IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は自分の名義で招待メールが友人などに勝手に送付されてしまうといった事例を紹介している。

SNSでよく使われる紹介メール

SNSといえば、多くのユーザーが利用するネットワークサービスの1つである。著名なものから、コアなユーザーが集うものまでさまざまなサービスがある。そして、ほとんどSNSで使われる機能の1つに紹介メールがある。メッセージ交換やコミュニティを形成する際に、参加するユーザーの範囲を限定することで、より深く、安心できるやりとりが可能となる。

メンバーとして参加するために使われるのが、紹介メールである。今回、IPAが取り上げた事例は、この紹介メールの一種である友達リクエストが自分の名義で勝手に送付されてしまったことである。IPAによれば、この相談は2015年5月あたりから寄せられるようになり、10月には52件と前月より5倍近くまで増加した。

連鎖的に送信された招待メール

では、どのようにして、ユーザーが意図せず友達リクエストが送信されてしまったのか。まずユーザーの元に海外SNSより、友達リクエストが届く。これを承認する際に、ネットサービスの一般的な機能である「サービス連携」を許可したことが原因となっている。海外SNSは、Googleアカウントの連絡先情報にアクセスが可能となり、その情報を使い、ユーザー以外の第三者へメールが送信されたのである(図1)。

図1 サービス連携の許可により海外SNSの招待メールの連鎖的な送信(IPAの今月の呼びかけより)

こうして、ユーザーから別のユーザーへと連鎖的に招待メールが発送される事態となったのである。こういった事例では、ネズミ算的に被害が拡大していく。それが、IPAへの相談の急激な増加となったのである。また、JPCERTコーディネーションセンター(JPCERT/CC)によれば、自組織を称したメールが送信されているという被害について情報公開した組織も複数確認されたとのことである。

勝手に送信された紹介メール

では、どのような紹介メールであったのか。その内容を紹介しよう。まず、招待メールの差出人名と件名であるが、図2のようになっている。

図2 Gmailの受信トレイで表示される招待メールの差出人名と件名(IPAの今月の呼びかけより)

しかし、送信元メールアドレスの情報を確認すると、招待メールは招待者とは関係のないメールアドレスであることがわかる(図3)。

図3 実際の送信元メールアドレス(IPAの今月の呼びかけより)

本文は、図4のようになる。

図4 招待メールの例(IPAの今月の呼びかけより)

「承認する」や「見ますか?」をクリックすると、Googleアカウントに対するサービス連携の許可を求める画面に遷移する。IPAによれば、他のリンクをクリックしてもサービス連携の画面に遷移するようなメールもあったとのことだ。次のサービス連携の許可は、図5のようになる。

図5 海外SNSがGoogleアカウントにサービス連携の許可を求める画面(IPAの今月の呼びかけより)

ここで[許可]をクリックすると、海外SNSは連絡先情報の読み出しが可能となる。結果、海外SNSは、連絡先に登録されているメールアドレス宛に招待メールを送信するのである。

意図せずに自分名義の招待メールを送信してしまわないための対策

IPAでは、このような被害を防ぐために、以下の2つを対策としてあげている。

  • 招待メール本文中のリンク箇所を不用意にクリックしない
  • 不用意にサービス連携の許可をしない

いずれも、こうして指摘されれば、誰しもが常識的と思えることだ。しかし、招待メールが親しい友人であったりすると、警戒心が緩む。そして、サービス連携は一見すると便利な機能に思える。しかし、メールアドレスを公開するようなもので、本当に必要なことか、再度、検討してみてほしい。悪意を持った攻撃者にとって、SNSで繋がった個人情報は第一目標といっても過言ではない。

IPAによると、以下のような事例も確認されているとのことだ。

  • 連絡先に登録した覚えのない宛先にも招待メールが届く
  • 招待メールの内容がブログに投稿される
  • Google Appsを利用してメールを運用している場合は組織(独自ドメイン)名義で送信される

いずれの場合も、サービス連携を許可したことが原因となる。IPAでは、より具体的なサービス連携の解除方法も紹介している。

図6 招待メールをきっかけに登録したSNSを解除したい場合の手順(pdf)

もし、身に覚えのない招待メールなどがあった場合、参考にしてほしい。