【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散! †最終更新日:2015年 10月29日
独立行政法人情報処理推進機構
~Google Apps(*1 )でメール機能を運用している組織は取引先に招待メールが届くことも ~ † IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。 また、JPCERT/CCによると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日現在)と前月の2倍の件数となっています(図1-2)(*3 )。 (図1-1.IPAに寄せられた相談件数)
(図1-1.IPAに寄せられた相談件数)
(図1-2.被害に関して情報公開した組織数)
(図1-2.被害に関して情報公開した組織数)
この相談の友達リクエストのメールとは、各ネットサービスの一般的な機能である“サービス連携”によって海外のSNS が送信した招待メールです。この場合、海外のSNS から求められたサービス連携を許可するとGoogle の連絡先へのアクセスを許可してしまうことになります。 組織のメール機能をGoogle Apps で利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報等が読み取られ、自組織(独自ドメイン)名義の招待メールが送信されてしまいます。招待メールが取引先に届いた場合、さらに同じようにサービス連携を許可してしまうことでのメールの拡散や、場合によっては自組織の信用を損なう可能性も考えられますので、不用意にサービス連携を許可しないよう、注意喚起します。 (※1)Google社が提供するクラウド型グループウェア。 (※2)Google Appsでメールアドレスのドメインに自組織独自のものを設定している組織。 (※3)JPCERT/CC:「注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」」 https://www.jpcert.or.jp/pr/2015/pr150005.html ■事案の概要 1. 友人・知人の情報が記載された海外SNS の招待メールが届く(図2および図3) (図2.海外SNSの招待メールの例(受信トレイ)
(図2.海外SNSの招待メールの例(受信トレイ)
※図3における「承認する」以外のリンクをクリックしても、サービス連携の許可を求められるケースがあることも確認しています。 2. 招待メールのリンクをクリック後、サービス連携の許可を求める画面(図4)が表示される (図4.サービス連携の許可を求める画面
(図4.サービス連携の許可を求める画面
3. サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる4. これにより海外SNSより招待メールが送信される ※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。 |