ギズモードジャパン

月曜夜更かしした人はTwitterのフォロワーが急に0になって焦ったんじゃ？

相手構わず誰でも強制的に自分のフォロワーにできるハックが大流行し、そのバグの修正の間、世界中のフォロワー数が一時的にゼロになったわけですが、事件の顛末を振り返ってみましょう。

まず大流行の引き金になったのが、以下のGizmodoの記事「強制フォローさせる手順」です。

強制フォローさせる手順

この死ぬほど簡単な手順に従えば、オプラからカッチャーまで、誰にでもフォローしてもらえる。いや本当さ。Twitterほどの人気サービスに何故こんなデカい穴が口開けたまま放置されているのか分からないけど、ともかく僕も晴れてオプラにフォローされ、DM（ダイレクトメッセージ）送れる身分になった。

[手順]

1. Twitterのサイトを開く。（アプリで試してもダメだった）
2. 「accept 相手のユーザーネーム」とつぶやく。例）　accept oprah

3. 数秒お待ちを。サーバーエラーが出るかもしれないけど、それはうまく行ってる証拠。
4. フォロワーリストをチェックしてみて。
5. !!!

もう使われてないシステムの置き土産か、Twitterの構造上の欠陥を晒すコマンドだと思う（「follow ユーザーネーム」と入力すると、その相手をフォローすることもできるので）けど、すごいな、こりゃ。

米版UPDATE:

100万人近いフォロワーがいるコナン・オブライエンも0！

早速ツイッターが対処してる模様。ほぼみんなフォロワー数＆フォロー数ともに0カウントになった。強制フォローが成功したかどうかも確かめられないね。

米版UPDATE II: Twitterからの告知。
　

「バグ修正の間、フォロー数が0表示となり、
一時的にフォロー／アンフォローがオフラインになります」

米版UPDATE III: Twitterからの告知2。

「ユーザーが他ユーザーを強制フォローさせることが可能なバグを発見し、修正しました。このバグを悪用した操作をすべて解除すべく現在作業中です。フォロー／アンフォロー数が現在0になっていますが、これも間もなく復旧する見通しです」

米版UPDATE IV: フォロー／アンフォロー数が元に戻った。強制フォローした相手はまだ表示されるみたいだけども。

--Thanks, Bora Kırca and Güntekin!

第1発見者はトルコ人！

さて、気になるのがこの大穴を最初に見つけた人ですが、実はなんとトルコのBora Kırcaさんなのです。

Gizmodoに最初に教えてくれたのはBoraさんとは別のトルコ人のTwitterユーザー、Guntekinさんです。こんな誤植混じりの怪しげなメッセージでした。

A Turkish guy named Bora Kırca figared out accidently that if you tweet accept username, for example billgates, then bill gates will follow you.

it's so stupid; but true.

（Bora Kırcaっていうトルコ人の男が偶然見っっけたんだけど、「accept ユーザーネーム」ってつぶやくと、例えば名前んとこにbillgatesと入れてつぶやくとさ、なんとビル・ゲイツがあんたのことフォローするんだよ。馬鹿な話だけど、本当だってば）

「馬鹿な話だけど、本当」...まさにそう。Gizmodoがこれを公開するなり、あのフォロワー0騒ぎになってBoraさんのアカウントは利用停止になっちゃいましたから...。それにしてもこんな大きなバグ、どう見つけたんでしょう？　Guntekinさんは発見の経緯をこう語っています。

（Boraさんは）「Accept」という名前のグループが大好きで、愛情表現のつもりで「accept pwnz」ってつぶやいたら、つぶやきが表示される代わりに「pwnz」さんが自分をフォローし始めたのさ

つまり、偶然！　面白いこともあるもんだなーと彼女に話し、この状況に置かれたら誰でもやることだと思うけど、一緒に有名人をフォロワーに加えて遊んでいたら、トルコの2chっぽいNSFWなSNSに紹介され、そこからワッと世界に広まり、ものの数時間でアシュトン・カッチャーまで0フォロワーになった、ということですね。

テキストコマンドの穴

Twitterはスタートした当初からテキストコマンドを使っており、今でも使えるコマンドが結構あるんですね。

例えば、「STATS」と入力してクリックすると、上に自分のフォロワー数とかの数字が全部出てくるし、「FOLLOW ユーザーネーム」と入力するとその相手をフォローできるし、「RT ユーザーネーム」とつぶやけばそのユーザーの最新のつぶやきがRTできます。

こういう隠れコマンドは全部記録されてるんですが、今回の強制フォローを可能にする「ACCEPT」コマンドは残ってなかった、というわけ。

元々どういう目的でつくられたコマンドかよく分からないんですが、読者のRhainorさんは、「つぶやきを一般公開してないユーザーが、フォローのリクエストを受けた際、受理（ACCEPT）するコマンドなのでは？」という仮説を出してます。そうかも。

Twitterの返事

Twitterにも取材してみましたが、現在こちらの挙げた疑問点含め調査中だそうです。

もちろんこの問題はいずれ綺麗さっぱり片付くと思いますが、何時間もの間、何千人もの人たちが他人のTwitterアカウントをこんな初心者でもできる簡単なトリックで操れたという事実は、重いですよね。こうして公になる前にもBoraさんみたいな人が偶然知らず知らずのうちにフォロワー加えていた可能性も考えられそうだし...。

いつ誰にコントロールが奪われてもおかしくない、強制フォローよりもっとひどいことが起こらないとも言い切れない、という恐怖が心のどこかに残ってしまいそうです。

以下は、Boraさんが好きな「Accept」。

な～んか、解散後再々結成した（←訂正！Please Accept my apology, Accept）ドイツのメタルバンドにTwitterが荒らされるっていうのも変な話ですよね...以上、フォロワー0騒ぎの顛末でした！

John Herrman（原文1、原文2／satomi）