ネットセキュリティ今どきのキホン

第2回

SNSで勝手に迷惑メッセージが拡散?! SNS悪用を防ぐために知っておきたいこと

 今やタブレット端末/スマホはもちろんのこと、自動車や洗濯機、メガネに時計と身の回りのあらゆるモノがネットに繋がるIoT(Internet of Things)時代となりました。こうした環境の変化を感じながらも、ネットを利用する際のセキュリティ意識は特に変わらないという方は多いのではないでしょうか? 便利で楽しい仕組みが開発されると、新たな仕組みを悪用するサイバー攻撃が出てくるのは、残念ながらネットの歴史における事実です。とはいえ、必要以上に心配する必要はありません。この連載では、皆さんがネットを使う上で知っておきたい今どきのネットの危険と、それらを避けるためのキホンを紹介します。

迷惑メールのSNS版「迷惑メッセージ」に注意

 私たちにとって身近なSNS。SNSでは友人の近況や今話題の情報を手軽に確認でき、さらに相手と共通の話題を通じて交流を楽しみ、その輪を広げていくことができます。ふと時間が空くと、とりあえずスマホでFacebookやTwitterを開くのが習慣となっている方も多いのではないでしょうか。

 今回紹介するのは、「迷惑(スパム)メール」のSNS版と言える「迷惑(スパム)メッセージ」。これは、SNSの投稿を通じてフィッシング詐欺サイトやウイルスを配布するような不正サイトへ誘導を図る攻撃手法です。

 SNSの迷惑メッセージが迷惑メールよりもやっかいなのは、メッセージが「SNS上の知人・友人」から届いたように見えること。明らかに怪しげなメールにはひっかからない自信がある人も、友人からSNSでメッセージが届けば、あまり注意をせずにクリックをしてしまうのではないでしょうか。

 例えば、Facebookのタグ付けを悪用した迷惑メッセージの事例が確認されています。この事例では、攻撃者がFacebook上の、あるユーザのアカウントを不正に乗っ取り、そのユーザーの「友人」を勝手にタグ付け(タグ付け機能は、投稿する際にSNS上の友人に“タグ”を設定することで、投稿に関連付ける機能のことです。タグ付けされた友人のSNSページに、その投稿が自動的に掲載されます)して、偽の通販サイトへ誘導するメッセージを投稿していました。このタグ付けにより、乗っ取られたユーザーの投稿画面だけでなく、その友人にもこの投稿が拡散されてしまうのです。アカウントを乗っ取られた方はもちろん被害者ですが、回りの友人に対して、意図せず加害者になってしまう点もSNSならではの「迷惑メッセージ」の特徴と言えます。

図1:Facebookのタグ付け機能を悪用した「迷惑メッセージ」の例

「迷惑アプリ」を悪用した手口に注意

 SNSで迷惑メッセージを拡散する手法は、前回解説したアカウントを盗み出し、不正使用する手口だけではありません。「アプリ連携」と呼ばれる仕組みを悪用して、本人の知らない間にメッセージを勝手に投稿する「迷惑(スパム)アプリ」にも注意が必要です。

 TwitterやFacebookなどのSNSは、アプリ連携と呼ばれる機能を提供しています。これはSNSの機能を他のアプリが利用できる便利な仕組みです。アプリ連携を行うと、ゲームアプリが獲得した得点などをSNS上に自動的に投稿したり、あるSNSで投稿した内容を自動的に別のSNSに投稿する(例えば、Twitterに投稿した内容を自動的にFacebookにも投稿するなど)といったことができます。

 サイバー攻撃者はこのアプリ連携を悪用して、迷惑アプリを被害者のSNSに連携させ、被害者のSNS上で勝手に迷惑メッセージを投稿するのです。

 そもそもアプリ連携をするには、ユーザーが連携を許可する必要があります。ここでも攻撃者は、被害者の心理的な隙を突いて、思わずアプリ連携を許可してしまうだましの手口を使います。

 例えば、攻撃者は「世界的な出来事」「著名人に関連する噂話」「美談・感動系のエピソード」「○○診断・○○鑑定」といったユーザーの好奇心を誘う言葉で被害者をおびき寄せ、「続きが気になる方はこちら」「動画を再生するにはこちら」といったリンクをクリックさせ、その瞬間「●●(迷惑アプリ)があなたのアカウントを利用することを許可しますか?」とたずねるのです。

 続きが見たいユーザーは、アプリが求める権限をよく確認せずに、思わずアプリ連携を許可してしまいます。結果、被害者の意図せぬところで、勝手にメッセージを投稿されたり、見知らぬアカウントを勝手に友人にされたりといった被害に遭うことになります。

SNSの「迷惑メッセージ」被害を防ぐためには

 「迷惑メッセージ」の被害を防ぐための“キホン”のセキュリティ対策は次の3つ。

1)アプリ連携のメッセージが表示されたら、しっかり確認する
好奇心にかられ、安易にアプリ連携を許可しないようにしましょう。中でも「投稿を許可する」権限が求められる時は、より慎重な判断が必要です。

2)利用するSNSで、定期的に見覚えの無いアプリ連携が無いかを確認する
注意しているつもりでも、すでにアプリ連携をしてしまっている可能性があります。利用中のSNSでアプリ連携の設定画面を確認しましょう。

3)パスワードを使い回さない、推測されやすいパスワードは利用しない
「アカウントリスト攻撃」などにより、別の場所で盗まれたアカウントを悪用され、SNSの乗っ取りに遭うことの無いよう注意しましょう。自分が間接的に加害者になってしまう可能性もあります。


 いつもより少しだけセキュリティの話題に敏感になることで、ネット上で危険や不快な思いをすることを避けられます。また、あなたの友人や家族を守ることにも繋がります。セキュリティの“キホン”を確認することで、安心してより楽しいネットライフを送りましょう。

森本 純

もりもと じゅん:トレンドマイクロ株式会社 マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト。インターネットを安全に楽しむためのセキュリティ情報サイト「is702」の企画・運営をはじめ、セキュリティエンジニアとしての実務経験をもとに大学生から企業ユーザーまで広くさまざまな立場の人への脅威啓発活動を担当。