IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、SNSの連携機能を悪用した事例を紹介している。TwitterやFacebookなどのSNS(ソーシャルネットワークサービス)を利用は、非常に一般的なものとなっている。これまでも、Twitterでは短縮URLを使った不正サイトへの誘導、Facebookでは友人や知人になりすますといった攻撃などがあった。今回は、SNSの連携機能を悪用した攻撃事例が報告された。IPAによれば、Twitterで「自分では何もしていないのに、勝手にツィートされた」といった相談が寄せられたとのことである。まずは、その手口を紹介しよう。

Twitterとの連携サービスを悪用

寄せられた相談をもとに、実際にIPAが検証を行った事例である。ここでは、AさんがXさんをフォローしている、つまりAさんのタイムランには、Xさんのツィートが表示されている状態である。

図1 Twitterの連携サービスを悪用した攻撃例(「今月の呼びかけ」より引用)

ここで、Xさんのツィートに短縮URLが含まれていた。フォローしていることで、このURLを安心してクリックしてしまう。まずは、これが第一段階である(図1の【1】)。上述のように、短縮URLであることから、どのようなサイトか想像がつきにくい。

実際にURLをクリックして誘導されたWebサイトでは、新規のフォロワー(Aさんをフォローしてくれるユーザー)を得られるといったことが紹介されている。当然ながら、これも誘いの文句である。本当にフォロワーが得られると思い、[Twtterでログイン]をクリックしてしまう。これが第二段階である(図1の【2】)。

さて、ここからが連携サービスを悪用をした手口の本質である。まずは「連携サービスをAさんの権限で動作させてもよいか?」という内容のページが表示される。そして[ログイン]をクリックすると、TwitterのIDとパスワードを入力していなくても、Aさんの権限がその連携サービスに対して許可されてしまう。ここで、AさんのTwitterアカウントがその連携サービスに乗っ取られてしまう(図1の【3】)。IPAによると、厳密な意味でのアカウントの乗っ取りではない。実際には「認可情報の委譲」が行われているとのことだ。

この結果、AさんをフォローしているBさんのタイムランに、連携サービスがAさんの代わりに勝手に書き込んだ「ツィート」が表示される(図1の【4】)。IPAの検証によれば、連携サービスがAさんの代わりに勝手に行ったツィートは、【1】で受け取ったものと同じ内容であったとのことだ。こうして、連鎖的に乗っ取りが行われていくのである。そして、悪意を持った攻撃者は、危険なWebサイトのリンクを含むようなツィートを行い、二次攻撃を行う危険性がある。

対策の第一は、不要な連携サービスの取り消し

最近のSNSでは、多様な連携サービスがある。具体的には、以下のようなものがある。

  1. 画像共有サービスとTwitterとの連携を許可している場合、画像をアップロードすると、その画像がTwitterに自動的にツィートされる
  2. FacebookとWebメールサービスとの連携を許可している場合、Webメールサービスのアドレス帳に記載しているメールアドレス宛てに、自動的に招待状メールが送られる

ここで注意したいのは、これらの連携処理が「本人の意図に関わらず」自動的に行われることがあることだ。この機能によって、知らないうちにツィートされたり、招待状が送付されてしまうのである(これで、また被害を拡大する)。さて、対策であるが、SNSが連携しているサービスやアプリを確認し、使っていない機能は削除することである。連携サービスよっては、アカウント作成した段階で、自動的に登録されることもある。まずは、Twitterの削除方法である。ログインしたら、[設定]→[アプリ連携]を選ぶ。

図2 の連携サービス(「今月の呼びかけ」より)

ここで、[許可を取り消す]で不要なサービスを削除する。Facebookでは、ログイン後、[ホーム]→[アカウント設定]→[アプリ]を選ぶ。

図3 Facebookの連携サービス(「今月の呼びかけ」より)

右にある[×]をクリックすることで、不要なサービスを削除できる。最後にYahoo! Japanである。ログイン後、[登録情報]から登録情報の確認画面へ進む。その画面で[外部アカウント連携/解除]を選ぶ。

図4 Yahoo! Japanの連携サービス(「今月の呼びかけ」より)

ここで、[解除]をクリックすることで、不要なサービスを削除できる。なお、これらの設定変更方法は、2012年9月15日時点のものであり、変更される可能性もあるので注意されたい。もし、上述のような被害を経験していなくても、各種SNSを利用しているのであれば、この機会に一度確認してみるのもよいであろう。

その他の対策も

さて、冒頭にふれたように、短縮URLが悪用されることは、かなり以前から行われている。Twitterの文字制限に対応する機能であるが、どういったサイトなのか想像がしにくい。そこで、クリックする前に本来のURLに表示するようなツール使う。また、短縮URL自体を検索することで、評判を確認できることもあるとのことだ。

最近では、セキュリティ対策ソフトの機能として、事前に短縮URLでも危険性の表示やブロックを行ってくれるものもある。できれば、このようなセキュリティ対策ソフトと併用すべきであろう。これら以外にも、連携サービスの評判を事前に検索することで、不正なサービスと判明することもある。特に、サービス内容がよくわからない場合などは、確認しておきたい。最後に、もし、このような不正なサービスや不審なメール、怪しいリンクなどを見つけた場合、積極的に、IPA安心相談窓口に連絡をしてほしいとのことである。