IPA(独立行政法人情報処理推進機構)は2015年10月28日、海外のSNSからの友達リクエストを装った不正なメールが急増していることについて調査結果を発表した。これは、不正な友達リクエストメールを承認した結果、Googleに登録してある友人のメールアドレスに、自分名義で招待メールが送信されてしまうというもの。
2015年10月だけで前月比3倍以上の39件(10月23日現在)の相談があった(図)。IPAでは、Google Appsを利用してメールを独自ドメインで運用している組織への影響が懸念されることから注意喚起を行っている。また、JPCERTコーディネーションセンターによると、同様の被害に関して情報公開する組織が10月に入り急増し、同約2倍の18件(10月23日現在)に達したという。
IPAに寄せられた相談は、「友人からの友達リクエストと思われるメールが届いたので承認した。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨のもの。IPAでは、これらの不正な友達リクエストメールが、各ネットサービスの一般的な機能である「サービス連携」によって海外のSNSが送信した招待メールであると分析。こうしたケースで、海外のSNSから求められたサービス連携を許可すると、Googleの連絡先へのアクセスを許可してしまうことになるという。
IPAでは、組織のメール機能をGoogle Appsで利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報等が読み取られ、自組織(独自ドメイン)名義の招待メールが送信されてしまうと指摘。招待メールが取引先に届いた場合に、さらに同じようにサービス連携を許可してしまうことでのメールの拡散、組織の信用失墜となる可能性も考えられりという。不用意にサービス連携を許可しないよう、注意を呼び掛けている。
[IPAの発表資料へ]
