IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。
最終更新日:2015年 10月29日
独立行政法人情報処理推進機構
IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。
「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。
また、JPCERT/CCによると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日現在)と前月の2倍の件数となっています(図1-2)(*3 )。
この相談の友達リクエストのメールとは、各ネットサービスの一般的な機能である“サービス連携”によって海外のSNS が送信した招待メールです。この場合、海外のSNS から求められたサービス連携を許可するとGoogle の連絡先へのアクセスを許可してしまうことになります。
組織のメール機能をGoogle Apps で利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報等が読み取られ、自組織(独自ドメイン)名義の招待メールが送信されてしまいます。招待メールが取引先に届いた場合、さらに同じようにサービス連携を許可してしまうことでのメールの拡散や、場合によっては自組織の信用を損なう可能性も考えられますので、不用意にサービス連携を許可しないよう、注意喚起します。
※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2015年 10月29日 | 事案の概要:追記 |
---|---|
2015年 10月28日 | 掲載 |