【備忘録】Twitter Developerの登録をしてみたらメールで３回もやりとりする羽目になった

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

こちら「面の個人日記」では、セキュリティで面白そうなものや、脆弱性情報でも詳細な情報が出てきていないもの、予告や動向など、雑多な情報等をお送りします。

尚、個人の立場で書いていますので、この記事に関する事柄につきましては、サイオステクノロジー社へのご質問等はご遠慮ください。

【備忘録】Twitter Developerの登録をしてみたらメールで３回もやりとりする羽目になった

今回はセキュリティとは関係してきませんが、本ブログを書く時の情報収集に使用していますTwitterからの情報収集を更に楽にしたかったので、Twitter Developer Accountを取得しました。その際、以外に取得が手間取った（最終的に３回ぐらいメールでのやり取りになった）ため、備忘録を兼ねて記載します。

参考にしたURLはこちらになります。

Twitter API 登録 (アカウント申請方法) から承認されるまでの手順まとめ　※2019年8月時点の情報

Twitter Developerで何をしたいのか

ここでは（現時点でも、ですが）未だプログラムとしてどのようなものを作りたいのかはっきりしていませんので、やんわりと要件を考えます。

要件

MITREのCVE Twitter(@CVENew)を扱いたい

CVE Twitterに流れてきたものからCVE-IDを収集して、OSSのものだけを抜き出したい

Tweetをそのまま使うのではなく、CVE-ID部分のみを抜き出して、後はCVE-DBなどを参照する

将来的にどうするかは考えていないが、当面は（目的は）「個人で使用」するもの

こんな、あくまでも「ゆるーい、やんわりとした」要件を考えて申込みをしました。後から考えると、このとき「もっと深く考えておくべきだった」わけですが。。。

取得に掛かった日にち

Qiita等にもよく記載されていますが、順調に行けば１日で取得できます。私の場合には、前述の「要件が曖昧」だったため、やり取りに（時差が含まれての様な動きでしたが）２日間かかりました。

実際にやった手順

1. Twitter Developerに申し込む

Twitter Developerのサイトにアクセスし、「Sign In」を押します。「Twitterにログイン」で、ログインします。このとき、Twitterアカウントで電話番号（後でPINが送られてきます）を設定していない場合には「アカウントに電話番号を設定してください」と出てきますので気をつけてください。

後は前述の参考URLの通り、Twitter APIで「Apply for a developer account」をクリックし、必要な箇所を明記して行きます。まずは電話番号による認証コードも送られてきて、認証コードを登録した状態まではスムーズに行きました。

2. Twitter APIを使用する目的

目的は、今回の場合にはhobbyのため、上述のゆるーーーく作った「要件」を英語に翻訳して入力していきました。「リツイートするか」や「政府機関で・・」などは「No」を選択し、入力が終わって申請を完了しました。

Twitter developer account applicationからのメールヒアリング

どうやら、上述のゆるーーーく作った要件を翻訳して入れただけなのが「本当に開発者なの？」と気になったらしく、メールでTwitterのdeveloper-accounts@twitter.comから問い合わせが来ました。

内容ですが


Hello,
Thanks for your interest in building on Twitter.
Before we can finish our review of your developer account application, we need some more details about your use case.
The types of information that are valuable for our review include:
The core use case, intent, or business purpose for your use of the Twitter APIs.
If you intend to analyze Tweets, Twitter users, or their content, share details about the analyses you plan to conduct, and the methods or techniques.
If your use involves Tweeting, Retweeting, or liking content, share how you'll interact with Twitter accounts, or their content.
If you'll display Twitter content off of Twitter, explain how, and where, Tweets and Twitter content will be displayed with your product or service, including whether Tweets and Twitter content will be displayed at row level, or aggregated.
Just reply to this email with these details. Once we've received your response, we'll continue our review. We appreciate your help!
Thanks,
Twitter

さてさて、ここから３回のメールのやり取りになりました。

1. ファーストトライ：内容を説明する

まず最初のトライですが、「Webに入れたのがよくわからなかったのかなー」と思ってしまったので、具体的にTwitterのアカウント(@CVENew)や、このブログのURL(https://security.sios.com)も入れて説明を行いました。

まずは英語もわかりやすいものに変えて「これでOKだろう」とメールを送りました。

2. セカンドトライ：目的を説明する

一回目のメールを送ってから5分と経たないうちに（多分、タイミングが良かったのかもしれないが）「もっと具体的に書いてくれ、どういう事をしたいのか」というメールが来ました。そこで、「あくまでも個人用途に開発したいこと」「Tweetは直接引用せずCVE-DBを検索する際のキーワードとして利用したいこと」「結果を自分で見てブログに上げる一助にしたいということ」を記載しました。

ここまで書いたので大丈夫かと思い、再度メールを送りました。

3. サードトライ：プログラムのフローを書く

２回目のメールを送った後は、4時間程かかりました。再度「詳しくプログラムを見せてくれ」というメールが来ました。

ここで、「なるほど、目的とかを知りたいのではなくて「本当にプログラムの流れが見たい」のか」という事に気づきました。ですが、今の所プログラムの「ゆるい要件」は作ってますが、未だ本格的にプログラム開発に移ったわけではありません。そのため、現状で考えられるところを箇条書きにしてみました。

OSSの場合のTweet(Apache Tomcat)の例を記載しました
どの部分を切り出したいのか(CVE-2020-xxxxみたいな箇所)を明示しました
切り出した単語でどこのURLを確認したいのか(https://cve.miter.org)を明示しました。
確認した情報をファイルにテンポラリとして出力する、としてファイルの内容を例示しました。
前述のCVE-IDからRed Hat, Debian, Ubuntuなど、（OSSのものかどうかを判断するのに使っている）URLを例示し、「そこのURLに載っていれば、（Debianの場合には「Not for Us」とかあるので難しいのですが）OSSの脆弱性情報だと思われるということで、その出力を前述のファイルに追記する、という流れを書きました。
Red Hat等にも載っていないCVE-IDがあった場合には、「OSSではない」と思われるため、前述のファイルには出力しないということをCiscoのCVE情報を元にして例示しました。
最終的に、前述の「出力されたファイル」を個人（私）が読んで、情報を調査してブログ(https://security.sios.com)に載せる、ということを記載しました。

ここまで手順を（未だプログラム作ってないですが）記載してメールで返信しました。

4. 無事APIアカウント取得!

前述の「細かく書いたメール」を出してから15時間ぐらい待たされました。この辺は、時差の問題だと思います。その後、メールで下の「Your Twitter developer account application has been approved!」が来て承認されました！良かった、良かった。

今回の反省

今回の反省ですが、ここまで（３回も）やりとりして手間取ったのは、やはり「仕様なんか考えていない状態で」「ゆるーい『こんなの作りたいなー』状態で」「とりあえず申し込んでみよう」を実行したためだと思われます。

逆に考えれば、その辺をきっちりと考えてから申し込めばそんなに時間もかからずにApproveされる（かもしれない）ということです。皆様は、私のように準備不足で挑まずに、きちんと「何を」「どういう手順で」作りたいかということを纏めてから申し込みましょう！！

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。