情報処理推進機構(IPA)は10月28日、海外SNSから送信された友達リクエストに関する注意を呼び掛けた。承認してしまうと、ユーザーの名前でGoogleに登録したメールアドレスへ招待メールが送信されてしまうといい、特にGoogle Appsを利用して独自ドメインのメールを利用する組織では影響が懸念されるとしている。
IPAにはこの種の相談が5月頃から寄せられ、10月は23日現在で39件と急増。JPCERT コーディネーションセンター(JPCERT/CC)によれば同日現在で18の組織がこの問題について情報を公開しているという。
友達リクエストのメールは、ネットサービスの連携機能を利用して海外のSNSから送信されているとみられる。SNSからのメールが求めるサービス連携を許可してしまうと、ユーザーが登録しているGoogleの連絡先へのアクセスを許可してしまう。
友達リクエストの例(IPAより)
被害発生までの流れ(JPCERT/CCより)
Google Appsと独自ドメインを利用する組織では不用意に許可してしまうことで、組織のドメインによる招待メールが社内や社外の取引先などに送信されてしまう恐れがある。送信先でも同様の方法でさらに拡散する可能性もあり、場合によっては組織の信用を損ないかねないという。
IPAは、不用意にサービス連携を許可しないことや組織内への注意喚起を呼び掛け、もし意図せず許可したサービス連携があれば削除することを推奨している。
サービス連携の管理画面(JPCERT/CCより)
0 コメント:
コメントを投稿