Wikipedia:井戸端/subj/荒らしボット対処のための緊急措置に関する報告

リンクを追加
井戸端のタグ管理者 | 荒らし対策 | 権限行使 | 緊急案件 | 統計 [編集]

荒らしボット対処のための緊急措置に関する報告[編集]

お久しぶりです。rxy です。2016年1月24日 21:32:42 (JST) より、悪意のあるボット(ボットネット?)によって、無差別かつ大量にページ内容を 'ayy lmao' へと置き換える攻撃が発生していました。これに伴い、私 rxy は、Triglav さんによって、本件の緊急対応を目的とした一時的な管理者権限と編集フィルター編集者 の付与を受けましたので、ここにご報告いたします。また、私は本件対応のため、下記の操作を行いました。加えて、他のビューロクラット等より、追加の報告があることと思います。(以下、敬称を省略いたします)--rxy会話2016年1月24日 (日) 14:29 (UTC)[返信]

Triglav による緊急措置
  • ビューロクラット権限にて
  • 管理者権限にて
    • rxy に 編集フィルター編集者 権限を付与
rxy による緊急措置
W.CC による緊急措置

追記:W.CC会話2016年1月24日 (日) 15:21 (UTC) コメント欄に詳細[返信]

コメント[編集]

コメント 今回、私 Triglavのビューロクラットの職権で、荒らし対処にお詳しい元管理者の rxy氏に「管理者」と「編集フィルター編集者」権限を付与いたしました。以上報告のとおり荒らし行為の停止と書き換えられた本文の復旧は完了した模様です。対処された rxy様とブロック処置の管理者の皆様、差し戻し対応された全ての利用者の皆様に御礼申し上げます。
さて、この一連の処置に対してビューロクラットによる権限付与、期限を定めないブロック処置、編集フィルターの戻し忘れ等がありましたら、こちらに報告ください。よろしくお願いいたします。--Triglav会話2016年1月24日 (日) 15:04 (UTC)[返信]

補足ありがとうございます。「臨時の管理者: 2. 以前、日本語版で管理者であり、問題があって罷免されたのではない利用者」適用です。--Triglav会話2016年1月24日 (日) 15:23 (UTC)[返信]
  • コメント ご報告いたします。上記の3名に対し、臨時で巻き戻し者権限を付与しました。巻き戻し者の臨時措置については、既定にはありません。本来なら、Wikipedia:管理者#臨時の管理者の優先順位を準用するべきでしたが、荒らしが起こっているまさにその時点で対応できる利用者は限られていましたので、特別:最近の更新を見て活発にリバート作業を行っている利用者のうち、特に目が留まった利用者のうち、管理者でない3名に対して臨時の付与を行ったものです。お詫びしなければならない点が3点あります。
  1. 対象の利用者に対して事前告知を行わなかったこと。
  2. 公平な付与基準ではなかったこと。
  3. 対応が遅く、付与直後に終息し権限はほとんど使用されなかったこと。
1については、とにかく迅速な対応が必要と考え、まず付与した後に事後にそれぞれの方の会話ページへ報告を行いましたが、やはり事前にやれたらその方がよかったと思います。2の付与基準については、私が個人的に昔からウィキペディアに関わっている方だと知っていた方を選んだため、他の方から見るとかなり曖昧なものになりました。また、特に多摩に暇人さんについては現在管理者の立候補中であり、デリケートな時期にお願いしてしまった形になります。3については、付与直後に終息したため、使用件数は、高木あゆみさん1件、ぱたごんさん6件、多摩に暇人さん0件でした。結果的にほとんど意味を成さない措置となりました。コミュニティからいただいたビューロクラットの権限を預かる身でありながら、迅速な措置がとれず、結果として3名の方のみならずコミュニティの皆様にご迷惑をおかけしてしまったことをお詫びいたします。--W.CC会話2016年1月24日 (日) 15:21 (UTC)[返信]
  • コメント 正確な情報かもしれませんがHelp:記事とは何かを見ると、(今回の一件では「内部リンクを一切含まないページ」になったもの)いまだ記事の定義から外れているものが621個以上あるようです( 999,379本時点)。--多摩に暇人会話) 2016年1月24日 (日) 15:27 (UTC)一時的に付与された権限ですが、ブロックされたIPのうち差し戻しされていないものを戻していたため、結果的には使用しませんでした。(追記)--多摩に暇人会話2016年1月24日 (日) 15:31 (UTC)[返信]
  • コメント 今回の一連の動きを追認します。権限付与したTriglavさん, W.CCさん、権限付与されたrxyさん, 高木あゆみさん, ぱたごんさん, 多摩に暇人さんのいずれの対処・行動も本件に対する緊急の措置として妥当なものでした。また一管理者として、事態に気がつけず対応できなかったことについて申し訳なく思います、みなさまお疲れさまでした。--Y-dash 2016年1月24日 (日) 15:43 (UTC)[返信]
  •  追認 久しぶりにRCを閲覧し事態を把握しました。この大規模荒らしの事態の中で、臨時に権限付与したTriglavさん、W.CCさんの判断は、妥当な判断であり、その事態下において最善の事をやり遂げた結果と思います。もし、同じ立場であったと考えると、同じ判断をしていると思います。また、気づけなかったとしても恥すべきことではないでしょう(RCを見続けて倒れてしまうというのは問題ありますから)。本事態の中で差し戻し対応を行った皆様方、ブロック対応を行った管理者・スチュワードの皆様方、お疲れ様でした。--Carkuni (talk) 2016年1月25日 (月) 11:48 (UTC)[返信]
  • コメント 私も臨時管理者・差し戻し者については追認します。私も色々対応していたのですが、問題ない編集を差し戻したことで、結果として問題のある差し戻しを行ってしまいました。理由を申し上げますと、先日までまともな編集をしていたIPが急に荒らしに凶変してしまったこと。そのことで、問題編集以外の差し戻しになってしまった次第です。とはいえ、数が膨大すぎて、いちいち確認出来なかったのも事実です。何か、ウイルスに感染したかのような編集です。いくつか感じていることは、複数のIPが確認出来るのですが、一定の業者の共通性があるのかどうか。そもそもの原因は何なのかなど調べる必要があると思います。このような事態は、繰り返されるような気がしています。有効な予防策など、構築していく必要があると思います。--Taisyo会話2016年1月25日 (月) 14:21 (UTC)[返信]
  • コメント 此度の件につきまして一時的に巻き戻し者権限を付与された立場として、コメントを残させていただきます。巻き戻し者権限の行使によって攻撃を受けた項目を元に戻す作業が一手間減ることは作業者として大変にありがたいことで、しかしそもそも私自身が巻き戻し権限を今まで行使したことがなかったために使用方法がわからないという事態に陥りました。そこまで悩むほどの複雑な手順ではなく、Help:以前の版にページを戻す方法のページを参照すればそれまでなのですが、慎重な対応を期さざるを得ず、結果として私の場合は上記に書かれておりますとおり、1回だけの権限行使に終わりました。これは私の経験不足と、各ページを元に戻す作業に関わった方が多く復旧が早かったが故のことです(臨時権限付与が慎重に行われるのは当然で、これ以上早いタイミングは厳しかったでしょう)。今回の臨時権限付与の対象の妥当性、並びに権限付与がもたらした結果についての妥当性については、これを判断する立場にありませんので、コメントは控えます。--高木あゆみ会話2016年1月26日 (火) 10:50 (UTC)[返信]

記事数[編集]

  • jawp史上初?の事件に対して、本当に些末ではありますが、記事数のカウントが復旧していませんので、まだ3日ほど「100万未満なのに100万達成と掲げてある」奇妙な状態が続きます。(1) 3日程度なので放置するか、(2) メインページお知らせとSitenoticeの100万達成を一時的に(あるいはもう掲示終了として)外すか、(3) メインページの記事数カウンタを一時的に外すか、どれが良いでしょうか。(なお(2)(3)については編集権限が要ります)--Hisagi会話2016年1月26日 (火) 15:00 (UTC)[返信]
    • 一応、昨夜に本番環境の shell アクセス(サーバーのコンソール(管理画面)を持つと思われる人へ、記事数を更新するためのメンテナンススクリプト "updateArticleCount.php" の実行をお願いしたのですが、負荷の関係で本番環境にて実行していいのかわからないため、「すぐには独断で実行することはできない」とのことでした。
    • 数日間隔か、毎月だかの適当な頻度で更新用のスクリプトが自動実行されるはず(ドキュメントが乏しいので未検証)なのですが、もうしばらく経過しても治らない場合や、急ぎであれば IRC の #wikimedia-operations にて問い合わせてほしいとのことでした(別の人からは、IRC で対応可能な人が不在であれば、 Phabricator にチケットを書いた方がいいと言われました)。
    • 急ぐのであれば、何とか権限のある人にお願いしてみます。
    • 個人的には、「100万達成を達成した」ということは事実なのですがら、放置してもよいかと思います。ただ、一般の閲覧者視点でみると、「100万達成」と書いてあるそばで、それ未満の記事数が表示されていることを不思議に思う人がいるかもしれませんので、あまりよろしいことでもないとは思いますが。--rxy会話2016年1月26日 (火) 16:43 (UTC)[返信]

記事数が本日発生の分で再び減ってしまいました…。--rxy会話2016年1月29日 (金) 12:54 (UTC)[返信]

  • まるで当てずっぽうの根拠の無い話ですけれど、「100万達成」て書いてあるので「100万より減らしちゃう」荒らしが面白がっているのかも・・・。今更言ってもしょうがないことですが。--柒月例祭会話2016年1月29日 (金) 15:04 (UTC)[返信]

第二次攻撃の発生[編集]

また大規模荒らしが起きております。--Haifun999会話2016年1月29日 (金) 11:42 (UTC)[返信]

2016年1月29日 20:19:58‎ (JST) より、再び攻撃がありました。置換内容は前回と異なっていますが、投稿速度と方法より、同一ではないかと思われます。IRC にてスチュワードへ連絡を行うとともに、管理者や 編集フィルター編集者, インターフェース編集者 の方がいないかと呼びかけてみましたが、すぐには反応がなかったため、全ページの半保護措置を依頼し、実施されました(編集フィルターによる対策へと切り替えが行われ、現在は解除されています)。

今回、臨時権限の付与はありませんでしたが、関連する荒らしということで、対策等の議論を含めてまとめておくとよいかと思いましたので、こちらへ投稿しておきます(編集競合しましたがそのまま投稿します。必要であれば適宜修正・移動してください)。--rxy会話2016年1月29日 (金) 12:40 (UTC)[返信]

今日の荒らしを見ていて、いくつか特徴的な点があることを見つけましたので報告します。編集フィルター記録を合わせて確認して掴んだ点として、例としてこのIPの場合、20時20分から25分まで荒らした後休止。その後、20時56分から58分まで今回の荒らし編集を行っているのが確認出来ます。また、こちらのIPの場合、24日・29日共に荒らし編集が確認出来ます。前回ある程度推測したのですが、ウイルスもしくはそれに類する物。リモートホストを使った荒らしの可能性があるように思います。
対策として、ウイルス感染の可能性が高いので、編集フィルターで弾いたIPも含めて、ある程度長期のブロックが必要(因子を解消しない限り、再び同様の荒らし編集を機械的に行う可能性が非常に高い)と思われます。数も多く漏れも多いので、リスト利用によるBOTによる荒らしを行った全てのIPブロックの必要性も感じています。--Taisyo会話2016年1月29日 (金) 12:38 (UTC)[返信]
この仮説に基づいて行うべき事と必要な権限ですが、先にも挙げたとおり編集フィルターで弾いたことで編集履歴がないIPを含めて、24日・29日の大規模荒らしに使用したIPの全リスト。それに基づく、管理者権限付きBOTの必要(リストに基づき、ブロックの実行(1週間など短い期間のブロック期間もあると思うので、予め決めておいた一定の長いブロックのかけ直しも必要))に思います。それでどこまで改善するか分かりませんが、一定の効果はあると思います。--Taisyo会話2016年1月29日 (金) 12:46 (UTC)[返信]
20時50分頃までログが取れていなかった件。BOT側でコントロールされた物では無く、全記事半保護によって発生していた物みたいです。その点は訂正します。--Taisyo会話2016年1月30日 (土) 01:29 (UTC)[返信]

コメント 前回の件で報告をいただいたIPについては概ね対処したつもりだったのですが、IP:122.129.79.89会話 / 投稿記録など一部に再度使用されたIPがあったようで大変申し訳なく思います。仮に発信元IPがゾンビマシン状態あるいは踏み台として使用されたのみであったとしても、オープンプロクシと同等の扱いとしてWP:NOPに則り発信元全てに対して長期間(最低年単位)のブロック、また必要に応じて広域ブロックも併せて実施すべきでしょう。三度目はないよう打てる手は全て尽くさねばならないと考えます。--MaximusM4会話2016年1月29日 (金) 13:06 (UTC)[返信]

  • 情報 編集フィルター記録より、2016-01-29T20:58:00 - 2016-01-29T20:58:39(日本時間)に編集フィルターの「緊急対策」「LTA対策」に引っかかって不許可になっているIPのうち、ブロックされていないか、ブロックが1週間程度で延長が必要そうなIPを挙げます。なお、2016-01-29T20:57:59以前の編集フィルター記録はチェックできていません(手動でやるにはちょっと量が多すぎる…)。ちなみに、これらは全て1/29に実際の投稿を行っていないIPです。
ブロックが1週間程度で投稿記録が無いもの
ブロックされていないもので投稿記録が無いもの
ブロックされていないもので、1/29の投稿記録は無いが、1/24の投稿記録があるもの

--Haifun999会話2016年1月29日 (金) 14:07 (UTC)[返信]

  • コメント Rxyさんの報告によると第二次攻撃のIPの対象数は約792くらいで、第一次は1400くらいです。790個のIPをブロックするのは最速でも10分かかりましたから、セミオートでも2000件を超えるブロックは30分以上はかかるのではないでしょうか。明らかに機械的な荒らしなので、何らかのホストによってウイルス感染されたコンピュータが攻撃を仕掛けたと思います。そう考えると、荒らしは「ゾンビコンピュータ」ですので現時点ではWP:NOPに従って長期のブロックを実施した方が得策かもしれません。第三波を防ぐのは編集フィルターによる予防が重要だと考えます。例えば、IPから同様の内容の編集(一回目ですとayy lmao、二回目ですとtfw no qt jap wikipedo bfの置換)が20回を超えた場合は何らかのトリガーを自動的に発動して「問題となっている操作を利用者がするのを防ぐ」といった予防ができたら良いのではないかと考えます。--Infinite0694会話2016年1月29日 (金) 14:12 (UTC)[返信]
  • 情報 続きまして、編集フィルター記録より、2016-01-29T20:55:58 - 2016-01-29T20:57:59(日本時間)に編集フィルターの「緊急対策」「LTA対策」に引っかかって不許可になっているIPのうち、ブロックされていないか、ブロックが1週間程度で延長が必要そうなIPを挙げます(昨日の報告もそうですが、手動で見ていますので、見落としの可能性はあります)。なお、2016-01-29T20:55:58以前には編集フィルターの「緊急対策」「LTA対策」に引っかかっているIPは無いとみられます。
ブロックが1週間程度で投稿記録が無いもの
ブロックされていないもので投稿記録が無いもの
ブロックされていないもので荒らしの投稿記録が無いもの

--Haifun999会話) 2016年1月30日 (土) 00:47 (UTC)実験的に編集フィルター記録へのリンクが表示されるようにしてみました。--Haifun999会話2016年1月30日 (土) 01:02 (UTC)[返信]

フィルター44(ソース)ログをある程度整形しました。純粋に今回の大規模荒らしのみのログですので、公開して問題ない物です(起動開始が遅すぎましたが・・・)。何か参考になりましたら、権限のない利用者でも確認出来ますので、参考にしてください。--Taisyo会話2016年1月30日 (土) 01:29 (UTC)[返信]
https://ja.wikipedia.org/w/index.php?title=Wikipedia:井戸端/subj/荒らしボット対処のための緊急措置に関する報告&oldid=58428617」から取得