So-net無料ブログ作成
検索選択

アカウントの利用許可は慎重に――勝手にツイートする悪質アプリ続出 [トラブルの予防]

 身に覚えのないツイートが、自分のアカウントから勝手に投稿されてしまう事例が後を絶たない。一部にアカウントが乗っ取られたケースもあるようだが、多くは、悪質なアプリにアカウントの利用許可を与えてしまったことに起因する。

 Twitterを始めとする大手のサービスには、外部のサービスやアプリと連携する機能が用意されている。アプリにサービスの全ての操作が行えるアカウント情報(ユーザー名とパスワード)を入力しなくても、サービスの一部の機能が利用できる仕組みだ。

 Twitterのアプリ連携時には、「○○○にアカウントの利用を許可しますか?」(○○○はアプリ名)と書かれたアプリケーション認証ページに誘導される。ここで「連携アプリを認証」ボタンをクリックすると、アプリに許可が与えられ連携が完了する。

 Twitterにログインしていない場合には、ログインしてからの操作になるが、ログイン済の場合はワンクリックで連携が完了してしまうため、よく考えずにクリックしてしまう人もいるようだ。連携するアプリによっては、意に反したツイートやプロフィールの更新、フォロー、ダイレクトメッセージの送信を、勝手に行うかも知れないということを気に留めておいていただきたい。

■悪質なアプリの特徴

 アカウントの利用を許可してもよい信頼できるアプリであることを見極めるのは難しいが、勝手に投稿してしまう悪質なアプリには、いくつか共通する特徴があるので紹介しておこう。

<短縮URLのリンクに注意>
 性格診断やテスト、占いなどに見せかけるものや、「あなたをブロックしている人が分かる」「あなたの好感度を点数化してみた」などの興味を惹くようなメッセージに、bit.ly(Bitly)やgoo.gl(Google)などの短縮URLサービスを使ったURLが記載されていたら、要注意だ。クリックすると認証ページに誘導され、そこで連携してしまうと、今度は自身のアカウントから同じような投稿が行われてしまうかも知れない。
 ツイートに追加された全てのリンクは、Twitterの短縮URL機能(t.co)によって自動的に一定の長さに調整される。外部の短縮URLサービスを使わなくてもURLは短縮され、ツイートには元のURLの一部が表示されるので(短縮URLが表示される場合もある)、リンク先の察しもつく。標準機能なら、リンク先が危険なサイトの場合は警告も表示してくれる。あえて外部サービスを使って短縮するのは、リンク先を隠して踏ませたいのかもしれないと考えて踏み止まれば、多くの危険なリンクが排除できる。

<アプリの機能や動作を理解する>
 Twitterに連携するアプリができることのレベル(アプリに許可する権限)には、タイムラインのツイートなどの読み込みのみ、ダイレクトメッセージを除く読み書き、ダイレクトメッセージを含む読み書きの3種類しかない。有用なアプリの多くが読み書きの権限を必要とし、悪質なアプリもまた同じものを求める。権限が大雑把なので、実際に何を行うのかは、アプリ側で説明してもらわないと、アプリの挙動を判断するのは難しい。説明が信用できるかどうかという問題もあるが、ろくな説明もなく認証ページに飛ばされたら、それ以上先には進まないようにするのが安全だ。

<開発元とURLを確認する>
 Twitterのアプリケーション認証ページを開いたら、アプリの開発元とURLを必ずチェックする。モバイルページの場合は、「○○○にアカウントの利用を許可しますか?」のすぐ下に、PC用ページの場合は右上に、アイコンとアプリの名前、開発元、URLが記載されている。嘘が書かれているかもしれないが、よく分からない開発元や不明なものについては、怪しいので許可してはいけない。開発元やアプリとは無関係なTwitterやGoogle、YahooなどのURLを記載したものも多いので、騙されないよう注意したい。

■アプリ連携の確認と取り消し

 Twitterアカウントに連携しているアプリは、ブラウザでWebのアカウントにログインすると確認やアクセス権の取り消しが行える。プロフィールアイコンの[設定とプライバシー]から、PC版は[アプリ連携]に、モバイル版は[アプリケーション]に進むと、連携している全てのアプリとそのアクセス権が表示される。
 アクセス権に「読み書き」が入っているアプリは、メッセージの投稿やフォローなどの操作が行えるので、悪質なアプリを連携してしまうと、怪しい広告を投稿されたり、見ず知らずの人を勝手にフォローされたりしてしまうことがある。アクセス権に「ダイレクトメッセージ」も入っている場合には、ダイレクトメッセージを送ることもできる。アプリの横にある[許可を取り消す]をクリックすると、そのアプリの連携を解除できる。

(2017/08/25 セキュリティ通信)

【関連記事:セキュリティ通信】
・「Google Docs」をかたるフィッシング攻撃発生、Googleがすでに対処
http://security-t.blog.so-net.ne.jp/2017-05-11