情報処理推進機構(IPA)は2012年10月1日、TwitterやFacebookといったSNSの「サービス連携」機能の悪用による被害が出ているとして、注意を呼びかける文書を出した。IPAには「自分では何もしていないのに、Twitter上で勝手に投稿された」という相談が複数寄せられているという。第三者にサービス連携機能を悪用された場合に、こうした被害が起こり得るとして、利用者に自衛策を呼びかけている。
サービス連携(アプリ連携)は多くのSNSが備えている機能で、例えばTwitterのユーザーIDとパスワードを入力してログイン認証が済んでいる状態であれば、他のサービス(画像投稿サービスなど)で再度ID/パスワードを入力しなくても、そのままサービスを利用できる。技術的には、「OAuth(オーオース)」と呼ばれる手順がよく使われる。
サービス連携機能は便利である半面、連携先が悪意のある事業者によって運営されている不正なサービスである場合、様々な被害の入り口になり得る。サービス連携機能を利用する際に、TwitterやFacebookでは「連携を許可するかどうか」をたずねる画面が表示され、「許可する」ボタンを押して意思表示をしない限り、連携機能は動作しない。ただし、SNS上の友人からの投稿の中にサービス連携を伴うリンクが含まれる場合、信頼できるサービスかどうかをよく確認しないまま「許可する」を押してしまうことがある。
この仕組みを悪用されると、TwitterやFacebookに投稿する権限が第三者に渡った状態になってしまい、自分になりすました第三者に身に覚えのない投稿をされるリスクがある。不正なサービスに誘導する投稿をされることで、連鎖的に被害が拡大するケースも出ているという。
IPAは対策として、「不要な連携サービスの取り消し」を呼びかけている。Twitterの場合「設定」→「アプリ連携」で連携サービスの一覧が表示される(画面1)。Facebookの場合は、「ホーム」→「アカウント設定」→「アプリ」で確認できる(画面2)。ここで明らかに不要なものや、身に覚えのないものがあれば、削除することを推奨している。
さらに、「他社の投稿(ツイートなど)に書かれているURLを安易にクリックしない」「連携先のサービスの評判を確認する」といった対策も有効だとしている。
