あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA) | ScanNetSecurity
2024.05.24(金)

あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA)

 IPA(情報処理推進機構)は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意!』〜 あなたの名前で勝手に使われてしまいます〜」を公開した。

脆弱性と脅威 脅威動向
Twitterにおける被害実例のイメージ
Twitterにおける被害実例のイメージ 全 4 枚 拡大写真
 IPA(情報処理推進機構)は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意!』~ あなたの名前で勝手に使われてしまいます~」を公開した。

 Twitter、mixi、Facebook、Google+などのソーシャルサービスでは最近、さまざまな形で連携機能が用意されている。しかしSNS間のサービス連携機能を悪用されると、アカウントを乗っ取られるような被害が発生する場合があるという。今回IPAでは、サービス連携機能とそれを悪用した被害の実例を説明するとともに、解消方法についていくつかのSNSの実際の画面を用いて説明している。

 たとえば、mixi上でのつぶやき(mixiボイス)とTwitterでのツイートは、相互に反映できる。またYahoo! Mail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Yahoo! Mailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができる。あるいは、Pinterest上で画像をアップロードした時に、画像のURLとメッセージを、自動的にTwitter上でツイートするといったことが可能だ。しかしこれらの連携は、画面表示をよく読まずに操作すると、本人が意図しないまま開始してしまうことがあり、さらにはアカウント乗っ取り(に近いj状態)に繋がる場合もある。

 Twitterにおける事例では、Aさんが、自分が「フォロー」しているXさんの「ツイート」内のURLをクリックした際に、新規フォロワーを得られることをうたうようなページが表示されたという。ここで「Twitterでログイン」というボタンをクリックし「連携サービスをAさんの権限で動作させてもよいか?」を承認してしまうと、TwitterのIDとパスワードを入力しなくても、Aさんの権限がその連携サービスに対して許可される。今回IPAで検証したケースでは、連携サービスがAさんの代わりに勝手に、Xさんから受け取ったものと同じ内容の「ツイート」をしてしまうことを確認したという。これにより、連鎖的にどんどんツイートが広がっていくという仕掛けだ。

 勝手に「ツイート」されるだけであれば、それほど大きな実害ではないが、一度連携してしまうと、自分で連携を解除しない限り、連携は基本的に継続される。そして被害者がある程度の人数になった時点で、連携サービス側からの悪意あるURLを含むツイートを一斉に行う、という攻撃手法が想定されるのだ。

 IPAでは対策として、不要な連携サービスを取り消すこと、他者の投稿(ツイートなど)に書かれているURLを安易にクリックしないこと、連携先のサービスの評判を確認することなどを推奨している。

IPAの今月の呼びかけ「SNSにおけるサービス連携に注意!」……アカウントを勝手に使われる

《冨岡晶@RBB TODAY》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  5. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

  6. スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

    スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

  7. 「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

    「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

  8. Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

    Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

  9. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  10. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

ランキングをもっと見る