Xユーザー、「Signal.me」リンクを投稿不可
(disruptionist.com)- XがSignalの直接連絡用ドメインであるSignal.meリンクをDM、公開投稿、プロフィール紹介に載せられないようにしている
- ブロック時にはWebやiPhoneアプリなど環境によって「潜在的に有害」「自動化されたリクエストのように見える」「Description is considered malware」といったエラーメッセージが表示される
- すでに投稿済みのSignal.meリンクは完全には遮断されていないが、XのURL Policy警告ページを経由しないと移動できない
- ブロックはSignal.meに集中しているようで、Signal.orgやTelegramの連絡用URLのような類似リンクは許可されているようだ
- Signal.meハンドルをテキストで載せた後、ユーザーがSignalアプリにコピー&ペーストする方法はまだ可能だ
XでブロックされたSignal.meリンク
- Xは、Signalユーザーがアプリですぐに連絡を受けるために共有するSignal.meドメインのリンク投稿をブロックしている
- ブロック範囲にはDM、公開投稿、プロフィール紹介欄まで含まれる
- 投稿を試みると、利用環境に応じて異なる失敗メッセージが表示される
- “We can’t complete this request because this link has been identified by X or our partners as being potentially harmful”
- “This request looks like it might be automated”
- プロフィール紹介に追加しようとすると “Account update failed. Description is considered malware” が表示される
- 既存のSignal.meリンクも、クリックすると直接移動せず警告ページを経由する
- Xは当該リンクが “potentially spammy or unsafe” と識別されたと通知する
- ユーザーは警告を無視し、追加リンクを押して元のSignal.me URLへ移動できる
確認された範囲と残る回避方法
- ブロックがいつ始まったのかは不明だが、以前は公開投稿やプロフィール紹介にSignal.meリンクを入れることができた
- 影響はSignal.me URLに限定されているようだ
- Signal.orgのような他のSignalリンクはブロックされていないようだ
- Telegramの連絡用URLのような類似する第三者サービスのリンクはXで許可されている
- セキュリティ研究者 Mysk が2025年2月16日の夜にこの問題を最初に発見し、DM・投稿・プロフィール紹介でのブロックが確認された
- Signalはジャーナリストと情報提供者の間で主要な非公開の連絡手段として使われてきた
- メッセージはエンドツーエンドで暗号化される
- コンテンツはデバイスに保存され、Signalサーバーのクラウドには保管されない
- ここ数週間では、連邦職員がElon MuskのDOGEによる複数の政府機関データへのアクセスに関連してジャーナリストへ情報提供する過程でも、Signalが重要に使われてきた
- 現在、SignalユーザーはXにSignalハンドルをテキストで投稿でき、他のユーザーはそれをコピーしてSignalアプリに貼り付けることができる
1件のコメント
Hacker News のコメント
Twitter やその方針を擁護するつもりはないが、これは正当なミスだった可能性もあるように見える
Twitter ほどの規模では、安全でない URL からの保護や検出は通常自動化されており、URL 短縮サービスが一部のマルウェア・フィッシング・禁止コンテンツのために丸ごとブロックされることがあったのと似ているかもしれない
Signal が大きくなるにつれて signal.me リンクが Twitter 上でより多く見られるようになり、正当なリンクが大半でも違法なリンクの数も増え、自動ブロックが発動した可能性がある
本当の問題は、たとえ意図的だったとしても、Twitter が「過剰な自動化で、申し訳ない」と言って簡単に隠れられる点であり、特に Twitter 買収後に関連分野の専門家が去ったり解雇されたりして、自動化が適切に維持・調整されていなかったならなおさらだ
URL フラグメントとハッシュタグが同じ記号を使うという事実にも気づける人員を残さないことを「効率」と見なすなら、そういう人は「政府効率化」関連組織の近くにも行くべきではない
https://signal.me/#eu/fdy5h1miMifXa...
URL のハッシュ(
#の後ろの部分)は、通常、自動化システムでは意味のある URL の一部とは見なされないことが多い。もともとハッシュは、前半の URL で読み込んだウェブページ内の特定位置を指すためのものだからだある Signal.me リンクがマルウェアや違法コンテンツなどの正当な理由でフラグ付けされたのだとすれば、自動化システムがハッシュを取り除き、パスが実質的に
/だけであるドメイン全体をブロックすることも十分あり得るこれを修正して元に戻すかを見るのは興味深そうだ。そうでなければ、意図的だったとかなり確信できる
処理を自動化するとしても、signal.me、bit.ly、goo.gl のような URL に遭遇したら、まず
GETしてLocationヘッダーに出てきた宛先にアルゴリズムを適用すべきだsignal.me のように広く使われている URL 短縮サービスにこれをしないのは、技術的無能を示すものだ
アメリカ人はまだ X を使っているのか? そうなら、なぜ使っているのか気になる。そのプラットフォームに残っていると、所有者が自分の国を破滅させるのに一歩近づけることになるのではないか
マルチプレイヤーゲーム、集会場所、サードプレイスも似ている
多くの集団にとって xitter は標準のプラットフォームだ。たとえばアニメ風の成人向け作品の作家たちが主な発表場所として使っており、多くの企業がサービス障害や営業時間変更のような即時性のある情報を投稿する。これだけでも、人々が残る理由としては十分だ
技術系ではない友人や家族が、ひとつのソーシャルメディアにしか投稿しない場合も多いだろう。昔の友人を追うために、あちこちでアカウントを作っておいたことがある
signal.me リンクが正確には何なのか気になって調べてみたところ、詳しい内容はここにあるようだ
https://signal.miraheze.org/wiki/Signal.me_URLs
https://signal.miraheze.org/wiki/Usernames#Username_links
Signal.me リンクは電話番号やユーザー名を他人に簡単に送る方法にすぎず、暗号学的な本人確認も、電話番号やユーザー名の保護もない。ブロックを回避するには、Signal ユーザーが単に電話番号やユーザー名を Twitter/X で送ればよい
暗号化されたユーザー名形式は取り消し可能なので、ある程度の身元保護は提供するが、有効な間は誰かが Signal サーバーに接続されたユーザー名が何かを問い合わせられるように見える
そもそもこういう用途に Twitter/X を使わないほうがよい。Mastodon のような代替が思い浮かぶが、実際には何であれ別のもののほうがましだろう
Elon Musk と X の検閲方針を擁護する説明の中で最も奇妙なものではないが、間違いなく上位5位には入る
DOGE が通信プラットフォームとして Signal を使っていると知られていることを考えると、特に皮肉だ。[1]
[1] https://news.ycombinator.com/item?id=42579873
#以降を取り除くと、実質的にすべての signal.me リンクが同じになるからだと、ほぼ確信しているHTTP(S) リクエストを行う際、リクエスト URL に
#以降の部分は絶対に送られず、その部分は Web ブラウザ自身でのみ解釈される。スパム対策システムも同じようにハッシュを丸ごと無視した可能性が高いブロックされたリンクの例: https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
ハッシュを取り除いた形もブロックされる: https://signal.me/
パスに適当な文字を追加するとブロックされない。例: https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...
朝に時間があったので、X で Signal リンクを共有できる簡単なサイトを作った
https://link-in-a-box.vercel.app
役に立ちそうな人がいれば共有してほしいし、フィードバックがあれば送ってほしい
すでに使い始めている人がいるので、問題があるなら必要に応じて対応・修正したい
似た文脈で、スウェーデン軍は軍関連業務に携わる人たちに、より高い等級の機密ではない通話とメッセージには Signal の使用を推奨した
https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (スウェーデン語)
この表現の自由絶対主義というのは、実に厳しいものだ
君たちには表現の自由があるが、私にはない
こちらから見ると、signal.me の所有権が Cloudflare と WHOIS プライバシーの背後にかなり隠れていて気になった
インフラ用ドメインでこうするのは良い考えではない。手動レビューをより難しくし、継続的な過剰ブロックを助長するからだ
それでも signal.me に言及している公式ドキュメントはある: https://support.signal.org/hc/en-us/articles/360007320291-Fi...
このページは Bing のインデックスにはあるが、検索エンジンでは “signal.me” がストップワードのように扱われているようだ