@babyjatotttc というtwitterスパマーからスパムtweetが来た。

これまでtwitterでスパムというと、エロ系アイコン使ったフォロースパムか、Mobsterスパム*1というのが目立ったところだと思う。

このtwitterスパマーの手法は、メールのスパムと同じように「@ユーザー名」でターゲットに開かせたいURL付きのtweetを送ってくる。
とりあえずこのtwitterスパマーを「bittly.strangled.netスパム」と呼ぶことにする。

tweetの内容は直近のtweetからランダムに拾ってくるっぽくて、自分にはスペイン語っぽいのがとどいた。
なのですぐにスパムだなとわかったが、直近のtweetだから、日本語のtweetが拾われている例もあった。ここは今後、ターゲットのLANGを見てそれに合わせて拾うtweetをかえてくるように進化するんじゃないかと思う。
また、スパム用アカウントも複数作られているため、アカウント名だけではブロックできない。

で、真の目的はその後のURLを踏ませることなのだが、これは

http://bittly.strangled.net/jJIPV

という感じになっている。

これパッと見「bit.ly」のようなどっかの短縮サービス使ってるように見せかけられているが、それは間違い。
実際には「bittly.strangled.net」というドメインでスパマーのサーバに飛ばされる。そこでスパマーが真に見せたいページを見せられてしまう。

この時、どうも向こうではIPを控えてるみたいで、そのIPから最初のアクセス時しか真に見せたいページは見せないように制限が掛かっており、解析されるのを妨害している。
そのため、２回目以降はふつーのいろんな記事へ単に転送されてしまうので、tweetがスパムだったのか気が付きにくいように工夫されている。

wgetで見てみたところ、簡単なjavascriptを返しているようで、Amazonのwishlist(欲しいものリスト)あたりへ飛ばすことを意図しているような感じ。

<html><body><script>
  m = 'w'+'indow'+'.'+'loc'+'ation'+'="/wishlist"'
  done = 0
  go = function() {
    if (!done)  eval(m)
    done = 1
  }
go();</script></body></html>

ちゃんと確認していないのだが、たぶん同時にAmazonのアフィリエイトのCookieを食わされているのではないかと思う。

この状況から、wishlistに入れておいたもの*2を買うとスパマーにアフィリエイトの金が転がり込むという寸法だ。
URLを踏んだ人がなんらかの金銭的被害をこうむることはないが、スパマーどもを肥え太らすことはスパマーに加担しているのとある意味同じことなので、踏んでしまった場合はクッキーを削除するのが良いでしょう。

さっくりtwitterにスパマー通報はしたのだが、AmazonのアフィリエイトIDも調べてAmazonにも通報したほうが良いだろう。が、アフィリエイトIDがわからん…

（追記）

@elek_tronica さんから、Googleのtweet検索結果より、8/15あたりからこのスパマーが発生しているのではないか、というフォローをいただきました。

http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla:ja:official&prmdo=1&q=%22bittly.strangled.net/%22&aq=f&aqi=&oq=&gs_rfai=&&tbs=mbl:1,mbl_hs:1281798000,mbl_he:1281884399,mbl_rs:1281868566,mbl_re:1281870974

（追記）

罠URLをあえて踏んでみたところ、Amazonの英語ページが表示された。
下記は、そのときのhttpリクエストとレスポンス情報。
ここからスパマーのAmazonアフィリエイトIDがわかるでしょうか？ちょっとわからない感じだけど。

Request URL:http://www.amazon.com/gp/product/B003RNXIBK?ie=UTF8&tag=eminem00-20&linkCode=as2&camp=1789&creative=9325&creativeASIN=B003RNXIBK
Request Method:GET
Status Code:200 OK

【Request Headers】
Accept:application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Referer:http://bittly.strangled.net/wishlist
User-Agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4

【Response Headers】
Content-Encoding:gzip
Content-Type:text/html; charset=ISO-8859-1
Date:Tue, 17 Aug 2010 08:15:39 GMT
Server:Server
Transfer-Encoding:chunked
Vary:Accept-Encoding,User-Agent
p3p:policyref="http://www.amazon.com/w3c/p3p.xml",CP="AMZN "
x-amz-id-1:15W3ZPGXR3BB4B5Y175T
x-amz-id-2:8mvCRUhqBDbYFshIIItm7yoxAl9ueW2Z

（追記）

コメントで「匿名」さんとブクマで id:lillicat さんから、アフィIDはリクエストURL中の「eminem00-20」だと教えていただきました。ありがとうございます。

AmazonのアフィリエイトIDは「tag=〜」の部分なんですね。
踏んでみて出てきたのがエミネム関連の商品が紹介されてたので、いわゆる「タグ」指定なのかと騙されてました。

とりあえず英語はしんどいので、日本のAmazon宛に日本語で報告したいと思います。

（2010/8/23 追記）

数日猛威を振るった後一旦はいなくなったのだけども、また同じやつが出てきてる。
今度は張られてるURLが

cthru.mine.nu

となっている。

完全にいたちごっこモード入ったかも。