2015年10月28日
一般社団法人JPCERTコーディネーションセンター
1.概要
SNSやクラウドサービスはアカウント連携機能を備えているため、他のアプリケーションや外部のサービスでアカウント情報を利用できる場合があります。最近、このクラウドサービスが提供するアカウント連携機能が使用され、連絡先情報などが漏えいする被害を確認しています。JPCERT/CCが公開情報をもとに被害に関して情報を公開した組織数は、10月23日現在、10月は18件と前月の2倍になっています(図1)。また情報セキュリティ安心相談窓口[1]に寄せられた相談件数も前月の3倍を超過しています(図2)。
SNSやクラウドサービスを利用する場合は、アカウント情報の連携には注意が必要です。
[図1 被害に関して情報を公開した組織数の推移] | [図2 情報セキュリティ安心相談窓口に寄せられた相談件数] |
アカウント連携機能を使用した情報漏えいの例を、図3に示します。
被害者Bは、アプリケーションおよび外部サービスの機能として、友達勧誘メールを受信します。メールの本文には、被害者Aのアドレス情報が記載されており、アカウントとの連携を要求されます。送信されるメールの一例として、図4に示すHTML形式のメールが確認されています。メール内の「承認する」以外のリンクをクリックしても、アカウント連携を要求される場合も確認されています。
図4で示したメール内の「承認する」リンクをクリックすると、アプリケーションとアカウントの連携を許可するリクエスト画面(図5)へ遷移します。このリクエストを許可することで、被害者Bのアドレス帳や連絡先情報は外部サービスに連携されます。
リクエストを承認した結果、外部サービスは連携したアドレス帳、連絡先情報を用いて他者に同様の友達勧誘メールを送信することが可能となります。これにより被害が拡大し、事態が発覚することもあります。
アプリケーションとアカウントの連携を有効にして、連絡先情報などが漏えいした場合には、継続して連絡先情報が使用される可能性があります。被害の拡大を防ぐため、アプリケーションとアカウントの連携を無効にすることを推奨します。
SNSやクラウドサービスの中には、アカウントと連携しているアプリケーションを管理する機能(図6)を実装している場合もあります。アカウント連携を無効にする設定は、アプリケーション、SNSやクラウドサービスにて公開されている情報を参照してください。
4.被害に遭わないための対策
このような情報漏えいを防ぐには、利用者のセキュリティへの意識向上が不可欠です。管理者は、組織内のセキュリティへの意識を高めるため、以下の点に着目しユーザへの注意喚起や、社内ルールの改善をご検討ください。
覚えのない友達紹介などのメールには注意し、送信元、メールアドレス、本文等を確認することを推奨します。また、安易にファイル内のリンクや添付ファイルを開かないことが大切です。不審に思った場合は、メール以外の方法でも確認することをお勧めします。
(2)アカウント連携のリクエスト内容の確認アプリケーションが要求するアカウント連携が適切かを確認し、使用の可否を検討してください。不審なアプリケーションと連絡先情報を共有することで、情報が漏えいする危険性が高まります。
(3)使用するアプリケーションの確認アプリケーションとアカウントの連携を行った場合に、アプリケーションによっては、他の外部サイトにアカウントを作成し、情報が保持される場合があります。これらの情報が使用される場合を考慮して、事前に十分な調査を行った上でアプリケーションを使用することをご検討ください。
IPA(独立行政法人情報処理推進機構)
注意喚起「注意喚起 SNSの友達リクエストを承認したら、連絡先情報を読み取られ、
自分名義の招待メールが拡散!~Google Apps[2]でメール機能を運用している組織は取引先に招待メールが届くことも~」
https://www.ipa.go.jp/security/topics/alert271028.html
なお、本件に関しては、以下の問い合わせ先までご連絡ください。
JPCERT/CCインシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
FAX | 03-3518-2177 |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
■ 本件に関するお問い合わせ先 JPCERT/CC 早期警戒グループ 青木/ 村上 晃 Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: ww-info@jpcert.or.jp |
■ 報道関係からのお問い合わせ先 JPCERT/CC 事業推進基盤グループ 広報 江田/松岡 Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: pr@jpcert.or.jp |
[1] 情報セキュリティ安心相談窓口:IPA(独立行政法人 情報処理推進機構)が開設している、ウイルス(マルウェア)および不正アクセスに関する技術的な相談を受け付ける窓口
[2] Google社が提供するクラウド型グループウェア