Spy.petを無闇に怖がる必要はないって話と、対策

この記事は約4分で読めます。

昨日「Discordから40億以上のメッセージを抜き出して有料で販売している「Spy.pet」の存在が明るみに」などの記事が複数社から一気に配信され、話題になっている。

Spy.petはDisocrdの情報を収集して、販売しているとされるサイトで
・サーバー名やアイコン、絵文字
・サーバーの人数推移
・BAN情報
などが確認できる。お金を払えばチャットログも開示されるようだ。

実際のところ、このサイトを特別怖がる必要はない

被害範囲

このサイトがやっているのは、ほぼ「そのサーバーの一般参加ユーザーが出来ること」でしか無く、チャットログも一般公開されているログに限られるだろう。運営専用チャットや、個人用のメモサーバーに書いた機密情報まで漏れているとは考えにくい。

DMが収集されることもない。

対策

そもそも公開鯖のログは誰かがスクショしたりして外部に送信するリスクが常にあるものなので、元々不用意なことを書かないようにするのが良いだろう。
正直言って一般ユーザーに出来ることはあまり無い。

小規模な招待制サーバーであれば、参加者全員に2FA(二要素認証)を導入させることで、概ね対策できると思われる。”Disocordの設定>マイアカウント>認証アプリを有効化”を選択すれば2FAの登録に進められる。

2FA導入済みの人にだけロールを付与するBotがあるので、これによって付与されたロールがないと全チャンネルを見られないようにしておけば、ログが外部サイトに収集されるリスクは大きく減らすことが出来る。これによって事後的にセルフBot化して、唐突にメンションスパムされるようなことも防げる。
(追記)Botが未認証なため導入できなくなってました。代替あったら教えて下さい。身分証の登録とか動作内容の説明をしないと101サーバー以上に導入できなくなるやつ。開発者に聞いたところ対応予定ではあるが時期未定とのこと。

一般公開しているサーバーの場合、新規流入を阻止するわけに行かないので根本的に対策する方法は存在しない。2FAも付与しようと思えば付与できる。ただしマイナーBotの独自機構に合わせるメリットが少ないので、あなたのサーバーが特別に規模が大きいわけでなければ間接的に防げる可能性は高い。

一時期Spy.petが管理するアカウントのリストが流出したことがあるらしく、そのリストに一致するアカウントが潜入済みかどうか確認するサイトが存在する。ただし新規にリスト外のアカウントを作って入り直すことは容易であるため、これをBANしても効果はほんとんど無いと思われる。

原理

小規模なサーバーはサイトに掲載されていないこと、取得できている情報が少ない(サーバー設定やインサイトなどが載ってない)ことから、Discord本体に侵入したわけではなく、セルフBotによるものと思われる。

セルフBotとは、通常のユーザーアカウントをBotのように、プログラムで自動化して動かすこと。これによって各種サーバーに自主的に参加させて、内部の情報を収集することが出来る。当然規約違反だし、ある程度の対策はされているが、完全に取り締まることは理論上不可能で、撲滅はされていない。Xのインプレゾンビとかと同種のプログラム。

「チャットログやオンライン人数はともかくBAN記録が見えるのはおかしいじゃないか」と思われるかもしれないが、実はチャンネル一覧やBAN情報は内部的には各ユーザーに伝達されている。通常のDiscordアプリであれば受け取った情報を裏で活用して、見えるところには出さないのだが、セルフBotなら降ってきた情報をそのまま活用できるという理屈。
なお見えるのはチャンネル名やBANした人の情報だけで、チャンネルの中の発言やBANコメントまでは権限を与えられてないと見られない。あくまで現時点での仕様なので、本件を受けて将来的にBAN記録が権限必須情報になる可能性はある。

掲載されていた複数サーバーを比較してみても共通するBotは確認できなかったため、特定のBotに潜入されているというわけでもなさそう。もちろんそういった、善良を装いつつ裏で情報収集したり荒らし行為をするBotは昔から存在しているし、これからも発生すると思われるので、怪しかったり不要なBotを入れないよう気をつけるに越したことはない。

セルフBotは、業者側が作成したアカウントでサーバーに参加してくることもあるが、既存の参加済みユーザーの使いまわしパスワードが流出したり、フィッシング(偽のログインページ)に引っかかったりして、後からセルフBot化することも多い。この対策として有用なのが前述の2FA。

コメント

タイトルとURLをコピーしました