悪質サイトのURL自動投稿に悪用された事例も、SNS連携設定には十分注意を

　独立行政法人情報処理推進機構（IPA）は1日、月例のセキュリティ注意喚起記事の10月分を公開した。SNSと外部サービスの連携設定を安易に行ってしまうことで、悪意あるコメントやURLが自動投稿される危険性について言及している。その仕組みや、対処法についてもまとめている。

SNS連携設定による被害実例。ブラウザーの脆弱性問題などとは異なるため、本当にSNS連携をするかどうかよく考えることで、被害は抑えられる

　Twitter、Facebookなど近年人気のSNSは、多くの場合「OAuth」と呼ばれる認証方式を導入している。これらSNSのアカウントを取得しておけば、OAuth対応の外部サイトで新規にIDやパスワードを登録することなく、専用の連携設定画面で「承諾」「許可する」といったボタンを押すだけで、SNS内の何らかの操作についての権限を外部サイトに委譲できる。これにより、ユーザー本人に代わって外部サイトがコメントや写真をSNSに投稿するといったことが可能になる。

　しかし、SNSと連携する「外部サービス」は基本的に誰でも作成できるため、悪意を持って運営されているケースもあるという。IPAでは具体的な被害の実例として、Twitterを悪用した手法を紹介している。

　自分がフォローしているユーザーのツイートに何らかの短縮URLが混ざっていた場合、「知っている人の投稿だから」と特に問題視せずクリックしてしまうことが多い。ここで別サイトに誘導され、そこで「フォロワーが増える」などの誘い文句で「Twitterでログインする」ボタンのクリックを促すケースがあるという。

　このクリックの後に表示されるtwitter.comのサイトで連携サービスを許可してしまうと、多くの場合、自分のTwitterアカウントが乗っ取られるのとほぼ同義となる。そして自動投稿されるツイートの中には、悪意ある外部サイトへ誘導するURLが含まれるようになり、それを見た他人がまたサービス連携設定してしまう───という悪循環が繰り返される。

　IPAでは、悪質サービスと連携設定してしまった場合でも、後から解除できると説明。Twitter、Facebook、Yahoo! JAPANでの設定方法をスクリーンショット付きで詳細に解説している。

　また、「他者の投稿に書かれているURLを安易にクリックしない」という基本対策の必要性を改めて強調。特に短縮URLの場合は、URL復元サービスを使って実際のリンク先を確認したり、短縮URL自体をネット検索することでも、サービス信頼性に関する情報を得られる場合があるとしている。