IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。
「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。
また、JPCERT/CCによると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日現在)と前月の2倍の件数となっています(図1-2)(*3 )。
この相談の友達リクエストのメールとは、各ネットサービスの一般的な機能である“サービス連携”によって海外のSNS が送信した招待メールです。この場合、海外のSNS から求められたサービス連携を許可するとGoogle の連絡先へのアクセスを許可してしまうことになります。
組織のメール機能をGoogle Apps で利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報等が読み取られ、自組織(独自ドメイン)名義の招待メールが送信されてしまいます。招待メールが取引先に届いた場合、さらに同じようにサービス連携を許可してしまうことでのメールの拡散や、場合によっては自組織の信用を損なう可能性も考えられますので、不用意にサービス連携を許可しないよう、注意喚起します。
(※1)Google社が提供するクラウド型グループウェア。
(※2)Google Appsでメールアドレスのドメインに自組織独自のものを設定している組織。
(※3)JPCERT/CC:「注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」」
https://www.jpcert.or.jp/pr/2015/pr150005.html
■事案の概要
1. 友人・知人の情報が記載された海外SNS の招待メールが届く(図2および図3)
※図3における「承認する」以外のリンクをクリックしても、サービス連携の許可を求められるケースがあることも確認しています。
2. 招待メールのリンクをクリック後、サービス連携の許可を求める画面(図4)が表示される
3. サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる4. これにより海外SNSより招待メールが送信される
■対策
・事前の対策不用意にサービス連携を許可しない。また、組織の管理者は組織内に対して注意を促す。・事後の対策意図せず許可したサービス連携は削除する。
※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。