OAuthを悪用したアカウント乗っ取りに注意喚起、IPA
@IT 10月1日(月)19時4分配信
情報処理推進機構(IPA)技術本部セキュリティセンターは10月1日、TwitterやFacebookをはじめとするソーシャルネットワーキングサービス(SNS)の連携機能を悪用してアカウントを乗っ取り、悪意あるWebサイトに誘導する書き込みを投稿される手口が増加しているとして、注意を呼び掛けた。
近年、Twitterやmixi、Facebook、Google+といったSNS、さらにそれらと連携するTwitpicやPinterestといったサービスが人気を集めており、OAuthを利用してワンクリックで手軽にこれらのサービスを連携できる仕組みも整えられている。しかしIPAによると、この仕組みが攻撃者に悪用され、「自分は何もしていないのに、Twitter上で勝手に投稿された」という相談が複数寄せられているという。
例えばTwitterでは、そのつどIDとパスワードを入力しなくても、「連携を許可する」ことによって、ほかのサービスに自動的に投稿したり、Twitterのアカウントでそのままログインすることができる。これは便利であるが、意図しないサービスにまで勝手に投稿されて情報をコントロールできなくなったり、勝手に招待メールが送られるといった事態も生じている。
さらにこの連携の仕組みを逆手に取り、アカウント乗っ取りを目的とした「連携サービス」まで登場しているという。
この連携サービスは「新規フォロワー獲得」などを装って、Twitter上の投稿として紹介されてくる。もしそのリンクにアクセスして、「この連携サービスを当該ユーザー(自分自身)の権限で動作させてもよいか?」という問いに許可を与え、「ログイン」をクリックしてしまうと、Twitterのアカウントが乗っ取られてしまう。結果として、自分のアカウントで最初の誘導と同じ内容を勝手にツイートされ、フォロワーに対して被害が拡大再生産される恐れがある。
IPAでは対策として、TwitterやFacebookなどのサービスにログインした状態で、連携しているサービスやアプリを確認し、不要なものや身に覚えのないものは削除するよう推奨している。同時に、他社の投稿やツイートに含まれているURL、特に短縮URLを安易にクリックしないこと、よく知らないサービスに連携を許可する場合は連携先のサービスの評判を確認することを勧めている。
業界の話題、問題、掘り出し物、ちょっとしたニュース配信中。
