情報処理推進機構(IPA)は1日、SNSのサービス連携で起きている問題を取り上げ、注意を呼びかけた。Twitterやmixi、FacebookなどSNSでは、互いに連携するサービスが便利に使われているが、この連携機能を悪用し、ユーザーの意に反した投稿が行われるトラブルが発生している。
SNS間のサービス連携とは、たとえばTwitpicとTwitterの連携では、Twitpicにアップロードした画像を Twitterのツイートを通じて簡単に共有できる。mixiとTwitterの連携では、mixi上でのつぶやきをTwitterでのツイートに反映でき、その逆も可能だ。FacebookとYahoo! Mail、またはGmailとの連携では、Yahoo! MailまたはGmailのアドレス帳に含まれる宛先に Facebookへの招待状が送信される。PinterestとTwitterの連携では、Pinterest上に画像をアップロードした時に、画像URLとメッセージを自動的にTwitter上でツイートできる。
「自分では何もしていないのに、Twitter上で勝手に投稿された」という相談がIPAに寄せられ、調査した結果、上記のようなSNS間のサービス連携機能が悪用された場合、こうした被害が発生することがわかった。IPAは、その被害実例と解消方法について解説している。
■Twitter で起こる被害の実例
Twitterでは、関心をもった相手をフォローすることでその人のツイートを読むことができ、フォローした相手のツイートは自分のタイムライン(ツイート一覧表示)で知ることができる。今回の被害調査は、利用者がフォローしている相手のツイート内に書かれていたURLをクリックするところから始まる。
クリック先で現れた「Twitterでログイン」というボタンをクリックすると、「連携サービスをあなたの権限で動作させてもよいか?」という内容のページが表示される。ここで「ログイン」をクリックしてしまうと、TwitterのIDとパスワードを入力していないにも関わらず、自分の権限をその連携サービスに許可してしまう。
自分がフォローする相手から受け取ったツイートと同じものを、連携サービスが勝手に、自分のツイートとして投稿してしまうことがわかった。自分をフォローしている人たちのタイムラインに、そのツイートが載ることが確認された。
■二次被害発生のおそれと対策
一度連携してしまうと、自分で連携を解除しない限り、基本的に連携サービスは継続する。Twitterで自分の権限を連携サービスに渡してしまった利用者が、ある程度の人数に増えた時点で、連携サービス側が悪意あるURL(たとえばウイルス配布サイトやフィッシングサイトなど)を含むツイートを投稿したら、どうなるだろう。フォローしている人への安心感から、フォロワーたちが次々とそのURLをクリックしてしまう可能性は低くないはずだ。
IPAは対策として、不要な連携サービスを取り消すこと、他者の投稿に書かれているURLを安易にクリックしないこと、連携先サービスの評判を確認することの3つを挙げている。とくにTwitterでは「短縮URL」が使用されることが多いので注意が必要だ。クリックする前に、短縮URLを本来のURLで表示するツールやサービスを利用したり、文字列全体を検索にかけたりすることで、ある程度内容と危険性を確認することができる。
(2012/10/03 ネットセキュリティニュース)
【関連URL:IPA】
・「SNSにおけるサービス連携に注意!」~あなたの名前で勝手に使われてしまいます
http://www.ipa.go.jp/security/txt/2012/10outline.htm