「X」との連携だけじゃない？ 2025年に再考すべき「認可」の話：半径300メートルのIT

年末の“ITお掃除”で定番の「X」（旧Twitter）のアプリ連携。そのリスクは過去のものになりつつありますが、実はここに今求められる「認可」の守り方のヒントがあります。便利さの裏に潜む“見えにくいリスク”に迫ります。

[宮田健，ITmedia]

　早くも年の瀬の雰囲気が街中にあふれ始めました。このコラムでも、これまで「IT版年末のお掃除」と称して、個人で利用しているWebサービスの設定内容を見直し、リスクの残る不要なものを取り除こうという話をしてきました。その最たるものが「X」（旧「Twitter」）の「アプリ連携」でした。

　多くの方が、割と気軽に「あなたのアカウントを占います」と言った文言でアプリ連携をさせるサービスを利用し、それがアプリ連携という形で残り続けることはリスクの一つでした。アプリ連携はパスワードを外部に渡さないので一見安全に見えますが、実際はサービスの中の一部権限を連携アプリ側に渡しているため、連携設定が適用されている間は、情報の読み取りが可能です。

　権限設定次第ではダイレクトメッセージの“のぞき見”や、投稿すら許可されていたかもしれません。多くの場合、ちょっと触ってみたかった連携アプリは1度使ってそれだけであるため、定期的に「必要なもの以外はアプリ連携を削除する」という作業が必要“でした”。

　“でした”と過去形なのは、XがTwitterから名前を変更した辺りで、運営による締め付け（という名の排除）が進み、今ではアプリ連携がほぼ使われていないことから、このリスクはごく限られたものになりました。サードパーティーアプリが使えないデメリットは大きかったですが、今では公式以外のアプリ使用や、さまざまなサービスでログインができたことを知らない人も増えたかもしれません。

　そして実は、これ「教訓」として使えそうな話なのです。

「認証」の守り方は何となく分かるけど……「認可」はどうやって守るの？

　セキュリティの世界では用語が厳密に使われることが多いのですが、これまであまり違いを意識しなくても（セキュリティ専門家以外は）過ごせていたものが、だんだんとそういうわけにはいかなくなってきたとも感じています。

　混乱しそうな用語の代表例として「認証」と「認可」があります。認証といえば、私たちがサービス利用時に必ず使う「ID」や「パスワード」を思い浮かべるでしょう。今、まさにその「認証」情報がリスクにさらされています。

　「パスワードを強化しましょう」「できる限りパスワードは使い回さないように」「二要素認証は必ず使いましょう」「パスワード管理ソフトをお薦めします」。これらは全て「認証」を強化するための、個人でもできる“最強のセキュリティ対策”です。

　サイバー攻撃者はシステムに侵入し、不正ななりすましログインができるよう、「認証」を狙います。二要素認証を回避するのも「認証」情報を奪うため。最新の攻撃手法である「ClickFix」も、認証情報を奪うためのもの。フィッシングはまさに、認証を奪う手法として使われています。そのため、私たちもこの「認証」を守るため、さまざまな対策をしたり、認証強化のための教育をしたりしているわけです。

　では、もう一つの「認可」とは一体何でしょうか。認可とは利用者の持つ権限を利用者自身が許可することで、利用させるといったものです。例えば飛行機のチケットであれば、チケットや身分証明で本人かどうかをチェックするのが「認証」。チケットに書かれた座席の種別を見て、ファーストクラスに案内するといったことが「認可」と言えるかもしれません。

　先のXの話で言えば、ID／パスワードを使ってログインする部分が「認証」であり、アプリ連携の部分が「認可」です。認証部分はフィッシングをはじめ、さまざまな事件や事故を通じて“絶対に守らねばならないもの”という認識になってきました。しかしアプリ連携については、まだまだその危うさの認知が進んでいないように思えます。実際のところ、認証を破られることと認可を破られることのリスクの違いはほとんどないはずです。

　この意識の差が、恐らく次の攻撃のきっかけになるかもしれない……そう考えるのは自然です。

全てがつながる時代　「連携はリスクがある」と知ろう

　実はClickFixにやられた後の流れとしては、それによってマルウェアに感染した端末から、例えばWebブラウザの「Cookie」情報を丸ごと外部に送信します。このCookie情報こそ、パスワードは入っていないが「ログインした」という情報が含まれる「認可情報」そのものです。認証時に二要素認証を講じていたとしても、一度「認証できた」と保存された「認可情報」さえ奪ってしまえば、それらの対策をスキップし、不正にサービスを利用できてしまいます。攻撃者は利用者が認可が何かを認識する前に「認可情報」を標的にしているのです。

　これに加えて、ClickFixのずる賢い点は、マルウェアインストールだけに限らないかもしれません。もしかしたら、次に狙われるのは認証そのもの、「アプリの連携」という可能性もあります。社内で利用しているIDaaSなどで、アプリを連携しシングルサインオンをしたり、アプリをつないで便利に使えるようになりました。

　そこに悪意が入り込み、言葉巧みに操作をさせ、かつてのXのように、偽のアプリ、出どころの分からないアプリの「連携」をさせてしまえば、いくら認証を強固にしても、攻撃者のゴールに一歩近づいてしまいます。そして、利用者は自分のしたことに気が付かず、そのリスクにも気が付けないのではないでしょうか。

　その意味では、かつてのXのアプリ連携同様、「連携はリスクがある」と最大限に警戒する必要があるかもしれません。パスワードを入力せずとも、連携を許可するという操作こそが、攻撃者の次の狙いになります。社内だから大丈夫ということももはやなく、攻撃者が一度狙うと決めた企業ならば、内部の動作までもしっかりとチェックし、それに合わせたフィッシングを仕掛けるくらいはしてくるでしょう。そのため社内のシステムであっても、怪しい連携を促されたら、必ず社内のサポートに確認するよう、心掛けてください。

　最近では「デバイスコードフィッシング」という言葉も目立ちはじめています。正規サイトが発行する連携のためのデバイスコードを奪うもので、仕組みとしては二要素認証を奪う「リアルタイムフィッシング」を認可で行うようなものです。

　フィッシングをはじめとする詐欺行為は、次から次へと新手法が登場するため、対策は「知る」ことが一番です。そこに、新しい言葉「認可」を付け加え、これまでパスワードだけが守る対象と考えていたとしたらそれをアップデートし、私たちの「アイデンティティー」全体を守るための第一歩を、2025年から踏み出せたとしたら、2026年はもう少しサイバー空間が安全になるはず。2026年も共に歩んでいきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。