連合していたところがいきなり即日鎖国というのは、いくら何でも性急すぎやしないかと思えます。

hCaptcha導入

 私はまだ試していませんが、どうやらMastodonでは、プログラム本体に手を加えずにhCaptchaを導入出来るのだそうです。

 これは、通常のMastodonコミュニティ、特にこれまで承認制や招待制をとらずに普通にユーザ登録を受け入れていたところが、お手軽に招かれざる客を遠ざけるのに、有用なのではないかと思われます。

 もっとも、私が運営する「LIBERA TOKYO」では、扱っているテーマの関係上、スパムbotアカウントよりも思想信条的に相容れない生身の人間のほうがよっぽど驚異的であるため、残念ながらhCaptchaを導入するメリットはほとんどなさそうです。元々ユーザ登録に承認制+招待制を採用しているということもありますし。

その他

 ほかにも、招かれざる客を効率よく退けられる方法がないか、探してみたいところです。

#2024年 #2024年2月 #2024年2月17日 #お知らせ #業務連絡 #Mastodon #マストドン #SNS #分散型SNS #Fediverse #LiberaTokyo #政治 #リベラル #自由主義 #Misskey #SPAM #hCaptcha