1 ポイント 投稿者 GN⁺ 2025-02-18 | 1件のコメント | WhatsAppで共有
  • XがSignalの直接連絡用ドメインであるSignal.meリンクをDM、公開投稿、プロフィール紹介に載せられないようにしている
  • ブロック時にはWebやiPhoneアプリなど環境によって「潜在的に有害」「自動化されたリクエストのように見える」「Description is considered malware」といったエラーメッセージが表示される
  • すでに投稿済みのSignal.meリンクは完全には遮断されていないが、XのURL Policy警告ページを経由しないと移動できない
  • ブロックはSignal.meに集中しているようで、Signal.orgやTelegramの連絡用URLのような類似リンクは許可されているようだ
  • Signal.meハンドルをテキストで載せた後、ユーザーがSignalアプリにコピー&ペーストする方法はまだ可能だ

XでブロックされたSignal.meリンク

  • Xは、Signalユーザーがアプリですぐに連絡を受けるために共有するSignal.meドメインのリンク投稿をブロックしている
    • ブロック範囲にはDM、公開投稿、プロフィール紹介欄まで含まれる
  • 投稿を試みると、利用環境に応じて異なる失敗メッセージが表示される
    • “We can’t complete this request because this link has been identified by X or our partners as being potentially harmful”
    • “This request looks like it might be automated”
    • プロフィール紹介に追加しようとすると “Account update failed. Description is considered malware” が表示される
  • 既存のSignal.meリンクも、クリックすると直接移動せず警告ページを経由する
    • Xは当該リンクが “potentially spammy or unsafe” と識別されたと通知する
    • ユーザーは警告を無視し、追加リンクを押して元のSignal.me URLへ移動できる

確認された範囲と残る回避方法

  • ブロックがいつ始まったのかは不明だが、以前は公開投稿やプロフィール紹介にSignal.meリンクを入れることができた
  • 影響はSignal.me URLに限定されているようだ
    • Signal.orgのような他のSignalリンクはブロックされていないようだ
    • Telegramの連絡用URLのような類似する第三者サービスのリンクはXで許可されている
  • セキュリティ研究者 Mysk が2025年2月16日の夜にこの問題を最初に発見し、DM・投稿・プロフィール紹介でのブロックが確認された
  • Signalはジャーナリストと情報提供者の間で主要な非公開の連絡手段として使われてきた
    • メッセージはエンドツーエンドで暗号化される
    • コンテンツはデバイスに保存され、Signalサーバーのクラウドには保管されない
  • ここ数週間では、連邦職員がElon MuskのDOGEによる複数の政府機関データへのアクセスに関連してジャーナリストへ情報提供する過程でも、Signalが重要に使われてきた
  • 現在、SignalユーザーはXにSignalハンドルをテキストで投稿でき、他のユーザーはそれをコピーしてSignalアプリに貼り付けることができる

1件のコメント

 
GN⁺ 2025-02-18
Hacker News のコメント
  • Twitter やその方針を擁護するつもりはないが、これは正当なミスだった可能性もあるように見える
    Twitter ほどの規模では、安全でない URL からの保護や検出は通常自動化されており、URL 短縮サービスが一部のマルウェア・フィッシング・禁止コンテンツのために丸ごとブロックされることがあったのと似ているかもしれない
    Signal が大きくなるにつれて signal.me リンクが Twitter 上でより多く見られるようになり、正当なリンクが大半でも違法なリンクの数も増え、自動ブロックが発動した可能性がある
    本当の問題は、たとえ意図的だったとしても、Twitter が「過剰な自動化で、申し訳ない」と言って簡単に隠れられる点であり、特に Twitter 買収後に関連分野の専門家が去ったり解雇されたりして、自動化が適切に維持・調整されていなかったならなおさらだ

    • 要点は脚注に埋もれている。単なるミスだったとしても、これほど頻繁に共有されるサイトの URL ブロック変更には人によるレビューを入れれば、十分に避けられたことだ
      URL フラグメントとハッシュタグが同じ記号を使うという事実にも気づける人員を残さないことを「効率」と見なすなら、そういう人は「政府効率化」関連組織の近くにも行くべきではない
    • 禁止されたリンクがすべてこの形式だったことを考えると、もっともらしい
      https://signal.me/#eu/fdy5h1miMifXa...
      URL のハッシュ(# の後ろの部分)は、通常、自動化システムでは意味のある URL の一部とは見なされないことが多い。もともとハッシュは、前半の URL で読み込んだウェブページ内の特定位置を指すためのものだからだ
      ある Signal.me リンクがマルウェアや違法コンテンツなどの正当な理由でフラグ付けされたのだとすれば、自動化システムがハッシュを取り除き、パスが実質的に / だけであるドメイン全体をブロックすることも十分あり得る
      これを修正して元に戻すかを見るのは興味深そうだ。そうでなければ、意図的だったとかなり確信できる
    • システムの目的とは、そのシステムが実際に行っていることだ
    • これを信じにくい理由が3つある。自動化のミスだとしても、これを元に戻すのにどれだけ時間がかかるのか、なぜ他のソーシャルネットワークではなくXだけでブロックされるのか、そして X は以前にもSubstack と Mastodon の URLをブロックしていなかったか、という点だ
    • リンク共有を基盤とするプラットフォームなら、どのドメインがURL 短縮サービスを指しているか把握しているべきだ
      処理を自動化するとしても、signal.me、bit.ly、goo.gl のような URL に遭遇したら、まず GET して Location ヘッダーに出てきた宛先にアルゴリズムを適用すべきだ
      signal.me のように広く使われている URL 短縮サービスにこれをしないのは、技術的無能を示すものだ
  • アメリカ人はまだ X を使っているのか? そうなら、なぜ使っているのか気になる。そのプラットフォームに残っていると、所有者が自分の国を破滅させるのに一歩近づけることになるのではないか

    • あらゆるソーシャルプラットフォームと同じく、ネットワーク効果のためだ。実際の機能はユーザー層と文化に比べれば副次的で、もちろん機能はその文化に大きく影響するが、それでも二次的だ
      マルチプレイヤーゲーム、集会場所、サードプレイスも似ている
      多くの集団にとって xitter は標準のプラットフォームだ。たとえばアニメ風の成人向け作品の作家たちが主な発表場所として使っており、多くの企業がサービス障害や営業時間変更のような即時性のある情報を投稿する。これだけでも、人々が残る理由としては十分だ
    • Elon が買収した時点で X の利用をやめ、Elon が完全にMAGA ナチ寄りになった後は、長年持っていたアカウントも最終的に削除した。Twitter が大衆化する前から使っていた初期ユーザーだったが、後悔はない
    • 欧州連合でさえ、まだ X を主要プラットフォームとしている: https://european-union.europa.eu/index_en
    • 賢く洞察力のある一部の人たちが、なぜか X にしか投稿しない。別のサイトを選んでくれればと思うが、彼らをフォローし続けることに大きな害があるとは思わない
      技術系ではない友人や家族が、ひとつのソーシャルメディアにしか投稿しない場合も多いだろう。昔の友人を追うために、あちこちでアカウントを作っておいたことがある
    • 逆説的だが、Elon と彼に似た人々のプロパガンダに対抗するには、今でもリーチの面で最もよいプラットフォームだ
  • signal.me リンクが正確には何なのか気になって調べてみたところ、詳しい内容はここにあるようだ
    https://signal.miraheze.org/wiki/Signal.me_URLs
    https://signal.miraheze.org/wiki/Usernames#Username_links
    Signal.me リンクは電話番号やユーザー名を他人に簡単に送る方法にすぎず、暗号学的な本人確認も、電話番号やユーザー名の保護もない。ブロックを回避するには、Signal ユーザーが単に電話番号やユーザー名を Twitter/X で送ればよい
    暗号化されたユーザー名形式は取り消し可能なので、ある程度の身元保護は提供するが、有効な間は誰かが Signal サーバーに接続されたユーザー名が何かを問い合わせられるように見える
    そもそもこういう用途に Twitter/X を使わないほうがよい。Mastodon のような代替が思い浮かぶが、実際には何であれ別のもののほうがましだろう

    • signal.me リンクはSignal グループに参加したり宣伝したりするために使われる
    • ユーザー名が必ずしも実際の身元と結び付くわけではなく、電話番号も隠せる
      Elon Musk と X の検閲方針を擁護する説明の中で最も奇妙なものではないが、間違いなく上位5位には入る
  • DOGE が通信プラットフォームとして Signal を使っていると知られていることを考えると、特に皮肉だ。[1]
    [1] https://news.ycombinator.com/item?id=42579873

    • 公式の政府部門なら FOIA リクエストの対象であり、したがって文書を保存する義務があるはずなので興味深い
    • Elon も個人的に Signal を使っているので、まだ直っていないなら近いうちに直る正当なミスだと見るほうだ
  • # 以降を取り除くと、実質的にすべての signal.me リンクが同じになるからだと、ほぼ確信している
    HTTP(S) リクエストを行う際、リクエスト URL に # 以降の部分は絶対に送られず、その部分は Web ブラウザ自身でのみ解釈される。スパム対策システムも同じようにハッシュを丸ごと無視した可能性が高い
    ブロックされたリンクの例: https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
    ハッシュを取り除いた形もブロックされる: https://signal.me/
    パスに適当な文字を追加するとブロックされない。例: https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...

  • 朝に時間があったので、X で Signal リンクを共有できる簡単なサイトを作った
    https://link-in-a-box.vercel.app
    役に立ちそうな人がいれば共有してほしいし、フィードバックがあれば送ってほしい

    • このコメントが投稿されたあと、またダウンボートされているのだが、時間があればフィードバックを残してくれるとありがたい
      すでに使い始めている人がいるので、問題があるなら必要に応じて対応・修正したい
  • 似た文脈で、スウェーデン軍は軍関連業務に携わる人たちに、より高い等級の機密ではない通話とメッセージには Signal の使用を推奨した
    https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (スウェーデン語)

  • この表現の自由絶対主義というのは、実に厳しいものだ

  • 君たちには表現の自由があるが、私にはない

    • なぜ、Musk は X に signal リンクを問題なく投稿できるとでもいうのか?
    • ある表現の自由は、ほかの表現の自由よりも自由である。/s
  • こちらから見ると、signal.me の所有権が Cloudflare と WHOIS プライバシーの背後にかなり隠れていて気になった
    インフラ用ドメインでこうするのは良い考えではない。手動レビューをより難しくし、継続的な過剰ブロックを助長するからだ
    それでも signal.me に言及している公式ドキュメントはある: https://support.signal.org/hc/en-us/articles/360007320291-Fi...
    このページは Bing のインデックスにはあるが、検索エンジンでは “signal.me” がストップワードのように扱われているようだ