Bluesky、第三者が独自ドメインを取得して本人認証を盾に買い取りを迫る脅迫事件が発生

　Blueskyの本人認証の仕組みを悪用した脅迫事件が発生していたことが明らかになった。Blueskyでは本人認証の方法として、自分が所有している独自ドメインをアカウント名に用いる機能が用意されている。ドメイン情報とアカウントを照合することで本人であることが容易に検証できるからというのが、Bluesky運営側の言い分だったのだが……。

　今回発生したのは、悪意ある第三者が、特定ユーザーの名前を含んだ独自ドメインを取得し、それをもとに作成したBlueskyの偽アカウントの買い取りをそのユーザー本人に要求したというもの。なにせドメイン名だけ見ると本人のアカウント以上に本人らしく見える偽アカウントだけにややこしい。独自ドメインによる本人認証の欠陥を露呈する格好となってしまったわけだ。ちなみにBlueskyは先日、この独自ドメイン認証に代わる新しい本人認証のシステムの導入を検討中であることを、すでに表明している。

• So, Bluesky Has An Extortion Problem（Tedium）
  https://tedium.co/2024/12/17/bluesky-impersonation-risks/
• 該当のポスト（Bluesky）
  https://bsky.app/profile/conorsen.bsky.social/post/3ldhmmqoqdc2g
• Bluesky、なりすまし対策でドメイン認証以外の新しいアカウント認証方法の導入を予告（やじうまWatch）
  https://internet.watch.impress.co.jp/docs/yajiuma/1644057.html