is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
SNSのアプリ連携に思わぬ落とし穴

SNSのアカウント乗っ取り対策ともしものときの対処法

2020/02/27
SNSのアプリ連携に思わぬ落とし穴 SNSのアカウント乗っ取り対策ともしものときの対処法

みなさんはSNSの「アプリ連携」の仕組みをご存知ですか。SNS上で不用意にアプリ連携を行っていると、悪意を持ったアプリ開発者にSNSアカウントを乗っ取られてしまう可能性があります。アプリ連携(アプリ連動)によるSNSのアカウント乗っ取り対策ともしものときの対処法を紹介します。

SNSのアプリ連携とは?

LINEやTwitter、Facebook、InstagramなどのSNSはいまや最も身近なネット上のコミュニケーション手段です。SNS利用者の中には、自身のSNSアカウントを別のアプリと連携させ、より使いやすくしたり、活用の幅を広げたりしている人もいます。

また、SNSには便利な連携機能があります。たとえば、Twitter上でFacebookを連携させると、Twitterに投稿した内容をFacebookに自動投稿できます。Twitterのタイムラインを自分好みにカスタマイズしたり、ツイートを予約投稿したり、フォロワーが投稿した画像や動画を一覧で確認したりできる連携アプリもあります。

ただ、SNSで不用意に「アプリ連携(アプリ連動)」を行っていると思わぬトラブルを招いてしまうかもしれません。アプリ連携は、SNSのプロフィール情報の確認や変更、フォローリストの確認や追加、投稿などといった本来アカウントの所有者しか行えない操作の権限を別のアプリやサービスに与える仕組みです。もし、自身のSNSアカウントと不正アプリを連携させてしまった場合、どうなってしまうでしょうか。権限の内容にもとづき、アプリの開発者にSNSのプロフィール情報や友人リストを参照されたり、不正なURLリンクを含むメッセージをばらまかれたりしてしまう可能性があるのです。

不正アプリとの連携を促す手口とは?

SNSのアプリ連携は、Twitterを例にあげると「○○(アプリ名)にアカウントへのアクセスを許可しますか?」などとSNS利用者の同意を求めるWebページから行います。そこには「ツイートを確認する」「他のアカウントをフォロー、フォロー解除する」「このアカウントでツイートを送信および削除する」など、連携対象のアプリが要求する権限の一覧も表示されます。SNS利用者が「連携アプリを認証」と書かれたボタンを押し、権限の付与に同意して初めてアプリ連携が行われるのです。

図:アプリ連携承認ページの例

SNSに潜むサイバー犯罪者は、SNS利用者をあの手この手で不正アプリとの連携を促すWebページに引き込もうとします。SNS上の投稿や広告だけでなく、すでにアプリ連携してしまった利用者のアカウントからばらまかられるDM(ダイレクトメッセージ)も主な誘導経路です。

みなさんはSNS利用時に美談仕立てのエピソードや、診断・鑑定アプリをURLリンク付きで紹介する投稿を見かけたことはないでしょうか。それらの中には不正アプリとの連携を促すWebページに誘い込むことを目的としているものがあります。時事や芸能などの話題と「続きはこちら」などと書かれた投稿やダイレクトメッセージ経由でたどり着いたWebページでうっかり不正アプリと連携してしまい、自分のアカウントから不正なメッセージを拡散させられる被害も発生しています。

Twitterでは「ONLY FOR YOU」の文言と受信者のアカウント名、動画サービスの短縮URLを記載したダイレクトメッセージを経由して、受信者を不正アプリとの連携を求めるWebページへ誘導する手口が確認されました。受信者のアカウント名を記載し、リンク先があたかもYouTubeであるように装うのは、受信者の興味を引くことが狙いです。メッセージの発信元が信用できるフォロワーだった場合、受信者は安易にURLリンクを開いてしまうかもしれません。もし、リンク先のWebページで連携を許可してしまうと、Twitterアカウントのプロフィール情報の確認や変更、ツイートの投稿や削除、ダイレクトメッセージの送信などの権限をアプリの開発者に与えてしまい、実質的にアカウントを乗っ取られてしまいます。

図:不正なアプリ連携を求めるログイン画面の例

不正アプリとの連携を防ぐ2つの対策

アプリ連携によるSNSアカウントの乗っ取りを防ぐためにはどうすればよいでしょうか。そのために実践すべき2つの対策を紹介します。

1.SNS上の投稿や広告、ダイレクトメッセージのURLリンクを不用意に開かない

サイバー犯罪者は、SNSの投稿や広告、ダイレクトメッセージ内のURLリンクを開かせることでSNS利用者を不正アプリとの連携を促すページに誘い込みます。たとえ、友人からのメッセージでも不自然な日本語が含まれていたり、口調や言い回しに普段と異なる点が認められたりした場合は警戒してください。サイバー犯罪者が友人のSNSアカウントを乗っ取った上で送りつけてきたものかもしれません。また、SNSを含むネット上の短縮URLには十分に注意してください。元の不正なWebサイトのURLを隠ぺいすることを目的に、短縮URLが悪用されるケースがあるためです。

2.アプリに許可する権限を十分に確認する

アプリ連携の許可を求めるWebページでは、別のアプリやサービスに与える権限の一覧が表示されます。アプリ本来の機能を実現するために不要と考えられる権限をいくつも求めている場合は不正アプリの疑いがあります。少しでも怪しいと感じたらWebページ上の「キャンセル」ボタンを押して連携を拒否してください。また、連携を許可する前に著名な検索サイトでアプリ名や開発元を検索し、複数の情報源から評判をチェックしましょう。不正アプリを識別できることもあります。また、スマホにセキュリティアプリを入れておくことで、不正アプリのインストールを促すWebページにアクセスしてしまうリスクを下げられます。※必要以上の権限を求めるアプリが必ずしも不正アプリとは限りません。

不審なアプリと連携してしまったかもと感じたときの対処法

自身のSNSアカウントから「身に覚えのない投稿が行われている」「勝手にダイレクトメッセージを送られている」といったケースが認められた場合、不正アプリと連携してしまっているかもしれません。以下を参考に、不審なアプリとの連携を解除しましょう。
万一、アカウントの認証情報が書き換えられてログインできなくなってしまったら、速やかにご利用のSNS提供事業者に届け出ましょう。

  • Instagram

    Webブラウザ版の場合、ログイン後にプロフィールページに移動し、歯車マークをクリックします。「アプリとウェブサイト」を押すと連携中のアプリ一覧が表示されます。対象のアプリを選択して「削除」を押せば連携を解除できます。

    アプリ版の場合、プロフィールタブをタップして、「メニュー」から「設定」に進みます。「セキュリティ」から「アプリとウェブサイト」、「アクティブ」へ進むと、連携中のアプリ一覧が表示されます。対象のアプリを選び、「Remove」と「削除」を続けて押せば連携を解除できます。

不審なアプリとの連携を解除したら、念のため、SNSアカウントの認証パスワードも変更しておきましょう。意図しない投稿を削除するとともに、二次被害を防ぐため、SNSアカウントを乗っ取られた期間などを関係者に報告しておくことも大切です。

※この記事は制作時の情報をもとに作成しています。

  • 働く大人なら最低限知っておきたいネットセキュリティの基本
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
  • 新型コロナウイルスに便乗したネット詐欺などにご注意ください
働く大人なら最低限知っておきたいネットセキュリティの基本
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ
新型コロナウイルスに便乗したネット詐欺などにご注意ください