あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

あなたの名前で勝手に使われてしまいます、SNS間のサービス連携機能悪用によるアカウント乗っ取りに注意(IPA)

脆弱性と脅威 脅威動向

 IPA(情報処理推進機構)は1日、2012年10月の呼びかけとして「『SNSにおけるサービス連携に注意!』~ あなたの名前で勝手に使われてしまいます~」を公開した。

 Twitter、mixi、Facebook、Google+などのソーシャルサービスでは最近、さまざまな形で連携機能が用意されている。しかしSNS間のサービス連携機能を悪用されると、アカウントを乗っ取られるような被害が発生する場合があるという。今回IPAでは、サービス連携機能とそれを悪用した被害の実例を説明するとともに、解消方法についていくつかのSNSの実際の画面を用いて説明している。

 たとえば、mixi上でのつぶやき(mixiボイス)とTwitterでのツイートは、相互に反映できる。またYahoo! Mail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Yahoo! Mailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができる。あるいは、Pinterest上で画像をアップロードした時に、画像のURLとメッセージを、自動的にTwitter上でツイートするといったことが可能だ。しかしこれらの連携は、画面表示をよく読まずに操作すると、本人が意図しないまま開始してしまうことがあり、さらにはアカウント乗っ取り(に近いj状態)に繋がる場合もある。

 Twitterにおける事例では、Aさんが、自分が「フォロー」しているXさんの「ツイート」内のURLをクリックした際に、新規フォロワーを得られることをうたうようなページが表示されたという。ここで「Twitterでログイン」というボタンをクリックし「連携サービスをAさんの権限で動作させてもよいか?」を承認してしまうと、TwitterのIDとパスワードを入力しなくても、Aさんの権限がその連携サービスに対して許可される。今回IPAで検証したケースでは、連携サービスがAさんの代わりに勝手に、Xさんから受け取ったものと同じ内容の「ツイート」をしてしまうことを確認したという。これにより、連鎖的にどんどんツイートが広がっていくという仕掛けだ。

 勝手に「ツイート」されるだけであれば、それほど大きな実害ではないが、一度連携してしまうと、自分で連携を解除しない限り、連携は基本的に継続される。そして被害者がある程度の人数になった時点で、連携サービス側からの悪意あるURLを含むツイートを一斉に行う、という攻撃手法が想定されるのだ。

 IPAでは対策として、不要な連携サービスを取り消すこと、他者の投稿(ツイートなど)に書かれているURLを安易にクリックしないこと、連携先のサービスの評判を確認することなどを推奨している。

IPAの今月の呼びかけ「SNSにおけるサービス連携に注意!」……アカウントを勝手に使われる

《冨岡晶@RBB TODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

  2. ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

    ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

  3. 「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

    「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

  4. Savitech製USBオーディオドライバに、ルートCA証明書を導入される脆弱性(JVN)

  5. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  6. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  7. トレンドマイクロの管理マネージャに複数の脆弱性(JVN)

  8. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  9. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  10. パケット解析ツール「Packetbeat」にDoS攻撃を受ける脆弱性(JVN)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×