SNSや画像・動画共有サービスなどのユーザーで「アカウントが乗っ取られた」という話をよく耳にする。おわびのメッセージとともに「パスワードを変えたからもう大丈夫」と書いていあるが、これで本当に解決になっているのだろうか。
一般的に「SNSアカウントの乗っ取り」として知られている、SNSユーザーのアカウントを踏み台にしてスパムDMを大量にまき散らすという迷惑行為は、2009年ごろから発生し、今でも形を変えて続いている。
これは、SNSで自分のアカウントへのアクセスを、第三者のサービスから利用できるようにするOAuth(オーオース)というプロトコルを悪用したもので、被害者が知らない間にとある連携サービスを許諾したことによって、IDとパスワードを介さずに被害者のアカウントからフォロワーへとスパム広告やメッセージをまき散らすことを可能にしているのである。
「DM」(ダイレクト・メッセージ)は、直接2人のユーザー(アカウント)間でのみのやりとりを行うもので、名称は異なるものの、どのSNSや共有サービスにもある普通の機能である。つながっている人たち全員に公開されるものとは異なり、送った側と受け取った側だけが見ることができ、かつ、相手が自分をフォローしていないと送ることができないという「制約」があるが、これが逆に悪用されている。
スパムDMは、見知らぬアカウントではなくフォローしているアカウントから送られてくる。送られてきたこともその内容も疑いにくいため、書かれたURLがあれば思わずクリックしてしまう人も多くなり、さらにこのDMが拡散することとなった。
しかし、一般的に「乗っ取られた」と考える人たちは、パスワードを変更することによって、自分のアカウントを取り戻したと安心しているかもしれない。だが、この攻撃はパスワードを盗み出さなくても可能なのである。
前述したように、OAuthの他のアプリケーションに権限を渡す仕組みを使って、DMをまき散らすことを可能にしているのである。つまり、本当の意味で「乗っ取って」いるわけではないので、パスワードを変えただけでは問題が解決しないのである。
予防
予防としては、まず、ソフトウェアやアプリケーションを導入する際には、必ず許可画面をよく読むべきである。また、信頼性の低いソフトウェアやアプリケーションは導入しない方がよいし、連携サービスに「許可」を与えるべきではないだろう。
とりわけアプリケーションの場合、偽物が紛れ込んでいる場合がある。あまり慌てずに最新バージョンがどれであるのか、公開日やダウンロード数などを確認することを勧めたい。
また、SNS関連サービスは、登録した以上、放置することなく、自分の発言に心当たりのないものがないかどうか定期的にチェックした方がよい。
対策
SNSアカウント「乗っ取り」攻撃は、第三者から見れば「乗っ取り」と同様の影響を持つとはいえ、本当の意味での「乗っ取り」ではないため、パスワードを変えるでのはなく、別の対応が必要である。 すでに「乗っ取られた」という疑いがある場合は、最近「認証」したアプリケーションの「許可事項」を疑う必要がある。また、SNS系のアプリケーション連携の「許可」を一度解除した方がよいだろう。その上で、あらためてパスワードの変更を行うのが、最も安全である。 攻撃側がスパイウェアをすでに仕掛けていた場合、先にパスワードを変更すると、本当にパスワードが盗まれるので、細心の注意が必要だ。
