HOME情報セキュリティ今月の呼びかけ

本文を印刷する

情報セキュリティ

今月の呼びかけ

第12-26-261号
掲載日:2012年 10月 1日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

(PDFはこちら)

2012年10月の呼びかけ

「 SNSにおけるサービス連携に注意! 」
~ あなたの名前で勝手に使われてしまいます ~

 はじめに

 (ご案内)
 2012年9月まで毎月公表しておりました「コンピュータウイルス・不正アクセスの届出状況」につきましては、2012年10月より、四半期毎の公表とさせていただくことになりました。2012年の第3四半期分の届出状況公表は、10月中旬を予定しております。
 なお、「今月の呼びかけ」につきましては、従来通り、毎月の公表を予定しております。

 最近、インターネット上のサービスである“Twitter(ツイッター)”などのミニブログサービスや、“mixi(ミクシィ)”、“Facebook(フェイスブック)”、“Google+(グーグルプラス)”などの SNS(ソーシャルネットワーキングサービス)が人気です。これらのサービスは、今の自分の行動や考えを簡単にインターネット上に発信できることや、同じ趣味や考えを持つ利用者同士の交流の場として利用できることが特徴となっており、多くの利用者を集めています。その反面、悪意ある者からサービス利用者が狙われるようになりました。例えば、「自分では何もしていないのに、Twitter上で勝手に投稿された」といった相談などが複数寄せられています。Facebookでは悪意あるサイトへのリンクを含む投稿が確認されています。
 IPAで調査した結果、SNS間のサービス連携機能を悪用された場合に、こうした被害が発生し得ることを確認しました。ここでは、サービス連携機能とそれを悪用した被害の実例を説明するとともに、解消方法についていくつかのSNSの実際の画面を用いて説明します。

図1-1:サービス連携のイメージ図
図1-1:サービス連携のイメージ図


(1)SNS間のサービス連携例

 SNS間における、典型的なサービス連携の例を示します。

  • TwitpicとTwitterの連携
    Twitpicによってアップロードした画像を、Twitterのツイートを通じて簡単に共有することができます。
  • mixiとTwitterの連携
    mixi上でのつぶやき(mixiボイス)を、自分のTwitterでのツイートに反映することができます。またその逆も可能です。
  • FacebookとYahoo! Mailの連携
    Yahoo! Mail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Yahoo! Mailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができます。
  • FacebookとGmailの連携
    Gmail内のアドレス帳を、Facebook側が読み取ることを許可することにより、Gmailのアドレス帳に含まれる知人に対してFacebookへの招待状を送信することができます。
  • PinterestとTwitterの連携
    Pinterest上で画像をアップロードした時に、画像のURLとメッセージを、自動的にTwitter上でツイートすることができます。

  • 上記の連携は、画面表示をよく読まずに操作すると、本人が意図しないまま開始してしまうことがあります。意図しないサービス連携に注意してください。
    連係解除の方法は「(3) 対策」の中で説明します。
    例)
    • 画像共有サービスとTwitterとの連携を許可している場合、画像をアップロードすると、その画像がTwitterに自動的にツイートされることになります。

    • Facebookとウェブメールサービスとの連携を許可している場合、本人が意図していなくても、ウェブメールサービスのアドレス帳に記載しているメールアドレス宛てに、自動的に招待状メールが送られることになります。

(2)ミニブログサービスの特徴と被害の実例

 ここでは、ミニブログサービスの一つである Twitter の特徴と、サービス連携による被害の一例を示します。

▼Twitter の特徴
 Twitter では、利用者がそれぞれ思いついた事などを「ツイート(つぶやき、投稿)」しています。Twitter には、他の利用者の「ツイート」を見るための「フォロー」という仕組みがあります。(図1-2)。例えば、自分の好きな芸能人を「フォロー」しておけば、 その芸能人の動向「ツイート(つぶやき)」を、自分の「タイムライン(「ツイート」の一覧表示機能)」からすばやく知ることができます。

図1-2:Twitterの仕組みのイメージ図
図1-2:Twitterの仕組みのイメージ図


 悪意ある攻撃者は、これらの仕組みを悪用して、利用者を攻撃しようとします。次に、Twitter における具体的な被害の実例を、IPAで検証した結果を踏まえた上で示します。(図1-3)

図1-3:Twitterにおける被害実例のイメージ図
図1-3:Twitterにおける被害実例のイメージ図


▼被害の実例(図1-3の解説)
  1. A さんが、自分が「フォロー」しているXさんの「ツイート」があったことを、Aさん自身のツイート一覧画面(タイムライン)で知ります。Aさんは、自分が「フォロー」している相手の「ツイート」なので信用して、その「ツイート」内のURLをクリックします(図1-3の【1】)。

  2. URLをクリックすると、新規フォロワー※1を得られることをうたうようなページが表示されます。ここで「Twitterでログイン」というボタンをクリックします(図1-3の【2】)。

  3. 「連携サービスをAさんの権限で動作させてもよいか?」という内容のページが表示されます。ここで「ログイン」をクリックしてしまうと、TwitterのIDとパスワードを入力していないにも関わらず、Aさんの権限をその連携サービスに対して許可することになります。つまり、AさんのTwitterアカウントがその連携サービスに乗っ取られた状態になってしまいます※2。今回IPAで検証したケースでは、連携サービスがAさんの代わりに勝手に、【1】で受け取ったものと同じ内容の「ツイート」をしてしまうことを確認しました(図1-3の【3】)。

  4. Aさんをフォローしているユーザー(例えばBさん)のツイート一覧画面に、連携サービスがAさんの代わりに勝手に書き込んだ「ツイート」が載ります(図1-3の【4】)。

  5.  「フォロー」という信頼関係が仇となり、連携サービスに各ユーザーの権限利用を許可してしまうという被害が連鎖式に広がる恐れがあります。
     勝手に「ツイート」されるだけであれば、それほど大きな実害ではありませんが、問題は連携サービスにアカウント利用権限を乗っ取られてしまうという点です。
     一度連携してしまうと、自分で連携を解除しない限り、連携は基本的に継続します。そしてこの罠に騙された利用者がある程度の人数になった時点で、連携サービス側からの悪意あるURL※3を含むツイートを一斉に行う攻撃による二次被害が発生するという脅威が想定されます(図1-4)。

       ※1 フォロワー:Twitter上で自分を「フォロー」するユーザーのこと。
       ※2 乗っ取られた状態:実際に行われているのは「認可情報の委譲」で、アカウントの乗っ取りではありません
          が、便宜上「乗っ取り」としています。
       ※3 悪意あるURL:ウイルス配布サイト、フィッシングサイト、など。

    図1-4:ユーザー乗っ取り後の二次被害のイメージ図
    図1-4:ユーザー乗っ取り後の二次被害のイメージ図

(3)対策

対策1 不要な連携サービスの取り消し
 SNSにログインした状態で設定を確認すると、当該SNSと連携しているサービスやアプリを確認することができます。明らかに不要なものや、身に覚えのないものがあれば削除してください。削除の判断に迷う場合は、各サービスのヘルプをご覧ください。

  • Twitterの場合
     自分のアカウントでTwitterにログインした後、「設定」→「アプリ連携」で確認することができます。現在連携中のアプリやサービスが表示されますので、不要なものは「許可を取り消す」をクリックして連携を取り消してください。

  • 図1-5:Twitterにおける連携サービス表示画面の例(2012年9月15日時点)
    図1-5:Twitterにおける連携サービス表示画面の例(2012年9月15日時点)


  • Facebookの場合
     自分のアカウントでFacebookにログインした後、「ホーム」→「アカウント設定」→「アプリ」で確認することができます。現在連携中のサービスがすべて表示されますので、不要なものは右端の「×」をクリックして連携を取り消してください。

  • 図1-6:Facebookにおける連携サービス表示画面の例(2012年9月15日時点)
    図1-6:Facebookにおける連携サービス表示画面の例(2012年9月15日時点)


  • Yahoo! Japanの場合
     自分のアカウントでYahoo! Japanにログインした後、トップページ内の「登録情報」をクリックして「登録情報の確認」画面を表示させます(図1-7左)。
     そこで「外部アカウント連携/解除」をクリックすると、現在連携しているサービスの一覧が表示されます(図1-7右)。
     現在連携中のサービスについては「解除」と表示されます。その中で不要なものは「解除」をクリックして連携を取り消してください。

  • 図1-7:Yahoo! Japanにおける連携サービス表示画面の例(2012年9月15日時点)
    図1-7:Yahoo! Japanにおける連携サービス表示画面の例(2012年9月15日時点)


対策2 他者の投稿(ツイートなど)に書かれているURLを安易にクリックしない
 他者の投稿やツイートに書かれているURLを簡単にクリックすると、悪意あるサービスのサイトに転送されて、知らないうちにそのサービスと連携してしまう恐れがあります。
 知り合いによる投稿(ツイート)でも安易にクリックしないようにしてください。
 手口として“短縮URL”※4が使用されることも多いようです。特にTwitterは、1回で入力できる文字数の制限があり、長いURLが収まりきらないことがあるため、リンクを提示する際に短縮URLが頻繁に使われます。短縮URLは、クリックするまでどのようなウェブサイトに誘導されるかわからず、悪意あるサイトへ誘導される可能性があります。
 “短縮URL”をクリックする前に、“短縮URL”を本来のURLで表示するツールやサービスを使用し、URL の信頼性を確認してください。また“短縮URL”の文字列全体をインターネット検索することで、ある程度その内容と危険性を確認できる場合があります。
   ※4 短縮URL:長いURL文字列を短縮して利用できるサービス。例えば
    「http://www.ipa.go.jp/security/personal/yobikake/index.html」を短くすると
    「http://○○○○/5G5G3g」となります。(「○○○○」は短縮サービスを行うサイト名)


対策3 連携先のサービスの評判を確認する
 特に不正なサービスの場合はインターネット上で情報が見つかる場合があります。よく知らないサービスと連携する前には、事前に口コミなどで評判を確認することを勧めます。

(4)こんなときは…

 怪しいメールやDM(ダイレクトメール)が届いた、怪しいリンク先が書かれているSNSやブログなどの投稿文を見つけた、などがありましたら、IPA安心相談窓口までご連絡をいただければと思います。

相談について


OAuthに関する技術的解説


 「(2) ミニブログサービスの特徴と被害の実例」の実例は、連携先のサービスにIDとパスワードを教えることなく連携可能な「OAuth(オーオース)」の仕組みを巧みに利用したものです。
 OAuthを活用して連携先のサービスと連携することで、多くの便利なサービスがおこなわれていますが、この仕組みを悪用されると、IDとパスワードを誰にも教えていないのに、勝手にSNS上で悪事をされてしまいます。

 前述の実例において発生するやり取りの技術的解説を、以下に示します(図1-8)。

図1-8:サービス連携時に発生するやり取りの概要
図1-8:サービス連携時に発生するやり取りの概要


  1. Aさんが、前述(2)【2】の画面上で「Twitterでログイン」をクリックします。実はこの行為は、「連携サービス」側に対して、「Twitter」と連携する手続きを開始するように指示する行為となります。
  2. 「連携サービス」側が「Twitter」に対して、鍵の使用申請書に匹敵するもの(正式には「リクエストトークン」)を要求し、受け取ります。
  3. 「連携サービス」側が、Aさんを「Twitter」上のページにリダイレクトさせます。その際、鍵の使用申請書も同時に転送※5します。
  4. Aさんが、3.で転送されたページ上で、「ログイン」をクリックします。これは、鍵の使用申請書にAさんが許可のサインをすることに相当します。
  5. 「Twitter」が、Aさんを「連携サービス」側のページにリダイレクトさせます。その際、Aさんサイン済の、鍵の使用申請書も一緒に転送されます。
  6. 「連携サービス」側が「Twitter」と通信し、Aさんサイン済の、鍵の使用申請書と、(正式には「アクセストークン」)を交換します。以後「連携サービス」側は、この鍵を持っていることで、Twitter上でAさんしかできないことを、Aさんの代わりに実行することができます。
       ※5 鍵の使用申請書も同時に転送:実際には、リクエストトークンをURLパラメータとしてURLに付加します。

  7. 以上の1.~6.の過程を踏むことにより、「連携サービス」がAさんの権限で、Twitter上でツイートしたり、第三者をフォローしたりすることができます。逆にAさんから見ると、その「連携サービス」に権限を委譲したつもりは無いのに、何気なくクリックしただけで、勝手にツイートされたり、第三者を勝手にフォローされたりすることになります。


お問い合わせ先:

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター
TEL:03-5978-7591 FAX:03-5978-7518
E-mail: 電話番号:03-5978-7591までお問い合わせください。
     (このメールアドレスに特定電子メールを送信しないでください)
URL:http://www.ipa.go.jp/security/

更新履歴:

2012年10月 2日 2012年10月の呼びかけ(PDF) 文章修正
2012年10月 1日 掲載