匿名質問箱サービスzabuuが意図せぬアカウントをフォローさせていた

先月のブラックフライデーセールでは、前から気になっていたAftershokz AeropexAftershockz Opencommという運動・音楽用と通話用それぞれ初めての骨伝導イヤホンにぶち込んだのですが思いのほか良かったですね。耳を塞がずに風呂と睡眠以外だいたいのことができてしまうので、仕事中も運動中もゲーム中もとりあえず付けっぱなしにできる。欠点といえば音質が同価格帯の密閉型無線イヤホンほどではないのと、一切の遮音性のなさからくる最大音量の小ささや音漏れの懸念くらいでしょうか。

しれっとアフィリエイトを貼ったところで今回はセルフtwitterまとめというか、掲題の「今年こんなことあったんよ」の話をします。

今年こんなことあったんよ

まず「質問箱」系のサイトzabuuがあり、

zabuu.site

f:id:appalerm:20211226162309p:plain

「そのサービスやばくないか」という注意喚起のツイートがあり、

その後をふくむ全体の流れとしては以下。

  • 匿名質問サイトzabuuに登録すると、株式会社Freely村石氏株式会社InoBasic水口氏へのtwitterフォローが勝手に行われる仕組みがあり、週あたり数百件の単位で動いて2万近いフォロワー数になっていた
  • 上記の指摘が拡散されてからフォロワー増加は止まり、今度は週あたり50件程度のペースでゆっくり減り続けている

短いね。本当にこれだけの話なので、あとは長大な補足になります。

時系列

7月7日: 注意喚起ツイートが拡散される

さっそくおおもとの指摘を再掲しますが。

「知らないうちに変なフォローをしていたので、調べてみたら質問箱サービスの作成者とその関係者だった」……というツイートが数千RTを得ており、私のところにも流れてきました。

質問箱に乗じてフォロワーを稼ぐなんて、なんて向こう見ずなサービスなんだ! と驚いた私はアカウント概要表示サービスのツイプロを利用し、村石氏水口氏、特に利用規約の個人情報責任管理者として名前のある村石氏のフォロワー増減をときどきチェックするようになります。

でも意外とスクショや魚拓を取っていなかったので、増加ペースが分かるのはこの辺ですかね。7月第1週、ことの露見するギリギリくらいのタイミングまでは一週間で400件ほどのフォロー増加があったのが分かります。

7月13日: 社長らのアカウントのフォロワー増加が鈍化する

f:id:appalerm:20211225144502p:plain

先の7月13日の私のツイートのグラフを再度検討すると、7月2週(一番右)くらいを境に増加ペースが鈍くなっていきます。時系列でみた最新フォロー自体は相当数増え続けていたので、主には「例の注意喚起ツイートの効果でフォローをチェック・解除する利用者が相当数居たのでは?」と考えています。

また、これは利用開始の古い順に少しずつ登録していく仕組みのようで、

「zabuuに登録しました!」のような自動ツイートの時期を調べていくと、最新フォロワーのzabuu登録日はだんだん新しくなっていくのがわかっていました。まあ対象アカウントの記録もスクショも取っていなかったし今から取るのもめんどくさいので私個人が勝手に言ってるだけの状態ですが……。

8月頃: 社長らのアカウントのフォロワーが減り始める

その後、氏のフォロワーは減少に転じていきます。仕組みはそのままでzabuuの連携を解除する人も居るだろうし、増加と減少が後者に傾いたのではないかと思われましたが、当時の時系列順の最新フォロワーを見ても、趣味系アカウントが現れなくなってきていました。

9月のフォロワー推移。足し引きで週に100~150件ほど減り続けているのが分かります。

12月現在: まだ減ってる……

そして元の注意喚起ツイートが出回ってから5ヶ月ほど経ちました。

f:id:appalerm:20211226164133p:plain

ツイプロの村石氏のページを見ると、今は週に50人前後ほどのペースでフォロワーが減っているのがわかります。

村石氏のフォロワーは12月26日現在で17650人。8月1週頃の減り始め直前の時点では19531人だったので、無関係の増減もひっくるめてザックリいうと4ヶ月で2000人くらいのマイナスです。

ちょっと「順調に減りすぎている」感じがしませんか。18000近いフォロワーの誰が解除されているのかを調べるのは大変なので断言はできませんが、私には何らかの流量をもって、古いほうから*1おそらくzabuuの利用者を対象に、機械的にフォローの解除が行われているように思えます(たとえば、あまり合理的ではないですが、サービス登録日から3ヶ月待ってフォローさせるバッチを「フォロー解除させるバッチ」に書き換えて、似たような条件で動かし直しているとか)。

f:id:appalerm:20211226165856p:plain

ちなみにもう一人のかた、水口氏も今はかなり似たペースでフォロワーを減らしています。こちらは8月時点で9350人が3ヶ月で7750人、ざっと1600人くらいのマイナスでした。活動の少なそうなアカウントで400の差が出る理由は謎です*2

いちおう株式会社Freelyにはサービス利用規約にあるメールアドレスと社の問い合わせフォーム経由で「本件(7月の注意喚起ツイート)の事実関係」「これについて何らかの公表をする予定があるか」を2度尋ねてみましたが、きき方が悪かったのか3週間(2回目からは1週間)ほど経ってもお返事は頂けませんでした。

もともと連携ツイートとフォローの権限は一体になっている

「なぜ匿名質問サイトのごとき外部サービスにフォロー操作が可能なのか」という仕組みのことを、ご存知のかたには今更な話ですが軽く説明します。

同じような匿名質問サービスで先行しているPeingのツイートがシンプルでした。権限の振り分けは機能単位でなくグループ化されていて、「Read」「Read & Write」「Read, Write & Access direct messages」の3種類しかないという。

質問募集や回答報告などでの自動ツイートを許すとき、ツイート以外にも「プロフィール操作」「フォロー操作」「いいね」などの操作は、同時に許可されてしまうわけです。

f:id:appalerm:20211225130723p:plain

さっき権限内容を確認してきましたが、zabuuの権限は予想どおりRead & Writeにあたります。

  • このアカウントのタイムラインに表示されるツイート(非公開ツイートを含む)や、リストとコレクションを確認する。
  • このアカウントでプロフィール情報とアカウントの設定を確認する。
  • フォロー、ミュート、ブロックしているアカウントを確認する。
  • 他のアカウントをフォロー、フォロー解除する。
  • このアカウントでプロフィールとアカウントの設定を変更する。
  • このアカウントでツイートを送信および削除する、他のアカウントのツイートをエンゲージメント(いいね、いいねの取り消し、ツイートへの返信、リツイートなど)する。
  • このアカウントでリストやコレクションを作成、管理、削除する。
  • 他のアカウントをミュート、ブロック、報告する。

連携ツイート機能を持つzabuuがRead & Write権限を要求すること自体はおかしくありません。ただそこに含まれるフォロー操作権限が、多くのユーザーの直観に反して使われた見込みが大変に高い……という成り行きでした。

感想

良いか悪いかで言えば少なくとも気持ちは悪いといったところで、仮にも企業の運営しているtwitterメッセージサービスがドキュメントに一言もないフォロー動作をして、しかもフォロー先はそこらの成人男性(代表者の個人アカウントとそのお友達)でしたというのは、ユーザーが了解して権限を付与している建前とはいえやっていいことと悪いことがあるのではないでしょうか。

私の見た範囲ではzabuuの利用開始から3ヵ月遅れでフォローが発生していたのも印象を悪くしていて、穿った見方をすれば、

  • 一度にたくさんフォローを増やすとspamアカウント扱いされるから、少しずつ増やして回避する
  • zabuuに登録した瞬間に不審なフォローが増えていたら利用者にバレるから、潜伏期間を置いてこっそりフォローを増やす

こうしたねらいは、想像のつくものでしょう。氏の主宰しておられるプロサーなるプログラミングスクールでは "フォロワーの増やし方" も教えているのでしょうか。


この手の連携サービスとしては、せめて「権限を使って行うこと」「権限を使って行わないこと」を明確にしてあるとうれしいですね。

f:id:appalerm:20211226233433p:plain

Fantiaの新規登録ページは「お前のアクティビティを勝手に共有することはない」と、簡単にですが明言しています。まあRead権限だからそもそもtwitterには共有できないが。

サービス提供者にあっては、何も悪いことをしていなくても権限要求が過大というだけで怒られることはあるし(セブンイレブンのtwitterキャンペーン炎上)、通信を許可したアプリケーションが機能と関係のなさすぎることをしていれば、やはり話題・問題にはなる(程度も権限も全然違うけどSmoozブラウザ事件とか)、そうした先例はすでにあります。


「怪しいサービスをうかつに使ってしまう客が悪い」という言いぶんは、一分の理はあるかもしれませんが、全部ではないかなと思います。個別の論としてみたとき、twitter APIのラフな権限設定とそれを悪用する提供者のことを除いてしまうとちょっとレイヤーが変わってしまうというか。

twitterの雑きわまる権限設定によって「させたいことだけ許可する」のような制御ができない以上、サービスの提供側と利用側のあいだには、関係のない機能については「許可されているけど使わない」という原始的な暗黙の信頼関係を結ばざるをえません。少なくとも権限まわりが細やかになっていれば健全性は高まり、zabuuもセコいフォロワー増やしマシーンにはならなかったでしょう。

まあ、許諾の仕組みがよくないからこそ怪しいサービスに権限を渡すな……と言われてしまえばそれまでではあります。10年以上前にあった個人製作の「なるほど四時じゃねーの」が急にtweetでなくfavoriteをした話など、twitter権限悪用の話はしばしば話題に上がりますし、サービス提供者を確認して連携の可否を決めること自体は、仮に権限の仕組みが健全になったとしてもやっておいたほうがいいですね。

以上です

このうえzabuuにしてほしいことは、要求することも期待することも特にありませんが、もし推測通り利用者の意図しなかったフォローを外してくれているなら、これからもそれはやってほしいくらいですかね。できればもうちょっと速いペースで。

f:id:appalerm:20211225131823p:plain

年末だし私も久々にアクセス権の棚卸しをしていきます。

*1:フォロワーを古いほうから減らしているのは推測です。村石氏の最新フォロワーをzabuu利用者まで掘り直して利用開始ツイートを調べたところ、4月10日頃となっていて最後に調べた時とほぼ変わらなかったことから。

*2:推測に推測を重ね、API利用フォローを先に始めたのが村石氏で、村石氏が400人程度フォロワーを増やしたあとに水口氏が相乗りするようになったと考えれば、やはりフォロー解除の仕組みが今動いていて、それは古いほうから順に行われている(その場合は、水口氏のフォロワーが減り始めたのはちょっと後ということになる)……のかもしれません。