現在、Mastodon界隈では「大量フォローインポート攻撃」が問題視されています。

これはMastodonのアカウント引っ越し機能であるフォロー情報のインポート/エクスポートを用いて、Mastodonサーバへ過剰な負荷を与えるという攻撃手法です。

アカウント引っ越しための機能が悪用され、それが脆弱性となっている状況です。

Mastodonサーバはフォロー情報のインポートがあるとフォローリクエストに応え、トゥート情報をインポート先のMastodonサーバへ送信するという処理が行われますが、この際に数十万ユーザ単位情報がインポートされるとそれだけ送信のための負荷が掛かります。

更には新たに大規模な連合が組まれる事態となるため連合タイムラインの負荷と合わせて一気に強力な負荷が送信側に発生するという事態になるのです。

つまり、大量のフォロー情報がインポートされるMastodonサーバは攻撃のための踏み台でしかなく、その周辺で連合が接続されているMastodonサーバへ攻撃を仕掛けるという手法です。