SNSの「なりすまし」にご注意、サービス連携を逆手に取る手口を確認

IPAがSNSのサービス連携機能を悪用した「なりすまし」犯罪が増えていると注意を呼び掛けている。

[ITmedia]

サービス連携を悪用した「なりすまし」のプロセス（IPAより）

　情報処理推進機構（IPA）は10月1日、月例のセキュリティ注意喚起としてSNSのサービス連携機能を悪用する「なりすまし」犯罪が増えていると呼び掛けた。「何もしていないのに勝手に投稿された」といった相談が複数寄せられているという。

　相談を受けたIPAが調査したところ、こうした被害はサイバー攻撃者がSNSのサービス連携の機能を逆手に取ることで発生していることが分かった。SNSでは例えば、mixiでのつぶやきをTwitterでもツイートしたり、GmailのアドレスからFacebookの招待状を知人などに送信したりできる。本来、こうしたサービス連携は異なるサービスに何度もログインしなくてはならない手間を解決するために行われているが、サイバー攻撃者とっては格好の手段になっている。

　Twitterを例にIPAが確認した手口の1つは、ユーザーがフォローしている相手のツイートに貼られたリンクをクリックし、リンク先サイトでは「連携サービスをユーザーの権限で動作させても良いか」と表示するもの。ユーザーが許可した時点で、Twitterのアカウントが乗っ取られ、攻撃者がユーザーになりすましてツイートできてしまう状態になる。攻撃者は同様の手口でアカウントの乗っ取りを繰り返したり、ユーザーのツイートにみせかけて詐欺サイトやマルウェア感染サイトなどへのリンクを拡散させたりすることが可能になる。

　こうした被害に巻き込まれないためにIPAは、対策として（1）不要な連携サービスを取り消す、（2）他者の投稿にあるリンクを安易にクリックしない、（3）連携サービスを許可する前に評判などを確認する――などを紹介。怪しいメッセージを受信したり、発見したりした場合はIPAの「安心相談窓口」に連絡してほしいと呼び掛けている。