情報処理推進機構(IPA)は10月28日、SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散する被害が急増していると発表した。
「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日時点)寄せられ、前月の3倍を超過したという。
また、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日時点)と前月の2倍の件数となっている。
|
|
|
IPAに寄せられた相談件数(左)、被害に関して情報公開した組織数(右) |
|
友達リクエストのメールは、各ネットサービスの一般的な機能である「サービス連携」によって海外のSNSが送信した招待メールとして送られる。この場合、海外のSNSから求められたサービス連携を許可すると、Googleの連絡先へアクセスを許可してしまうことになる。
組織のメール機能をGoogle Appsで利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報などが読み取られ、自組織(独自ドメイン)名義の招待メールが送信される恐れがある。
今回の被害の手口は次の通り。
- 友人・知人の情報が記載された海外SNSの招待メールが届く
|
海外 SNS の招待メールの例(受信トレイ) |
|
海外SNSの招待メールの例(メール本文) |
- 招待メールのリンクをクリックした後、サービス連携の許可を求める画面が表示される
|
サービス連携の許可を求める画面 |
サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる
これにより海外SNSから招待メールが送信される
こうした被害に遭うことを防ぐには、不用意にサービス連携を許可しない、組織の管理者は組織内に対して注意を促すといった認識を組織内で徹底しておくこと。万一被害に遭った場合は、意図せず許可したサービス連携は速やかにに削除するようにと呼び掛けている。
