あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA)

脆弱性と脅威 脅威動向

 IPA(情報処理推進機構)は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意!』~ あなたの名前で勝手に使われてしまいます~」を公開した。

 Twitter、mixi、Facebook、Google+などのソーシャルサービスでは最近、さまざまな形で連携機能が用意されている。しかしSNS間のサービス連携機能を悪用されると、アカウントを乗っ取られるような被害が発生する場合があるという。今回IPAでは、サービス連携機能とそれを悪用した被害の実例を説明するとともに、解消方法についていくつかのSNSの実際の画面を用いて説明している。

 たとえば、mixi上でのつぶやき(mixiボイス)とTwitterでのツイートは、相互に反映できる。またYahoo! Mail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Yahoo! Mailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができる。あるいは、Pinterest上で画像をアップロードした時に、画像のURLとメッセージを、自動的にTwitter上でツイートするといったことが可能だ。しかしこれらの連携は、画面表示をよく読まずに操作すると、本人が意図しないまま開始してしまうことがあり、さらにはアカウント乗っ取り(に近いj状態)に繋がる場合もある。

 Twitterにおける事例では、Aさんが、自分が「フォロー」しているXさんの「ツイート」内のURLをクリックした際に、新規フォロワーを得られることをうたうようなページが表示されたという。ここで「Twitterでログイン」というボタンをクリックし「連携サービスをAさんの権限で動作させてもよいか?」を承認してしまうと、TwitterのIDとパスワードを入力しなくても、Aさんの権限がその連携サービスに対して許可される。今回IPAで検証したケースでは、連携サービスがAさんの代わりに勝手に、Xさんから受け取ったものと同じ内容の「ツイート」をしてしまうことを確認したという。これにより、連鎖的にどんどんツイートが広がっていくという仕掛けだ。

 勝手に「ツイート」されるだけであれば、それほど大きな実害ではないが、一度連携してしまうと、自分で連携を解除しない限り、連携は基本的に継続される。そして被害者がある程度の人数になった時点で、連携サービス側からの悪意あるURLを含むツイートを一斉に行う、という攻撃手法が想定されるのだ。

 IPAでは対策として、不要な連携サービスを取り消すこと、他者の投稿(ツイートなど)に書かれているURLを安易にクリックしないこと、連携先のサービスの評判を確認することなどを推奨している。

IPAの今月の呼びかけ「SNSにおけるサービス連携に注意!」……アカウントを勝手に使われる

《冨岡晶@RBB TODAY》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  2. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  6. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  7. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×