SNSが他のサービスと連携するために利用されるプロトコルである。だが、この機能が悪用されると、IDとパスワードを介さずに被害者のアカウントと連携が取られ、スパムDM(ダイレクト・メッセージ)がまき散らされたりすることになる。
ユーザーのアカウントへのアクセスを、第三者のサービスから利用できるようにするプロトコルで、本来はアプリケーションやソフトウェア間の連携が楽に安全に取れるようになりとても便利なのだが、第三者に悪用されることもある。
つまり、第三者はOAuthによる許可機能を使って、パスワードを知らなくてもいろいろな動作が可能になる。例えばTwitterの場合には、以下のような動作の許可が求められることがある。
- タイムラインツイートを見る
- フォローしている人を見る
- 新しくフォローする
- プロフィルを更新する
- ツイートする
- ダイレクトメッセージを見る
相手にどのようなアクセスを許可するかは、無料アプリケーションやソフトウェアをインストールする際の許可画面に書かれており、ユーザーが許可しない限りは被害を受けることはない。また、パスワードを盗まれたわけではないので、変更する必要はない。むしろ、権限を与えたアプリケーションやソフトウェアを直ちに削除するか、権限の設定を変更しなければならない。
たとえよく知られているアプリケーションやソフトウェアであっても、OAuthの権限設定を変えた偽物がWeb上に紛れ込んでいる恐れがあるので、何よりもインストールする際の許可事項のところはゆっくりと確認すべきである。
つまり、OAuthを悪用した攻撃は、決してパスワードまでは盗まれないが、スパムDMをまき散らすなど、極めて悪質な迷惑行為をあたかもユーザーが行っているかのように見られるという被害が起こる。