初めまして。

#user_name#を置換する際の処理について、下記に不具合状況をまとめました。私自身はbot管理者ではありませんが、「botからのリプライ攻撃」の被害状況を半年ほど前から繰り返し見てきました。大変お手数ですが、今後、貴botプログラムを利用してbotサービスを開設する方々のために、修正して頂けないでしょうか。

＝＝＝＝＝

◇不具合内容

user_nameの部分に「@英数字」が含まれていたとしても、特に加工せずに処理しているため、そのまま投稿内容に埋め込まれると、「@英数字」へのメンションとして処理されてしまう。これを、「botからのリプライ攻撃」のために容易に悪用されてしまう。 注：ここでの英数字は、英語のアルファベットの大文字小文字、数字、アンダーバーを指します。

◇対策案

#user_name#をTwitterアカウントのユーザー名に置換する際に、「@英数字」が含まれていた場合は、「@ 英数字」のように空白一文字を挿入することにより、そのまま投稿内容に埋め込んでも「@英数字」へのメンションとしてTwitterサーバー側に処理されないよう、回避する。

◇botによるリプライ攻撃の詳細

リプライ爆撃でbotを悪用する手法は単純なものです。

・アカウントを作成する ・TLの内容(おやすみ)などに自動応答するbot群を数百フォローする ・自アカウントから数分～数十分間隔で「おはよう」「おやすみ」などを自動投稿するように、自動投稿サービスを設定する ・自アカウントのuser_nameの部分を「暴言内容@abcde」のように設定する。※@abcdeは攻撃対象のTwitterアカウント ・自アカウントをフォローバックしているbotが反応し、 　「@次アカウント おやすみなさい、暴言内容@abcde。」 　のような内容のリプライが自アカウントと@abcdeに返信される。

これにより、現在、約90のbot群が自動で定期的に@abcdeへリプライを返している状況です。その約90の中に、貴bot作成サービスで作成されたbotがいくつか含まれています。

被害に会っている@abcdeが「全botをブロックすれば、メンション欄ではbotからのリプライは非表示になるため、何の問題も無い」と普通は予想します。しかし実際には、Twitterサーバー側の負荷の問題も絡んでなのか、「メンション欄に、bot以外からの他のリプライがほとんど表示されない」という状況に陥っているそうです。つまり一種のDOS攻撃として効果を発揮していることになります。

リプライの実例のツイートへのリンクを下記に示します。 https://twitter.com/1_kaguyama_bot/status/440037652960522241

＝＝＝＝＝

各bot管理者へ、悪用者をブロックして頂けるよう声を掛けさせて頂いておりますが、いたちごっこの側面があり、botサービスプログラムを作成している方にもご協力をお願いすることも必要だと感じ、今回ご連絡させて頂いた次第です。

以上よろしくお願いします。