意外と知らない? ネットセキュリティの基礎知識

URLをクリックしたらTwitterアカウントが乗っ取られた!? アプリ連携の許可は慎重に

 Twitter上で投稿や広告を目にし、アクセス先で内容の続きを見ようとクリックした際などに「連携アプリを認証」「●●があなたのアカウントを利用することを許可しますか」「●●アプリへのアクセス許可」といった表示を見たことはありませんか?

 これらは「アプリ連携」と呼ばれ、SNSで利用者が使うことができる機能を他のサービスが使うことの承諾を得るメッセージです。メッセージに書かれている内容に基づき、本来はアカウントを持った利用者しか行えないSNSアカウント内のプロフィール参照やメッセージ投稿といった操作を、アプリの開発元やサイトの制作者が外部から行う許可を与える操作です。このアプリ連携を求めるアプリやサイトは善良なものも数多くありますが、中には悪質なものもあります。安易にアプリ連携を許可していると、自身に意図しないところで勝手に投稿やフォローをするなど、アカウントが乗っ取られたのと変わらない状態になってしまうかもしれません。

 例えば、Twitterには、診断アプリ・占いアプリや、美談・感動系のエピソードを紹介するサイトの投稿があふれています。しかし、トレンドマイクロが確認したこれらの投稿から誘導されるアプリやサイトには不正なものが含まれていました。これらのアプリやサイトは人目を引くタイトルやアイコンを使って利用者を誘導し、最終的に診断アプリを利用するためには必要がないと考えられる「アカウントでツイートを送信する」「他のアカウントのフォロー、フォローの解除」などの権限までアプリ連携させようとしていました。

アプリ連携を求める不正な診断アプリ
不正な診断アプリで連携を求められる権限情報

 ほかにも、Twitter利用者にスパムDM(ダイレクトメッセージ)を送り付け、アプリ連携を促す手口を2019年に確認しています。このスパムDMは、「ONLY FOR YOU」のあとに、受信者のアカウント名とURLリンクが記載されていました。URLリンクは一見するとYouTubeへのリンクのように見えますが、リダイレクト(転送)設定がされており、最終的に不正なサイトに誘導され、Twitterとのアプリ連携を促されます。

誘導先の不正サイトの一例

 サイトを閲覧したり、アプリを利用するときに「●●アプリが以下の許可を求めています」などのメッセージでアプリに許可する権限の一覧が表示さるときには、必ず何の権限を連携するのか確認してください。そして、連携する内容として表示されている権限や情報を開発元に渡しても良いかどうか慎重に判断しましょう。万一、リンク先でアプリ連携を承認してしまうと、そのアプリの開発元に、友達限定で公開している投稿内容を抜き取られたり、あなたのアカウントでDMを送ったり、不正なリンクをシェアされたりする恐れがあります。

 もし自身のアカウントで勝手に投稿をされていたり、見覚えのないアカウントをフォローしていた場合には、まずはアカウントの設定画面などから、すでに連携している不審なアプリがないか確認してください。もし不要なアプリ連携をしていた場合は、連携を解除してパスワードを変更してください。操作方法が不明な場合はSNSを提供する会社のサポートページを確認しましょう。

連載「意外と知らない? ネットセキュリティの基礎知識」の記事

岡本 勝之(トレンドマイクロ株式会社)

セキュリティエバンジェリスト。トレンドマイクロ株式会社ビジネスマーケティング本部コアテク・スレットマーケティング部所属。製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年、日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして、特に不正プログラムなどのネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。トレンドマイクロの情報セキュリティ啓発サイトはこちら「is702(アイエス・ナナマルニ)インターネット セキュリティ ナレッジ」