2015年9月21日月曜日

格を表示しない助詞を使ったアカウント乗っ取りの手口

アプリの連携機能を使ってツイッター・アカウントを乗っ取るスパムが出回っているようですね。連携承認画面の文を見ると、日本語の助詞「は」の曖昧さと、主語を省略するという性質を巧みに突いている事が分かります。

このアプリケーション次のことができます。
  • タイムラインのツイートを見る。
  • フォローしている人を見る、新しくフォローする
  • プロフィールを更新する。
  • ツイートする
  • ダイレクトメッセージを見る。



助詞「は」は文の主題(この場合は「このアプリケーション」)を表わすだけで、その主題の文法上の格(case)までは表示しません。

上の例文では、「は」は本当は主格(nominative case)を表わしていますが、
アプリケーション + できます
の組み合わせを見れば具格(instrumental case)だと解釈するのが自然なので、
このアプリケーション(を使う事で、あなた)は次のことができます。
の意味だと誤解しやすいんですね。しかも、日本語では主語(「あなた」)を表示しないのが普通なので、誤って具格と解釈しても微塵も不自然さが有りません。

この騙しの手口は、承認画面の文が少し違えばだいぶ使いにくくなると思います:

このアプリケーション次のことをするのを許可しますか?