最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆モジラ、深刻な脆弱性を修正した「Firefox 42」公開(2015/11/04) | メイン | ◆消費生活センターを装う迷惑メールに注意、偽装広告メールが増加中(2015/11/09) »

2015/11/06

◆「友達リクエスト申請」メールに注意――「承認」で被害拡散のおそれ(IPA)(2015/11/06)

 友人から届いた友達申請メール(実は迷惑メール)を「承認」してしまい、自分名義で同様の友達申請メールがばらまかれてしまったという相談が急増しているとして、IPAはその原因となる「サービス連携」許可に注意し、不用意なクリックをしないよう呼びかけている。

 IPAによると、こうした迷惑メールの相談は今年5月以降に寄せられるようになり、8月以降に増えはじめ、10月には52件と前月の5倍近くまで急増した。同様の迷惑メール被害は企業・組織でも発生しており、本通信は8月26日の記事で、複数の企業・組織のメールアドレスを使った友達リクエスト申請メール(迷惑メール)が送信されていることをお伝えしたが、被害はその後も継続発生しており、JPCERTコーディネーションセンター(JPCERT/CC)の調査によると、情報公開している組織数は10月23日現在18件で、前月の2倍になっている。

■安易な「サービス連携」許可が招くトラブル

 IPAに寄せられた相談では、自分を名義とする海外SNSの招待メールが、Googleアカウントに登録していた連絡先に勝手に送られていた。こうしたことが起きる原因は、かつて相談者の元に届いた友達リクエストメールを「承認」する際に、自覚しないまま「サービス連携」を許可してしまったことにあるとIPAは指摘する。サービス連携の許可は、自分のGoogleアカウントの連絡先情報へのアクセスを許すことを意味する。
 クラウド型グループウェア「Google Apps」でメール機能を利用している企業・組織の場合、こうした形で連絡先情報が読み取られると、組織(独自ドメイン)名義の招待メールが取引先に送信されてしまうことになる。実際にそうした相談がIPAに寄せられているという。

■「招待メール」のチェックポイント

 IPAは、相談者が受け取った海外SNSへの招待メールをサンプルとして挙げ、注意するべき点を解説している。招待メールの受信トレイの差出人名、件名欄には、招待者(友人・知人)の氏名またはメールアドレスが表示されているため、招待者本人から送信されたように見える。しかし、送信元メールアドレス情報を確認すると、招待者とは関係のないメールアドレスから送信されていることがわかる。
 メール本文は、「あなたをお友達だと○○が言っていますが、承認しますか?」、「○○から新しいメッセージが届いています。見ますか?」という2パターンが確認されている。それぞれ「承認する」または「見ますか?」ボタンをクリックすると、Googleアカウントに対する「サービス連携」の許可を求める画面に遷移する。ところが、「承認する」や「見ますか?」以外のリンク箇所をクリックしても、結局「サービス連携」の許可を求める画面に遷移するという。IPAは、招待メールのリンクはいずれもクリックしないことが賢明だとアドバイスしている。

■[許可]をクリックする前に読みたい「説明文」

 遷移先の画面では、「次の許可をリクエストしています」として4つの機能を挙げ、4番目に「アドレス帳や連絡先情報の管理」が記されている。[許可]ボタン前の説明文には、許可をクリックした場合、「このアプリ(編集部注:海外SNSのこと)とGoogleがそれぞれの利用規約とプライバシーポリシーに従ってあなたの情報を利用することを許可することになります。このアカウント情報やその他のアカウント情報をいつでも変更できます。」と書かれている。よく読めば怖い内容であることがわかるが、注意をひかない小さな文字で書かれているためか読み飛ばしてしまい、[許可]ボタンをクリックしてしまう人が後を絶たないようだ。
 ここで許可してしまうと、自分のGoogleアカウントの連絡先情報へのアクセスを許してしまう。その結果、登録されているメールアドレス宛てに海外SNSから招待メールが送信されてしまうことになる。

■迷惑メールを送らせない対策、被害発生後の対策

 IPAは、自分名義の迷惑メールを送らせない対策として、「招待メール本文中のリンク箇所を不用意にクリックしない」「不用意にサービス連携の許可をしない」の2点を挙げている。実際に迷惑メールの送信被害が判明した場合の対策としては、許可したサービス連携を削除する手順を公開している。
・招待メールをきっかけに登録したSNSを解除したい場合の手順[PDF]
https://www.ipa.go.jp/files/000048585.pdf

 Googleアカウントへのアクセスを許可してしまった場合の対策については、本通信でも下記記事中の「連携アプリの削除」で解説しているので、参考にしていただきたい。
・友達リクエスト申請を促すメールに注意~承認すると拡散のおそれ
http://security-t.blog.so-net.ne.jp/2015-08-26

 関連して、「連絡先に登録した覚えのない宛先にも招待メールが届く」「招待メールの内容がブログに投稿される」などの事象も発生しているという。IPAはその原因と対策も解説しているので、下欄「2015年11月の呼びかけ」を参照していただきたい。

(2015/11/06 ネットセキュリティニュース)

【関連URL】
・2015年11月の呼びかけ「不用意なクリックによって自分名義の招待メールが友人に送信される可能性」(IPA)
http://www.ipa.go.jp/security/txt/2015/11outline.html
・【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!(IPA)
https://www.ipa.go.jp/security/topics/alert271028.html
・注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」(JPCERT/CC)
https://www.jpcert.or.jp/pr/2015/pr150005.html

投稿情報: 09:33 |

|