Instagramポルノボット、アダルト出会い系スパムを進化させる

アフィリエイトプログラムによるインセンティブを目当てにする詐欺師は、偽のInstagramアカウントを利用して、人気のソーシャルメディアプラットフォームのユーザーをターゲットにする方法を進化させています。

今世紀の初めに普及し始めたソーシャルネットワーキングサービスにより、サービス業だけでなくあらゆる企業は、ユーザーの関心に合わせたターゲティング広告を効果的に利用できるようになりました。同時に、従来、アフィリエイトプログラムからのインセンティブを目当てにする詐欺師は電子メールを介して、出会いサイトやウェブカメラにユーザーを誘導していましたが、今では急成長しているプラットフォームを活用するようになりました。

現在、ボットを使用してソーシャルメディアユーザーを偽のアカウントにリダイレクトし、リードを生み出そうとする詐欺師らは急速に増加しています。実際、2016年以来、Instagramのユーザーは、ポルノボットを介して出会いサイトに誘導したりウェブカムスパムを行おうとするさまざまな詐欺師にさらされています。ポルノボットの活動は、Instagramアカウント所有者を単にフォローすることから、「いいね」をつけたり、写真にコメントしたり、最近では直接メッセージを交換することまで多岐にわたります。 

2018年に10億の月間アクティブユーザー（MAU）を獲得したInstagramは、ポルノボットアカウントの運営者を排除するために取り組んでいますが、まさにイタチごっこと言えます。 これは、私が長年研究してきた分野であり、このイタチごっこは非常に興味深いと思います。 このブログ記事の目的は、中間アカウントの使用、写真のキャプションに小説の引用文を使用するボットなど、最近のInstagramのポルノボットで発見された注目すべき傾向のいくつかを紹介し、 Instagramユーザーを教育するための継続的な取り組みの一環としてポルノボットの背後にある目的について解説することです。

Instagramポルノボット

歴史的には、Instagramのポルノボットは自己完結型であり、上記の例に示すように、写真に「いいね」を付けたり、自分の略歴に直接リンクを付けたり、示唆的なメッセージを投稿したりしてユーザーをフォローします。これらのポルノボットは、プロフィール画像にいくつかの簡単な変更を実行し、Instagramにストーリーを投稿し、示唆的なテキストを削除したように見せかけることもあります。

ただし、この種のアクティビティを検出するためのいくつかのメカニズムを回避するために、ポルノボットオペレーターは、中間アカウントと呼んでいるものを活用し始めました。

ポルノボットが中間アカウントを使用する方法

この例では、中間アカウント「kayla」はユーザーをフォローしています。 このプロフィールにアクセスすると、アカウントには写真はありません。ただし、略歴には絵文字と「My Nude Pics Here」というテキストが含まれていますが、文字間にピリオドが入っています。句読点が追加されているのは、Instagramがこのようなアクティビティを検出するために備えているいくつかの自動化された手段をバイパスするためです。

このアカウントは別のプロフィールにアクセスするようユーザーを誘導するため、中間アカウントと見なされます。この場合、「kayla」中間アカウントは「babe」アカウントにリンクしています。

中間アカウントと同様に、「babe」アカウントにも写真は含まれていません。ただし、この略歴ではテキストは難読化されておらず、「All nude pics posted on website, look（ウェブサイトに投稿された写真はすべてヌード、見てみて）」と、Bitlyの短縮URLへのリンクが直接記載されています。

「babe」アカウントには、関連付けられたアクティビティが一切ないので、自動化された手段によってフラグを立てられることなく、サービスを継続することができます。「babe」キャンペーンで使用されたいくつかのドメインの情報に基づくと、この特定のキャンペーンの背後にいる詐欺者は、少なくとも2016年半ば以降、Instagramのポルノボットスパムを積極的に利用していると考えられます。登録されたドメイン数は、2016年以来、約1,300、過去6か月で約100にもなります。

「Babe」および類似のInstagramアカウントの普及

Instagramには、「babe」と似たような名前のアカウントが多数存在します。すべて、「ALL NUDE PICS POSTED ON WEBSITE, LOOK（ウェブサイトに掲載された写真はすべてヌード、見てみて）」というフレーズがあり、略歴に絵文字がありますが、Bitlyの短縮URLがあるのは、ほんの一部のアカウントだけです。Bitlyの短縮URLのないアカウントは、目的を果たした後に放棄されたのか、Instagramによってアクティブなアカウントが削除された場合、すぐに使用できるように用意されているのか、不明です。

「babe」アカウントの他、本質的に同一の異なる名前を持つアカウントもあります。 同じBitlyの短縮URLが、複数の「babe」アカウント、および、「n_」アカウントで使用されていることから、これらのアカウントが同じ人物によって生成されたことが分かります。

「Novel」ポルノボットアカウントの使用

仲介アカウントの使用が増加していますが、Instagramのポルノボットアカウントの中には、ユーザーを直接フォローして注意を引こうとするものもあります。最近、通常のポルノボットアカウントとはわずかに異なる新しい種類のアカウントを確認しました。これらのアカウントは空白ではなく、通常、最大3枚の写真が含まれています。名前には、最初と最後に2つのランダムな絵文字が含まれています。たとえば、「Carolyn Jones」という名前のアカウントには、バルカン敬礼絵文字があり、その後にツノ付きスマイリー絵文字が表示されています。

このアカウントの写真の特徴は、一見ランダムに見えることです。これは、3つの方法で疑惑を防ぐための意図的な取り組みです。

• ほとんどのポルノボットアカウントは、プロフィール上で性的に示唆的な画像を宣伝します。
• 画像の女性は同じ人のようには見えません。
• 略歴にはタグラインがなく、短縮URLも存在しません。

ランダムな画像自体には、リンクや示唆的なコメントも含まれていません。代わりに、引用された文章が含まれています。上記の例では、画像にはアレクサンダー・デュマによるモンテ・クリスト伯の引用が含まれています。

同様に、「Pamela Turner」という名前の別のポルノボットアカウントには、デュマの「モンテクリスト伯」（別の出典）からの引用が含まれていました。

「Denise Sanders」という名前の別のポルノボットアカウントでは、各画像にテキストがほとんどなく、1つの画像には、短い引用文がありました。

このアカウントでは、デュマではなく、ジョージR.Rマーティンの有名な「 ゲームオブスローンズ」からの短い引用文が使用されていました。

これらのアカウントはアプローチが斬新であると同時に、文学を引用も使用しているため、私はこれらを「Novelアカウント」と呼んでいます。

ダイレクトメッセージでのポルノボットとの「会話」

Novelアカウントやその他のポルノボットアカウントでは、略歴でアダルトデートスパムを公に宣伝していなく、プライベートにダイレクトメッセージで対話します。私はこれらのアカウントの1つを追跡し、会話を開始すると、会話が、不自然なことが分かります。以下の例は、先ほどの「Carolyn Jones」との対話です。

「Pamela Turner」でも同様の「対話」が発生しました。

これらの「対話」で興味深いのは、応答間の遅延です。「Carolyn Jones」ポルノボットアカウントは最初のメッセージに応答するのに1時間かかり、「Pamela Turner」ポルノボットアカウントは応答に5時間かかりました。後続のメッセージに対する応答には、22時間近くかかりました。遅延の理由は明らかではありません。これは、Instagramダイレクトメッセージ内でボット関連の動作を探す自動化されたメカニズムを回避するためのボット構成の機能である可能性があります。

両方の「対話」では、アカウント名が完全に異なる（Carolyn、Pamela）にもかかわらず、パスに異なる名前（Alison、Amy）を持つ最初のメッセージで同じドメインが使用されていました。興味深いことに、後者との対話では、2番目のリンクは異なるURLを使用していましたが、同じパス（Amy）が使用されていました。

これらのNovelアカウントは独自のアカウントのように見えますが、一人のスパムオペレータによって運営されている可能性があります。スパムリンクへの直接メッセージを介してInstagramユーザーとやり取りする例は他にもあります。

偽の「安全な」Instagram URLメッセージ

また、別のInstagramポルノボット戦術として、URLがInstagramによって安全であるように見せかける偽造されたInstagramページがあります。

この場合、ポルノボットは、短縮URLサービスTinyURLを介してユーザーをWebサイトにリンクします。「Leaving Instagram」ページは.xyzドメインでホストされ、閲覧しているリンクが安全であるように見せかけ、ユーザーを騙すためのレイヤーとしてのみ機能します。

非モバイルユーザーは、良性のページにリダイレクされる

デスクトップからリンクにアクセスすると、非アダルトテーマのページにリダイレクトされる場合もあります。デスクトップで著者が閲覧中に確認したキャンペーンの1つでは、壊れた画像とスタイルシートを含むPlanetary Societyの古い保存された記事が表示されました。

モバイルデバイスから同じリンクにアクセスすると、詐欺師の意図したウェブサイトへの 302リダイレクトが発生します。これは研究にデスクトップを使用する研究者を妨害するためだと考えられますが、研究目的のために、これを回避する方法があります。ただし、リダイレクトの背後にある本当の意図は、、アダルトデートアフィリエイトプログラムガイドラインに準拠するために「リード」がデスクトップからではなくモバイルデバイスからのものであることを確認するためだと考えられます。

グループInstagramダイレクトメッセージング

アダルト出会い系スパムをプッシュする方法として、中間アカウントやNovelアカウントの他、より直接的なアプローチを取り多数のユーザーにグループダイレクトメッセージを送信する詐欺師もいます。

上記のケースでは、「Dorothy」という名前のポルノボットアカウントは25人のユーザーをInstagramダイレクトメッセージチャットに追加しています。Instagramによると、ユーザーは最大32人のユーザーをInstagramダイレクトメッセージスレッドに追加できるとのことです。

Instagramダイレクトメッセージをユーザーに送信することは誰でもできますが、ユーザーはこれらのダイレクトメッセージを別の「メッセージリクエスト」セクションでフィルタリングできます。通常、グループ名は変更しませんが、「my very hot  photos」などのグループ名が付けられていることもあります。

これらのポルノボットの1つからの大量のInstagramダイレクトメッセージは、ユーザーに「Dorothy」からのメッセージを受信したいかどうか尋ねます。 リンクと画像のサムネイルは受信者に表示されません。

メッセージリクエストが受け入れられると、リンクとサムネイルが表示され、ユーザーをピンナップモデルのコミュニティサイトであるSuicideGirlsに誘導されます。

別の例では、ポルノボットには、ユーザーをサブスクリプション経由でコンテンツを提供するためにモデルやポルノ俳優が使用する制限の少ないコンテンツポリシーを持つソーシャルネットワーキングサービスであるOnlyFansにユーザーを誘導するリンクが含まれています。

これらのリンクはユーザーをSuicideGirlsまたはOnlyFansのウェブサイトに導くものではありません。上記の他のポルノボットアカウントと同様に、リンクはフックアップサイトの仲介ページにつながります。

アダルトデートやウェブカメラサイトの中間ページ

前述の中間アカウントの他、Instagramのポルノボットオペレーターは、さまざまなキャンペーンを提供するために設計された中間サイト（「プレランダー」ページと呼ばれる）を利用して、ユーザーをさまざまなアダルトテーマの出会い系サイトやウェブサイトに誘導します。

ユーザーは、性的嗜好に関する「アンケート」に入力するよう求められ、対象となる大人のデートやウェブサイトのウェブサイトにつながります。これらの例では、Snapcheat やSinderと呼ばれるWebサイトにつながります。これは、人気のソーシャルネットワーキングおよび出会い系アプリSnapchatとTinderを模倣したウェブサイトです。これらのURLには、キャンペーンID、および最も重要なアフィリエイトIDに関するパラメーターを含むクエリ文字列が含まれています。

アフィリエイトとボットの組み合わせ

Instagramのポルノボットの背後にある収益については、VICEの記事で説明しましたが、中間ページの目標は、男性のInstagramユーザーに、SnapcheatやSinderなどのアダルトデートやウェブカメラサービスに登録させることです。サービス自体は、新しいユーザーを誘導するアフィリエイトプログラムに依存しています。アフィリエイトプログラムは非常に一般的であり、多くの電子商取引サイトで使用されています。アダルト出会い系サイトやウェブカメラの世界では、これらのアフィリエイトプログラムの目標は、より多くのユーザーを自分のWebサイトにサインアップさせることで、詐欺行為の取り締まりに関してはそれほど厳しくはありません。

ほとんどの場合、アフィリエイトは、これらのアダルト出会い系サイトまたはアダルトウェブカメラのウェブサイトのいずれかにサインアップするようにユーザーを説得するだけで、リードを獲得できます。これは通常、アフィリエイトオファーでフローとして定義されます。ほとんどの場合、ユーザーが「無料ユーザー登録」フローを完了すると、変換されたリードとしての資格が得られ、これは通常、1リードあたり2ドルから5ドルの間の価値があります。

アフィリエイトのオファーに「CC submit」などの文言が含まれる場合、つまりアフィリエイトが無料トライアルのサービスにサインアップするためにクレジットカードを送信するようにユーザーを説得した場合、最高のリードとみなされます。ユーザーが「無料」のトライアルをキャンセルしなかった場合、多くの場合、40ドルから100ドルが請求されます。

ほとんどのInstagramポルノボットスパムは、無料ユーザー登録を介してアフィリエイトオファーを獲得目指しています。Instagramのポルノボットスパムの運営者は、ユーザーがクレジットカードを送信する必要があるより価値の高いオファーではなく、単純なサインアップによって大量のリードを生成することに焦点を当てていると考えられます。後者の戦術は参入の障壁が高く、アフィリエイトの支払い額に反映されます。中間ページは、ユーザーが18歳以上かどうかを一応尋ねますが、回答にかかわらずユーザーはアダルト出会い系サイトとウェブカメラサイトに誘導されます。そのため、10代の未成年でもリンクをクリックしてウェブサイトにサインアップしている可能性があります。

弊社は、BitlyとInstagramに連絡して、詐欺行為に関する情報を提供しました。Bitlyは、詐欺師のアカウントを一時停止し、彼らが生成したURLを削除したことを確認しました。Instagramは、このブログの公開時点では応答していません。 

Instagramスパムからのリンクアクティビティ

Instagramのポルノボットスパムで使用されるURLには、中間サイトへの直接リンクや実際のリンク先URLをマスクする短縮URLがあります。限られた数のキャンペーンアクティビティから取得した短縮URLの統計データに基づくと、リンクごとの平均クリック数は約285です。しかしながら、リンクのクリック数の分布は、最小9クリック、最高1,000クリック以上と大きくばらついています。

Bitlyは、各短縮URLのクリックの内訳を提供します。以下は、「babe」キャンペーンの1つで使用される大量の短いURLの内訳です。

6月21日に取得したこの特定のBitlyリンクの統計では、1,000以上のクリックが表示され、そのうち97％がInstagramから発生し、Facebookからの小さなサブセットとより一般的なバケットから発生しています。

以下のBitlyリンクと相互作用のある国の分布を見ると、米国に最も集中していることが分かりますが、世界中80カ国に広がっています。

まとめ

Instagramに多数のアクティブユーザーがいる限り、詐欺師はポルノボットを使用することでしょう。 Instagramのような多くのユーザーをもつソーシャルネットワーキングサービスは、広告主だけでなく、詐欺師も引き付けることでしょう。

「唯一不変なるものは変化なり」ということわざがあります。いたちごっこに終わりはありませんが、戦術は時間の経過とともに変化すると予想されます。これらの詐欺師にとって、このデュマの「モンテ・クリスト伯」の名言「待て、しかし希望せよ」」は彼らの努力を正確に描写しています。

もっと詳しく

• Viceの記事を読む：The Secret Trail of Money Behind Those Instagram Porn Bots
• Daily Mailの記事を読む：Hackers are taking over YOUR Instagram profiles with pornograhpic images and adult dating spam
• Tenable Researchからの最新ニュースと見解は、https://www.tenable.com/researchをご覧ください