HOME情報セキュリティ2015年11月の呼びかけ

本文を印刷する

情報セキュリティ

2015年11月の呼びかけ

「今月の呼びかけ」一覧を見る
第15-17-342号
掲載日:2015年 11月 4日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
(PDFはこちら)

「不用意なクリックによって自分名義の招待メールが友人に送信される可能性」

IPAに「友人からの友達リクエストと思しきメールが届いたので承認をしたら、自分の名義で同様の友達リクエストのメールがばらまかれたようだ」という相談が、5月以降寄せられるようになりました。同様の相談は8月以降増えはじめ、10月には52件と前月の5倍近くまで急増しました。(*1)また、JPCERTコーディネーションセンター(JPCERT/CC)によれば、自組織を称したメールが送信されているという被害について情報公開した組織も複数確認されています。(*2)

相談によると、この友達リクエストは海外SNSの招待メールであり、相談者のGoogleアカウントに登録されている連絡先に送られていました。その原因は、相談者が自分に届いた友達リクエストを承認する際に、各ネットサービスの一般的な機能である“サービス連携”を許可してしまい、海外SNSに対してGoogleアカウントの連絡先情報(コンタクト)へのアクセスを許可してしまったことにありました。(*3)

図1:“サービス連携”の許可によって海外SNSの招待メールが連鎖的に送信されるイメージ
図1:“サービス連携”の許可によって海外SNSの招待メールが連鎖的に送信されるイメージ

この招待メールは“サービス連携”によって連絡先の情報を読み取り、自分の名義で関係者に送信されるため、受信者からすると友人・知人から届いたかのように見えます。しかし、実際は海外SNSから自動的に送信されているメールです。

なお、メール機能をGoogle Apps で利用している組織の場合、連絡先情報を読み取られてしまうと組織(独自ドメイン)名義の招待メールが取引先に送信されてしまいます。実際にそのような相談がIPAにも寄せられています。

今月の呼びかけでは、海外SNSの招待メールの事例を基に、“サービス連携”の許可を求められるメールを受信したときの注意すべき点と対策について紹介します。

 
(*1)
相談件数:5月 2件、6月 1件、7月 3件、8月 7件、9月 11件
(*2)
JPCERT/CC:「注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」」
https://www.jpcert.or.jp/pr/2015/pr150005.html
(*3)
2012年10月の呼びかけ:「 SNSにおけるサービス連携に注意! 」
https://www.ipa.go.jp/security/txt/2012/10outline.html#5

(1) 友人・知人の情報が記載された招待メールが届いた際の注意点

相談の内容からIPAで確認したところ、受信する招待メールは次のような形で届きます。

① 受信トレイでの差出人名、件名欄

招待メールは差出人名、件名に招待者(友人・知人)の氏名またはメールアドレスが表示されています。Gmailの受信トレイ上では、図2のように表示されます。

図2:Gmailの受信トレイで表示される招待メールの差出人名と件名
図2:Gmailの受信トレイで表示される招待メールの差出人名と件名

差出人名の表示から、招待者本人から送信されたようにも見えますが、送信元メールアドレスの情報を確認すると、招待メールは招待者とは関係のないメールアドレスから送信されていることがわかります。

図3:Gmailのメール本文で表示される差出人名と実際の送信元メールアドレス
図3:Gmailのメール本文で表示される差出人名と実際の送信元メールアドレス

② メールの本文

IPAで確認できた招待メールは次の2パターンでした(図4)。

それぞれ「承認する」や「見ますか?」をクリックすると次にGoogleアカウントに対する“サービス連携”の許可を求める画面に遷移します。

なお、「承認する」や「見ますか?」以外のリンク箇所をクリックしても“サービス連携”の許可を求める画面に遷移することも確認できており、明示的に拒否したい場合でもこれら画面においていずれもクリックしないことが賢明です。

図4:招待メールの例 承認する 図4:招待メールの例 見ますか
図4:招待メールの例

(2) サービス連携を許可することで勝手に招待メールが送信される

前述の図4の招待メールの「承認する」や「見ますか?」などのリンク箇所をクリックすると、Googleアカウントに対して海外SNSが“サービス連携”の許可を求める画面(図5)に遷移します。

図5:海外SNSがGoogleアカウントにサービス連携の許可を求める画面
図5:海外SNSがGoogleアカウントにサービス連携の許可を求める画面

この画面で「許可」をクリックしてしまうと、海外SNSにそのGoogleアカウントの連絡先情報の読み取り等を許可してしまいます。その結果、連絡先に登録されているメールアドレス宛に海外SNSから招待メールを送信されてしまいます。

(3) 意図せずに自分名義の招待メールを送信してしまわないための対策

① 招待メール本文中のリンク箇所を不用意にクリックしない

親しい人からの招待メールでもメール本文中のリンク箇所を不用意にクリックはせず、招待者に対して招待メールを送ったかどうか、メールの正当性を確認してください。

② 不用意にサービス連携の許可をしない

サービス連携を許可しなければ、連絡先を読み取られずに済み、招待メールが送られることもありません。サービス連携を許可する場合は、その許可内容をよく確認し、十分理解できない、納得できない場合は許可しないことが賢明です。

今回の事象では、次のような現象も確認されています。思わぬトラブルに発展する可能性もありますので、以下を参考に必要に応じた対応を行ってください。

連絡先に登録した覚えのない宛先にも招待メールが届く
Gmailには一度でもメールを送信した宛先について、自動で連絡先に登録する機能があります。この機能はデフォルトの設定で有効になっているため、登録した覚えのない宛先であっても送信されてしまったと考えられます。設定を変更すればメール送信による連絡先への自動登録はなくなります。
招待メールの内容がブログに投稿される
メール送信でブログに投稿ができる機能があります。もし投稿用メールアドレスを連絡先に登録していると、招待メールが投稿用メールアドレスにも送られますので、結果的に招待メールがブログで公開されることになります。特に最近、自分のブログを更新していない場合、その投稿に気がつきにくく注意が必要です。心当たりがあれば早急にブログ記事を確認し、削除等の対処を行う必要があります。
Google Appsを利用してメールを運用している場合は組織(独自ドメイン)名義で送信される
組織でGoogle Appsを利用している場合、組織のメールでサービス連携を許可し連絡先を読み取られると、メールのやりとりをしている取引先にも影響が及ぶ懸念があります。そのため、対象となる組織の管理者は組織内に注意を促してください。(*4)

なお、上記の現象を含め、“サービス連携”を許可してしまったことで、自分名義の招待メールが送信されていることがわかった場合は、 まずGoogleアカウントに対して許可した“サービス連携”を削除する必要があります。詳細の手順について新たに資料(*5)を公開しましたので参考にしてください。

今回のSNS招待メールに限らず、届いたメールのリンク箇所をクリックすることは、フィッシングサイトへの誘導やウイルス感染の恐れもあります。不用意なクリックは避け、少しでも不審な点や不明瞭な点があった際には、送信元に確認を取ってください。

 
(*4)
10月28日公開:【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!
https://www.ipa.go.jp/security/topics/alert271028.html
(*5)
招待メールをきっかけに登録したSNSを解除したい場合の手順
https://www.ipa.go.jp/files/000048585.pdf

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 加賀谷/野澤

更新履歴

2015年 11月 4日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。