情報処理推進機構(IPA)は2012年10月1日、SNS(ソーシャルネットワーキングサービス)のサービス連携について注意を呼びかけた。悪質なサービスに連携を許可すると、アカウントを乗っ取られて、なりすましなどの被害に遭う恐れがある。
SNSの多くは、ほかのサービスと連携する機能を備えている。例えば、mixiとTwitterの連携を許可すると、mixi上でのつぶやき(mixiボイス)を、自分のTwitter上に自動的に反映できる。FacebookとGmailを連携させれば、Gmailのアドレス帳に含まれるユーザーに対して、Facebookへの招待状が自動的に送信される。
便利な一方、問題もある。怪しいサービスに連携を許可すると、自分のアカウントを乗っ取られる恐れがあるという。例えば、自分のTwitterアカウントに対して悪質な連携サービスを許可すると、その連携サービスによって悪質なツイートを書き込まれる恐れがある。
IPAによれば、そのようなサービスが実際に確認されているという(図1)。実例では、自分がフォローしているユーザーのツイートに書き込まれたURL(リンク)をクリックすると、あるサービスのWebサイトに誘導される。
誘導先のWebサイトでは、「連携サービスをあなたの権限で動作させてもよいか?」などと表示される。そこで「ログイン」をクリックすると、TwitterのIDとパスワードを入力していないにもかかわらず、自分のユーザー権限を、その連携サービスに許可したことになる。
つまり、ユーザーのTwitterアカウントを、その連携サービスに乗っ取られた状態になる。連携サービスは、そのユーザーの名義で、ツイートを自由に書き込めることになる。実際、前述のWebサイトに誘導するツイートが勝手に書き込まれ、そのユーザーをフォローしているユーザーのタイムラインにも表示される。
これを繰り返すことで、悪質な連携サービスは複数のアカウントを乗っ取ることができる。それらのアカウントに対して、悪質なURLを含むツイートを一斉に書き込むといった攻撃も可能になる(図2)。
対策は、不要な連携サービスを取り消すこと。設定画面などで連携しているサービスを確認し、身に覚えのないサービスがあれば削除する。IPAの情報には、主なSNSにおける連携サービスの確認方法や取消方法が記載されている。
そのほか、投稿(ツイートなど)に書かれているURLを安易にクリックしないことや、連携する前に該当サービスの評判を確認することなども対策として挙げている。
