Spotify

Spotifyのプレイリストやポッドキャストが、海賊版ソフトウェア、ゲームのチートコード、スパムリンク、「warez」サイトのプッシュに悪用されています。

プレイリスト名やポッドキャストの説明文に狙ったキーワードやリンクを挿入することで、Spotifyのウェブプレイヤーの結果がGoogleなどの検索エンジンに表示されるため、脅威行為者は自分たちの怪しいオンラインプロパティのSEOを高めるという利益を得ることができます。

Spotifyのプレイリストがwarezをプッシュする

プラットフォームを悪用する場合、スパマーや詐欺師は自分たちのアジェンダを宣伝するために手段を選びません。

最近では、”Sony Vegas Pro 13 Crack… “というタイトルのSpotifyプレイリストが、プレイリストのタイトルと説明文に記載されている1つ以上の “フリー “ソフトウェアサイトへのトラフィックを誘導しているように見えた。

このプレイリストを発見したサイバーセキュリティ専門家のカロル・パシオレックは、「サイバー犯罪者はSpotifyをマルウェア配布に悪用している。なぜか?Spotifyの評判は高く、そのページは検索エンジンに簡単にインデックスされるため、悪意のあるリンクを宣伝するための効果的なプラットフォームとなっている。”

Spotify playlist promoting Sony Vegas Pro pirated software
Sony Vegas Proの “クラック “を宣伝するSpotifyのプレイリスト
(Karol Paciorek)

warez」や「crack」という用語は、コンピュータ文化において、インターネット上で流通している海賊版ソフトウェアや海賊版ソフトウェアを指す言葉として頻繁に使用され、多くの場合、信頼できないウェブサイトで使用されています。

このようなウェブサイトや「トレント」から偽造ソフトウェア製品をダウンロードしようとしても、マルウェアであったり、詐欺である偽の「アンケート」サイトに誘導されたりする可能性があるため、リスクがないという保証はどこにもありません。

このような「warez」をダウンロードしたユーザーは、確かに、場合によっては、料金を支払うことなく、疑わしいウェブサイトで宣伝されているソフトウェア・プログラムを受け取ることができるかもしれませんが、知らず知らずのうちに、「クラックされた」バージョンのソフトウェアにウイルス、アドウェア、その他の不要なプログラムが隠されている可能性があります。

付加価値:スパムサイトのSEO

私たちは、Spotifyのような信頼性が高く人気のあるプラットフォームをスパムで汚染することで、脅威行為者にとって、彼らの怪しいウェブサイトの検索エンジンランキングが上がるという副次的な効果があることを確認しました。

無料ダウンロード」のようなキーワードと「Sony Vegas Pro 13」やその他のソフトウェア製品を組み合わせて検索すると、次のようなGoogleの結果が表示されることがあります:

Spotify podcasts and playlists appear in search results
Spotifyのプレイリストとポッドキャストが検索結果に表示される
()

これは、Spotifyがモバイルおよびデスクトップアプリに加えて、open.spotify.comでウェブプレーヤーバージョンを提供しているためです。ウェブ・プレーヤーで利用できるプレイリストやポッドキャストは、他のウェブサイトと同様、グーグルなどの検索エンジンにクロールされる。

つまり、不正な「フリー」ソフトウェア・ウェブサイトは、知名度が上がり、トラフィックをそのサーバーに誘導する可能性が高くなる。そのサーバーには、広告やスパムコンテンツ、偽の「アンケート」、暗号化された景品がたくさんあり、ユーザーはおそらく最終的にクラックされたソフトウェア製品をダウンロードするためにナビゲートしなければならない。

私たちはSpotifyに、スパムをキャッチして防止するためのコントロールや自動化技術があるかどうか、また、Spotifyのサードパーティ製アプリやサービスが悪用されて、プラットフォーム上にスパムコンテンツが紛れ込んでいないかどうかを尋ねた。

Spotifyは “Sony Vegas Pro “プレイリストとポッドキャストを削除し、広報担当者はこう答えた:

「問題のプレイリストのタイトルは削除されました。

「Spotifyのプラットフォーム・ルールでは、コンピュータ、ネットワーク、システム、またはその他のテクノロジーに危害を加えたり、不正にアクセスしようとしたりするマルウェアや関連する悪意のある行為の実行方法を投稿、共有、または提供することを禁止しています。

その他の質問に対する回答は得られなかった。

ポッドキャストの「エピソード」は合成音声を使用

Spotifyのスパム問題は、海賊版ソフトウェアへのリンクを宣伝するプレイリストに限らず、eBookを含む海賊版デジタルコンテンツ全般であることがわかった。

プレイリストに比べ、偽のポッドキャストが非常に多く、それぞれがいくつかの「エピソード」を持ち、スパムリンクや「トレント」、詐欺と思われるTelegramチャンネルを宣伝する目的で公開されていることが確認された。

Several Spotify podcasts and playlists promoting pirated digital eBooks
ePubやeBookのPDFを宣伝するSpotifyのポッドキャストやプレイリストがいくつかある
()
Spurious Spotify podcasts promoting ebooks and torrents
Spotifyの電子書籍と「トレント」ポッドキャスト
()

これらの “エピソード “は10秒から20秒ほどの長さで、”説明のリンク “にアクセスするようユーザーを誘導する合成音声で構成されている。そのようなエピソードの一つを以下に書き起こす:

「このチャンネルからオーディオブックをダウンロードしたり聴いたりしたい場合は、説明文にあるリンクをクリックしてサインアップしてください。私のチャンネルにお越しいただきありがとうございます。”

これらのリンクは、広告された本のデジタルカバー画像の隣に「ダウンロード」または「オンラインで読む」ボタンがあるページにつながる。しかし、どちらかのボタンをクリックすると、アンケートが開始されるか、もっと悪いことに、ユーザーを薄っぺらい「広告ブロック」Chrome拡張機能に誘導し、代わりにデータを収集している可能性がある:

Adblock extension ads
怪しげな「広告ブロック」Chrome拡張機能広告 ()

次はゲームチートと「GTA V」MOD

同様に、Apex Legends、Fortniteハック、Robloxスクリプト、「GTA V改造」、トレーナーなどのヒットタイトルのゲームチートコードを提供すると主張するポッドキャストも発見した

cheat codes
ポッドキャストの説明には、ゲームのチートとハックのキーワードが含まれている
()

この例のエピソードの説明文にある「無料チートコード」のテキストはクリック可能で、cheater.ninjaのウェブサイトにつながっていた:

Cheater ninja website pushed via podcasts
ポッドキャスト経由でプッシュされる「Cheater.ninja」ゲームのチートサイト ()

8月には、セキュリティ研究者の@g0njxaが、「フォートナイト」のスパマーがこのプラットフォームを悪用している例を共有している:

サードパーティのポッドキャスト配信サービス経由での公開

興味深いことに、Spotifyのようなプラットフォームは、自動化された技術や無効なプレイリスト名や説明を制限する障壁を持っている可能性があるが、サードパーティのアプリやサービスは、脅威行為者が足を踏み入れるための別のベクトルである。

すべてではありませんが、このような「ポッドキャスト」の多くに共通するのは、Spotifyを含むストリーミング・プラットフォーム全体で、ポッドキャスト制作者にホスティング、公開、配信サービスを提供するサードパーティ・サービスを利用していることでした。

私たちは、これらのポッドキャストの説明欄に「Powered by Firstory Hosting」のバナーが付加されていることに気づいた。

2019年に開始されたFirstoryは、”世界中のポッドキャスターに力を与え、あらゆる場所で配信し、視聴者とつながり始める!”ことを目的としたオンラインサービスだ。

Firstoryを使ってSpotifyでポッドキャストを公開することができるが、このプラットフォームはスパムが継続的な問題であることを認めており、その抑制に注力している。

「スパムのアカウントとコンテンツは継続的な課題であり、私たちは改善に焦点を当て続けています。

「誰でも私たちのプラットフォームを使ってSpotifyでポッドキャストを公開することができます。しかし、特定の詐欺的なドメインを使用したアカウントや、account+[数字]@gmail.comや’.’のようなバリエーションを含むメールアドレスをメールに使用したアカウントを防ぐために、一定のフィルターを設けています。

“これらのスパムアカウントは、私たちが最も大切にしているクリエイターの権利を侵害するだけでなく、私たちの運営コストを押し上げています。”

“私たちはこの問題への対処にかなりのリソースを割いてきました”

ゆう氏は、セキュリティ対策として、電子メールの確認とブロック、つまり、”アカウント登録の過程で、疑わしい電子メールアドレスや詐欺的な電子メールアドレスをブロックするための一連のチェック “を行っていることを明らかにした。

さらに、このプラットフォームはSpotifyと密接に連携しており、Yu氏によれば、侵害コンテンツが検出された場合は速やかにレビューし、報告する。

「また、SpotifyとAPIを統合し、フラグが立ったコンテンツを削除している。

「スパムコンテンツのホスティングを防ぐため、EPUB、PDFなど特定のキーワードでポッドキャストのタイトルとショウノートをスキャンしています。ここでの課題は、エピソードによっては「E.P.U.B.」のようなバリエーションが使われていたり、「epub」のような用語が関係のない文脈(例えば「republic」)で含まれていたりすることです。このような場合は、審査過程で特に注意が必要です」とユーは結論づけた。

出会い系のプロフィールに “手書き “のリンクを忍び込ませたり、政府や大学のウェブサイトを乗っ取ったりと、悪質な業者は、大衆に好ましくないコンテンツを押し付けるために斬新な手口を繰り返し使ってきた。そして今、彼らはあなたの好きな音楽も平穏なままにはしておかないだろう。

11月19日午前7時54分(米国東部時間)更新:専門家Karol Paciorek氏のコメントを追加。