SNSの診断アプリに要注意、アカウントが乗っ取られる危険も

FacebookTwitterを見ていると、「あなたが女友だちに嫌われる理由診断」「IQ130以上にしか見えない! 脳視力判定」など、つい興味を引かれてしまうような文言に出会うことがあります。

でも、これらに付いてくるリンクを不用意にクリックすると、第三者にあなたのアカウントからポストされたり、情報を抜き取られたり、といった不快な目にあってしまうかもしれません。また、それを見た人たちから「この人はセキュリティ意識が薄い」と思われることで、あなたの評価を下げてしまうことにもつながりかねません。最近SNSでどんな被害が起きていて、どう対応すればよいのかご説明します。

乗っ取りを承認していたのは自分だった?

最近特によく出回っているのは、Twitterの「アプリ連携」という機能を使った乗っ取りです。「乗っ取り」といってもTwitterIDやパスワードが誰かに盗まれるわけではありませんが、それによって「乗っ取り」を仕掛けた側は、ユーザーの意図しないツイートを勝手に繰り返すことができるようになります。

IDやパスワードが盗まれていないにもかかわらず、なぜこのような乗っ取りが起きてしまうのでしょうか? 実はこの被害に遭う人は、乗っ取りを自ら承認してしまっていることが多いのです。上のツイートのケースでは、これがポストされる前に、被害者自身が同じような内容のツイートに書かれているURLをクリックしてしまっているはずです。ツイート内容はTwitterユーザーにとって気になる「ブロックされすぎww」「ミュートされすぎww」といったもののほか、性格やIQ診断、性的なものなどもあり、転載されているURLに誘導する仕組みになっています。

そのURLをクリックすると、「○○にアカウントの利用を許可しますか?」(○○は乗っ取り犯が設定するアプリの名前)という画面が立ち上がります。画面の中には、Twitterユーザーがアプリに対して許可をする操作がリストされており、その中には「ツイートする」もしっかり明記されています。この画面で「連携アプリを認証」ボタンを押してしまうと、乗っ取りアプリへのツイートを自ら許可してしまうことになります。

しかもこの認証の後は、悪意のない無関係のページを表示することで、アカウントが乗っ取られたことをユーザーが気づかないようにしています。また乗っ取りツイートもそんなに頻繁ではないため、乗っ取られたことに気づいたユーザーも、そのまま放置してしまうケースが散見されます。それによって、トラップをふくむツイートがネット上にそのまま保存されてしまい、結果的にスパムを拡散することにつながってしまいます。

Facebookのアプリ連携で、自分や友達のプライバシー漏洩も

Twitterだけでなく、Facebookでも同じようなことが起きています。友人・知人が性格診断や能力判定のようなものの結果をポストしているのを見たことがある人は多いことでしょう。

そんな結果ポストには、多くの場合「あなたもチェック」のような文言とともにリンク先のURLが記載されています。そのURLをクリックすると、Twitterの時と同じようにそのアプリとFacebookを連携させてよいかどうか確認され、サラッとアプリによるFacebookへの投稿も許可させられてしまうのです。

Facebookでのアプリ連携には、他にもリスクがあります。アプリ連携を許可することで、アプリの運営者に対し、自分の名前やメールアドレス、友達リスト、居住地などさまざまな情報を渡してしまう場合があるのです。これらの情報は本来、アプリの運営者がサービスをより使いやすくするために活用されるはずです。ところが、診断アプリなどの運営者が悪意のある業者だった場合、友達リスト全員にスパムメッセージが送信されるなど、自分だけでなく友達にまで迷惑をかけてしまう可能性があります。

もし被害に遭ってしまったら?

幸い、万一こうした悪意のあるアプリと連携してしまったとしても、それを解除することは可能です。Twitterの場合、パソコンのWebブラウザでTwitterにアクセスし、画面右上の自分のプロフィール画像を押して「設定とプライバシー」を選択すると、さらにメニューのリストから「アプリ連携」を選択します。すると自分のTwitterアカウントで連携しているアプリ一覧が表示されるので、その中から悪意のあるアプリを探して「許可を取り消す」ボタンを押します。これで、自分の意図しないツイートをばらまかれたりすることはなくなります。

Facebookの場合、パソコンのWebブラウザ上だと画面右上の「」をクリックして「設定」を選択、メニューの中の「アプリ」を選択すると「Facebookでログイン」というセクションの中に連携しているアプリ一覧が表示されます。

各アプリの上にマウスをもっていくと「×」マークが表示されるので、スパムアプリの「×」をクリックしてリストから削除します。スマートフォンの場合も同様に「設定>アプリ>Facebookでログイン」という手順で連携アプリ一覧が見られるので、そこから削除できます。

事後だけでなく、被害に遭う前の予防策も重要です。ここでご紹介したような問題は、ツイートやFacebookのポストにふくまれるリンクをクリックすること、そこから誘導される画面でアプリ連携を許可すること起こります。なので、あやしげに見えるリンクは絶対に開かない、アプリ連携も安易に承認しない、といったことが有効な対策となります。

一見楽しげな診断サービスや興味深いWebサイトに見えるものでも、その裏の目的は他人のSNSアカウントを不正に使った情報拡散や詐欺だったりもします。どんな危険があるのかを把握して、自衛していきましょう。

Writer: MIHO FUKUDA