2019年8月25日(日)

SNSのサービス連携に注意、アカウントを乗っ取られる恐れあり
IPAが警告、悪質な投稿を勝手に書き込まれる

2012/10/2付
保存
共有
印刷
その他

情報処理推進機構(IPA)は2012年10月1日、SNS(ソーシャルネットワーキングサービス)のサービス連携について注意を呼びかけた。悪質なサービスに連携を許可すると、アカウントを乗っ取られて、なりすましなどの被害に遭う恐れがある。

図1 悪質な連携サービスによる被害の例(IPAの情報から引用)

図2 アカウントを乗っ取られた場合の二次被害の例(IPAの情報から引用)

SNSの多くは、ほかのサービスと連携する機能を備えている。例えば、mixiとTwitterの連携を許可すると、mixi上でのつぶやき(mixiボイス)を、自分のTwitter上に自動的に反映できる。FacebookとGmailを連携させれば、Gmailのアドレス帳に含まれるユーザーに対して、Facebookへの招待状が自動的に送信される。

便利な一方、問題もある。怪しいサービスに連携を許可すると、自分のアカウントを乗っ取られる恐れがあるという。例えば、自分のTwitterアカウントに対して悪質な連携サービスを許可すると、その連携サービスによって悪質なツイートを書き込まれる恐れがある。

IPAによれば、そのようなサービスが実際に確認されているという(図1)。実例では、自分がフォローしているユーザーのツイートに書き込まれたURL(リンク)をクリックすると、あるサービスのWebサイトに誘導される。

誘導先のWebサイトでは、「連携サービスをあなたの権限で動作させてもよいか?」などと表示される。そこで「ログイン」をクリックすると、TwitterのIDとパスワードを入力していないにもかかわらず、自分のユーザー権限を、その連携サービスに許可したことになる。

つまり、ユーザーのTwitterアカウントを、その連携サービスに乗っ取られた状態になる。連携サービスは、そのユーザーの名義で、ツイートを自由に書き込めることになる。実際、前述のWebサイトに誘導するツイートが勝手に書き込まれ、そのユーザーをフォローしているユーザーのタイムラインにも表示される。

これを繰り返すことで、悪質な連携サービスは複数のアカウントを乗っ取ることができる。それらのアカウントに対して、悪質なURLを含むツイートを一斉に書き込むといった攻撃も可能になる(図2)。

対策は、不要な連携サービスを取り消すこと。設定画面などで連携しているサービスを確認し、身に覚えのないサービスがあれば削除する。IPAの情報には、主なSNSにおける連携サービスの確認方法や取消方法が記載されている。

そのほか、投稿(ツイートなど)に書かれているURLを安易にクリックしないことや、連携する前に該当サービスの評判を確認することなども対策として挙げている。

(日経パソコン 勝村幸博)

[PC Online 2012年10月1日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。