現時点でユーザー側ができる対策としては、OAuthに限らず、よく分からないページが表示されたら、安易に手順を進めないことだろう。
今回のようなスパムの場合、知人からのDMなら、Twitter以外の手段で、その内容について相手に確認するのがいいだろう。知り合いでないユーザーからのDMだった場合はそもそも怪しいと思った方がいい。有名人のアカウントからのDMだったとしても、どうか冷静でいてほしい。
OAuthの認証だと分かった上で、リスクを承知でアクセスを認可する場合は、アクセス権の提供先となるサービスの素性を調べてからにしてほしい。MobsterWorldの場合、スパムDMのURLをクリックした先はほとんど説明書きのないページで、運営元へのリンクすら存在しなかった。素性の怪しさでいえば、これ以上ないページだった。
また、Twitterのように他人と関わりあうサービスだったり、重要な情報が含まれるアカウントの場合は、OAuthの認証には慎重になってほしい。なりすましや情報漏洩(ろうえい)時の被害が大きくなりがちだからだ。
今回、スパムDMを断りなく送ってしまったことはアカウントの乗っ取り行為ともいえるだろう。乗っ取り行為がエスカレートすれば、DMの送信だけではなく、DMの受信履歴を勝手に読み取ったり、非公開状態の発言を勝手に利用したりなど、さまざまな悪用が可能になってしまう。
さらに、OAuthの権限を機械ではなく人間が操作すれば、何でもありだ。例えば、“乗っ取り主”がアカウントの所有者を装ってつぶやいたりDMを送ったりすれば、受け取った側はなりすましに気づくことは難しい。ユーザーが勝手な行為に気づいてアクセス権を取り下げるか、Twitter側が止めない限り、乗っ取り状態は続くだろう。
OAuthでの認証は、アカウントのほとんどすべての権限を渡すことになり得るのだから、Twitter側は認証時に、ユーザーに対してもっと危険性を伝えるべきだろう。
例えばOAuthの認証画面で「本当に、このサービスを信頼した上で、アクセス権を渡してもよいか?」と問いかけるようなデザインなら、ユーザーの手が止まったかもしれない。ほかにも、認可する場合はチェックボックスのチェックを必要とさせたりと、あえてひと手間かけさせてユーザーに意識させるのも有効だと思われる。
インターネットへの接続がダイヤルアップだった時代、勝手にダイヤルQ2の有料番組へ接続するソフトをユーザーにインストールさせる手法がはびこっていた。インストールの確認画面には、読むはずもない利用規約ととも「はい/いいえ」のボタンが表示されるだけだった。今のOAuthの認証画面に似ているといえないだろうか。
今では、こういった手口に対しては、ほとんどのWebブラウザが派手な警告を出すようになっており、それと知らずにインストールしてしまうケースは減ったと思われる。
OAuthもこのようにWebブラウザで対応できればよいが、OAuthの確認画面はただのWebページなので、現時点でブラウザがOAuthを認識するのは困難だ。やるとしたら、OAuthの確認画面で、HTMLやHTTPを使ってOAuthの認証ページだということを知らせるヘッダを出力してもらい、ブラウザがそのヘッダを確認したら警告を出すようにするなどの対応が必要になる。現在、そのような仕様はないので、OAuthを提供するサービス側が確認画面で対策してくれるのを期待するしかない。
OAuthの提供側がサービスを審査する機構を設けるという手もありそうだ。審査は任意にして、審査に通ったサービスに対しては、OAuthの認証画面に「審査済み」といったマークを表示すれば、ユーザーは安心して認証できるかもしれない。
Webサービス間のマッシュアップが普及し、OAuthのような仕組みを通じてユーザーのアカウントまでもがマッシュアップ対象になった今、新たなセキュリティ意識が必要とされているのだろう。
1981年石川県生まれ。Webサービスエンジニアで、2009年8月よりフリーランスとして活動中。
個人サイトakiyan.comを運営。個人でアクセス解析サービスやマッシュアップサービスなどを公開している。個人サイトのブログは、「今までの認識を覆す、分かりやすい記事を書く」ことを目標にしている。
著書に「Fast CakePHP」、共著に「Twitterの本」。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR