独立行政法人 情報処理推進機構(IPA)は10月1日、SNSにおけるサービス連携に関して、利用者に不正利用などに関する注意を呼びかけた。同機構は「今月の呼びかけ」として、毎月さまざまな注意喚起を行っている。

同社によると、最近、TwitterなどのミニブログサービスやSNSの利用者がインターネット上で被害にあうケースが増えているという。Twitterの利用者などから「何もしていないのに、自分のアカウントで勝手に投稿が行われていた」といった相談が複数寄せられている。同機構が調査したところ、Twitterやその他のSNSで用意されているさまざまな連携サービスが被害の背景にあるという。SNS間のサービス連携機能を悪用された場合に、こうした被害が発生することが確認されている。

たとえば画像共有サービスとTwitterとの連携を許可している場合、画像をアップロードすると、Twitterに投稿画像が自動的に表示されるが、この仕組みが悪用されるおそれがあるという。同機構はTwitterを例に、サービス連携機能を悪用した被害の実例を解説している。

Twitterのイメージ

Twitterは、ユーザーが意見や思いつきなどをツイート(投稿)して、他ユーザーとコミュニケーションを楽しむサービス。他ユーザーをフォローするとそのユーザーの新しいツイートが自分のタイムライン(ツイートの一覧表示スペース)に表示される仕組みになっている。

Twitterにおける被害実例のイメージ

被害例では、まずAさんが、自分がフォローしているXさんのツイートに含まれていたURLをクリックする。すると「新規フォロワーを得られます」というようなページが表示され、Aさんは「Twitterでログイン」というボタンをクリックする。

次に、「連携サービスをAさんの権限で動作させてもよいか?」という確認ページが表示され、ここで「ログイン」をクリックしてしまうと、IDとパスワードを入力していないにも関わらず、アカウントの利用権限をその連携サービスに対して許可することになる。この時点で、AさんのTwitterアカウントがその連携サービスに乗っ取られたような状態になり、Aさんの操作と関係なく勝手にツイートすることが可能になるという。

連携サービスによって勝手に行われたツイートも通常のツイートと同様に、Aさんのフォロワーのタイムラインに表示されるため、こうしたケースではフォローによる信頼関係が仇になり、被害が拡大する危険性がある。

他サービスとの連携は、一度許可すると自分で連携を解除しない限り、基本的に継続する。そのため、被害者がある程度増えたところで、連携サービス側からウイルス配布サイトやフィッシングサイトなどの悪意あるURLを含むツイートを一斉に行えば、大きな二次被害が発生してしまう。

ユーザー乗っ取り後の二次被害のイメージ

同機構はこのような手口への対策として、不要な連携サービスの取り消しと、他者の投稿に含まれているURLを安易にクリックしないことをすすめている。また、連携サービスを利用する前に、インターネットや口コミなどで評判を確認することも大事だとしている。