PR
図1 悪質な連携サービスによる被害の例(IPAの情報から引用)
図1 悪質な連携サービスによる被害の例(IPAの情報から引用)
[画像のクリックで拡大表示]
図2 アカウントを乗っ取られた場合の二次被害の例(IPAの情報から引用)
図2 アカウントを乗っ取られた場合の二次被害の例(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2012年10月1日、SNS(ソーシャルネットワーキングサービス)のサービス連携について注意を呼びかけた。悪質なサービスに連携を許可すると、アカウントを乗っ取られて、なりすましなどの被害に遭う恐れがある。

 SNSの多くは、ほかのサービスと連携する機能を備えている。例えば、mixiとTwitterの連携を許可すると、mixi上でのつぶやき(mixiボイス)を、自分のTwitter上に自動的に反映できる。FacebookとGmailを連携させれば、Gmailのアドレス帳に含まれるユーザーに対して、Facebookへの招待状が自動的に送信される。

 便利な一方、問題もある。怪しいサービスに連携を許可すると、自分のアカウントを乗っ取られる恐れがあるという。例えば、自分のTwitterアカウントに対して悪質な連携サービスを許可すると、その連携サービスによって悪質なツイートを書き込まれる恐れがある。

 IPAによれば、そのようなサービスが実際に確認されているという(図1)。実例では、自分がフォローしているユーザーのツイートに書き込まれたURL(リンク)をクリックすると、あるサービスのWebサイトに誘導される。

 誘導先のWebサイトでは、「連携サービスをあなたの権限で動作させてもよいか?」などと表示される。そこで「ログイン」をクリックすると、TwitterのIDとパスワードを入力していないにもかかわらず、自分のユーザー権限を、その連携サービスに許可したことになる。

 つまり、ユーザーのTwitterアカウントを、その連携サービスに乗っ取られた状態になる。連携サービスは、そのユーザーの名義で、ツイートを自由に書き込めることになる。実際、前述のWebサイトに誘導するツイートが勝手に書き込まれ、そのユーザーをフォローしているユーザーのタイムラインにも表示される。

 これを繰り返すことで、悪質な連携サービスは複数のアカウントを乗っ取ることができる。それらのアカウントに対して、悪質なURLを含むツイートを一斉に書き込むといった攻撃も可能になる(図2)。

 対策は、不要な連携サービスを取り消すこと。設定画面などで連携しているサービスを確認し、身に覚えのないサービスがあれば削除する。IPAの情報には、主なSNSにおける連携サービスの確認方法や取消方法が記載されている。

 そのほか、投稿(ツイートなど)に書かれているURLを安易にクリックしないことや、連携する前に該当サービスの評判を確認することなども対策として挙げている。