IIJでは広報誌「IIJ.news」を隔月で発行しています。本blogエントリは、IIJ.news連載コラム「インターネット・トリビア」を転載したものです。IIJ.newsはご希望者へ郵送でお送りしています。また、IIJ WebではPDF版をご覧頂けます

IIJ.news vol.127 もくじ

  • ぷろろーぐ「入社式」
  • Topics 備えあれば憂いなし~新しいセキュリティ対策に向けて
    • IIJ におけるセキュリティ対策への取り組み ~情報セキュリティ管理から危機管理へ
    • 対談 これからのセキュリティ対策
    • 企業を守る手法とは? ~CSIRTを立ち上げよう
    • ISPから始まったセキュリティサービス
  • 連載
    • IIJ不正送金対策ソリューション
    • IIJセキュアMXサービス
  • 連載
    • 人と空気とインターネット「人間と人工知能」
    • インターネット・トリビア「SNSの迷惑メッセージは友達からやってくる」 ※この記事で掲載
    • グローバル・トレンド「IT化を模索するラオス」

インターネット・トリビア 「SNSの迷惑メッセージは友達からやってくる」

電子メールアドレスを持つと、何かしらの「迷惑メール」がやってくるというのが、いつの間にか当たり前のことになってしまいました。スマホのメールアドレスでも、ISP が提供するメールアドレスでも、無料メールアドレスでも、気がつくと迷惑メールがやってきて、メールボックスがあふれてしまいます。迷惑メールフィルタを使えば、ほとんどの迷惑メールは見ずに済みますが、あまり気分のいいものではありません。

同じような行為が、Twitter や Facebook などの SNS でも発生しています。SNS の多くは無料で利用できることを悪用し、アカウントを大量に登録して、無差別にメッセージを送りつける業者が現れました。SNS サービスではこのような利用は規約で禁じられているため、サービス提供者によりアカウントが順次停止されていますが、イタチごっこのように次から次へと新規のアカウントを取得して、迷惑メッセージを送信するのです。

こうした状況に対し SNS サービスによっては、「あらかじめ友達登録をしている間柄でないとメッセージを送信できない」「アカウント登録後、一定期間経たないとメッセージ表示の優先順位が低くなる」といった仕組みを取り入れて、できるだけ迷惑メッセージが出回らないようにしたり、迷惑メッセージが届いてしまった場合に備え、「よく知らない人からのメッセージは無視してほしい」と呼びかけているところもあります。

しかし最近、これらの対策をくぐり抜ける手法が広がっています。迷惑メッセージが、自分といつもやり取りしている友達のアカウントから送られてくるのです。それまでのやり取りを無視して、突然「あなたに○○をおすすめします」や「××のホームページを見てください」といったメッセージが送られてきて、いかにも不審ではあるのですが、自分のよく知っている人のアカウントなので、信用してしまうようです。このような迷惑メッセージは、なぜ送信されるのでしょうか? その原因の一つが、SNS に備わっているアプリケーション連携機能(API)です。

最近の SNS は、SNS 自身が提供する公式アプリや WEB 画面以外に、第三者が独自のアプリや WEB 画面を作るための仕組みを提供しており、これを API と呼びます。API があることで、公式にはない便利な機能を持ったアプリや、キャンペーン企画と連動した WEB サイトを第三者が作ることができます。

ところが、この API が迷惑メッセージの送信に悪用されることがあります。API を利用すれば SNS 利用者の名前でメッセージを送信できるため、悪意を持ったアプリが SNS 利用者になりすまして、迷惑メッセージを送信するのです。

アプリが API を利用する前には、SNS の利用者に「このアプリに操作を許可していいか」と確認が入ります。その段階で不審なアプリを拒否できればいいのですが、なかには「話題の動画を見るために API を許可して」などと、目的を隠して API 利用の許可を迫るものも存在します。

こうした不正なアプリに API の利用をいったん許可してしまうと、送信済みの迷惑メッセージだけを削除しても継続的にメッセージが送信され、SNS 上で友達登録をしている相手に迷惑をかけ続けます。メッセージの送信を止めるには、SNS の管理画面を使って、不正なアプリの API 利用許可を取り消す必要があります。

肝心なのは、不審なアプリに API の使用許可を出さないことですが、どのようなアプリが不審なものかを一目で見分けるのはむずかしいのも事実です。被害を予防するためにも、定期的にアプリの一覧を確認し、必要最低限のアプリを除いて許可を取り消すように心がけてください。また API 以外にも、他のサービスと同じパスワードを使い回さないといった基本的な対策も怠らないようにお気をつけください。


Comments are closed.