So-net無料ブログ作成

「アプリ連携」に注意~後を絶たない無断投稿アプリ [モバイル]

 Webサービスの中には、他のWebサービスやアプリ(以下、両方をまとめてアプリと記す)と連携する機能を提供しているところがある。ボタンをクリックしていくだけで手軽に利用できる半面、これを悪用した攻撃も多く、TwitterやFacebookなどのSNSでは、勝手に投稿してしまう悪質なアプリが後を絶たない。

■勝手なスパム投稿や個人情報抜き取り被害が発生

 人気の高いWebサービスほど、便利なアプリが多数用意されると同時に、攻撃対象になることも多い。サードパーティのアプリを利用する際に、以前はアプリにID/パスワードを直接入力するのが一般的だったが、最近は公式サイトに移動して承認や許可のボタンを押すものが増えてきている。これが、公式サイト側で用意しているアプリの連携機能を使ったもので、ボタンを押して承認すると、そのアプリにサービスの一部の機能の使用権限が与えられる。

 ID/パスワードを直接入力して全権を委ねてしまう従来の方法では、最悪の場合、悪意のあるアプリにアカウントを乗っ取られてしまうことがある。連携機能では、アカウント乗っ取りのような最悪の事態には至らないものの、悪意のあるアプリによって、勝手にスパム投稿が行われたり、自分や友達の個人情報が抜き取られたりする被害が発生している。

■主な攻撃の手口

 主な攻撃の手口は、興味をそそるようなリンクを十分な説明をせずにクリックさせるもので、あまり確認しないでクリックを続けてしまうような方ほど被害を受けやすい。アプリ連携時には、公式サイトの確認ページが表示され、そこに「これからアプリに何を許可するか」が記されている。攻撃者たちの中には、これをもってユーザーに説明し許諾を得たとし、アプリの挙動が正当な行為であると主張する者がいる。

 アプリ連携の確認ページが表示されたらボタンをクリックする前に、どのようなことが行われる可能性があるのか、悪用される危険のない信頼できる相手なのかを、よく考え検討していただきたい。アプリのインストールやアカウントの登録と同様、信頼性や実績、評判などをよく調べ、生じるかもしれないリスクを考えたうえで利用するか否かを決めるよう心がけたい。

■うっかり連携してしまったら

 サービスに連携しているアプリは、それぞれのサービスの設定ページで確認したり連携を解除したりすることができる。サービスによっては、Web上からでないと操作できないところもあるので、専用アプリを使用している場合は注意していただきたい。

 悪用事例の多いTwitterの場合には、PC用のWebページにログインし、ページの右上にある歯車アイコンから「設定」を選択して設定ページを開く。左のリストから「アプリ連携」を選択すると、連携しているアプリの一覧と許可の取り消しが行える。

 同じく悪用事例が多いFacebookの場合には、公式アプリ、Webページのどちらからでも操作できる。公式アプリの場合には、右上のメニューアイコン(≡)から「アカウント設定」を選択し、一覧の「アプリ」を選択する。Webページの場合は、右上の▼をクリックして「設定」を選択。左の一覧から「アプリ」を選択する。

(2014/09/04 セキュリティ通信)