「毎日大量にスパムメールが届く」という事象に悩まされる人は多いハズ。そんな悪質なスパムメールを送り続ける業者に対して仕返しするべく、「スパム業者に偽のプロフィールページを送りつけ、終わることのないパスワード登録地獄に落とす」という報復システムが開発されました。

Troy Hunt: Sending Spammers to Password Purgatory with Microsoft Power Automate and Cloudflare Workers KV

https://www.troyhunt.com/sending-spammers-to-password-purgatory-with-microsoft-power-automate-and-cloudflare-workers-kv/

スパム業者報復システムを開発したのは、テクノロジー専門家でMicrosoft Regional Directorとしても活動しているトロイ・ハント氏です。ハント氏は「スパムメールを削除する作業」に時間を費やしている現状に怒りを感じ、スパム業者からも時間を奪う報復システム「Password Purgatory」を開発しました。

Password PurgatoryはMicrosoft製の自動化ツール「Power Automate」と、偽のプロフィールページから成り立っています。Password Purgatoryを使う手順は非常にシンプル。まず、以下のようなスパムメールを受け取ったら……

スパムメールをPassword Purgatory用に作成した特殊フォルダーに移動します。

すると、自動的にスパム業者にメールが返信されます。返信メールには「このフォームからあなたの情報を入力してください」と記されたリンクが含まれており、スパム業者がこのリンクをクリックすると……

以下のようなパートナーシップ募集ページが表示されます。パートナーシップを結びたい場合はページ下部の入力フォームにメールアドレスとパスワードを登録するように求められています。

ページの指示に従って、メールアドレスとパスワードを登録すると……

「パスワードには数字を1文字以上含むように」という警告が表示されました。ここまでは通常のパスワード登録フォームと似た挙動です。

指示通りに数字を含むようパスワードを変更すると、「パスワードは『cat』から始まる必要があります」という奇妙な警告が表示されてしまいました。

上記の警告に従い「cat」を含むパスワードを入力すると、今度は「パスワードは『dog』で終わる必要があります」という警告が表示されました。

その後も警告に従ってパスワードを登録するも、「パスワードにはザ・シンプソンズのメインキャラクターの名前が含まれる必要があります」などの奇妙な警告が出続け、結局パスワードを登録することはできず、かなりの時間を奪われる結果となるわけです。

スパム業者がパスワード登録を試みると、以下のように「登録が試みられたパスワード」や「偽のパスワード登録に費やした時間」をまとめたHTMLファイルが出力され、Password Purgatoryの使用者に通知されます。ハント氏は「通知メールが届いた際は、文字どおりフィッシング(釣り)が成功したような喜びを感じました」と述べています。

なお、Password Purgatoryのソースコードはハント氏が管理するGithubリポジトリで公開されています。

GitHub - troyhunt/password-purgatory: Deliberately making password creation a true hell

https://github.com/troyhunt/password-purgatory

GitHub - troyhunt/password-purgatory-api: This is the Cloudflare Worker public API for deliberately making password creation hell

https://github.com/troyhunt/password-purgatory-api