あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA)

　IPA（情報処理推進機構）は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意！』〜　あなたの名前で勝手に使われてしまいます〜」を公開した。

脆弱性と脅威脅威動向

2012.10.2 Tue 8:00

　IPA（情報処理推進機構）は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意！』～　あなたの名前で勝手に使われてしまいます～」を公開した。

　Twitter、mixi、Facebook、Google＋などのソーシャルサービスでは最近、さまざまな形で連携機能が用意されている。しかしSNS間のサービス連携機能を悪用されると、アカウントを乗っ取られるような被害が発生する場合があるという。今回IPAでは、サービス連携機能とそれを悪用した被害の実例を説明するとともに、解消方法についていくつかのSNSの実際の画面を用いて説明している。

　たとえば、mixi上でのつぶやき（mixiボイス）とTwitterでのツイートは、相互に反映できる。またYahoo! Mail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Yahoo! Mailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができる。あるいは、Pinterest上で画像をアップロードした時に、画像のURLとメッセージを、自動的にTwitter上でツイートするといったことが可能だ。しかしこれらの連携は、画面表示をよく読まずに操作すると、本人が意図しないまま開始してしまうことがあり、さらにはアカウント乗っ取り（に近いj状態）に繋がる場合もある。

　Twitterにおける事例では、Aさんが、自分が「フォロー」しているXさんの「ツイート」内のURLをクリックした際に、新規フォロワーを得られることをうたうようなページが表示されたという。ここで「Twitterでログイン」というボタンをクリックし「連携サービスをAさんの権限で動作させてもよいか？」を承認してしまうと、TwitterのIDとパスワードを入力しなくても、Aさんの権限がその連携サービスに対して許可される。今回IPAで検証したケースでは、連携サービスがAさんの代わりに勝手に、Xさんから受け取ったものと同じ内容の「ツイート」をしてしまうことを確認したという。これにより、連鎖的にどんどんツイートが広がっていくという仕掛けだ。

　勝手に「ツイート」されるだけであれば、それほど大きな実害ではないが、一度連携してしまうと、自分で連携を解除しない限り、連携は基本的に継続される。そして被害者がある程度の人数になった時点で、連携サービス側からの悪意あるURLを含むツイートを一斉に行う、という攻撃手法が想定されるのだ。

　IPAでは対策として、不要な連携サービスを取り消すこと、他者の投稿（ツイートなど）に書かれているURLを安易にクリックしないこと、連携先のサービスの評判を確認することなどを推奨している。

IPAの今月の呼びかけ「SNSにおけるサービス連携に注意！」……アカウントを勝手に使われる

《冨岡晶@RBB TODAY》