文章生成ファクトリー

読書記録など。

【注意喚起】IPAの注意喚起に誤りがあるので追加情報を書く

IPA独立行政法人情報処理推進機構)が、「【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散」という題の記事で注意喚起を行っている。

この記事への反応を見ていると、内容について誤解が生まれているようだ。

正直言って、この記事は誤解を招くどころか、やや誤った記述になっているので、より正しい情報で注意喚起を行いたい。

 

問題の内容について

当該記事のうち、事案の概要箇所について引用する(画像略)。

■事案の概要

1. 友人・知人の情報が記載された海外SNS の招待メールが届く(図2および図3)
図2.海外SNSの招待メールの例(受信トレイ)
図2.海外SNSの招待メールの例(受信トレイ)
図3.海外SNS の招待メールの例(メール本文)
図3.海外SNS の招待メールの例(メール本文)
2. 招待メールのリンクをクリック後、サービス連携の許可を求める画面(図4)が表示される
図4.サービス連携の許可を求める画面
図4.サービス連携の許可を求める画面
3. サービス連携を許可すると海外SNSGoogleの連絡先情報が利用可能になる
4. これにより海外SNSより招待メールが送信される

 

 記事タイトルにもあるように、海外SNSが原因でスパムが発生してるように読める。

そのせいか、海外SNSで連想される、「Facebook」や「Twitter」に由来した問題と推測する反応が見られた。

しかし、正確には全く違う。

記事中の上記画像は、私が遭遇したメール内容と同じだ。

念のため、遭遇したメール内容を全文記載しておく。

(メールアドレス)箇所には交流があった実際のメールアドレスが入る。

 

メールタイトル

「(メールアドレス)からフォローのリクエストが届いています。承認しますか?」

本文

「友達リクエストを申請します 

 (メールアドレス)

 承認する 辞退する」

「ここをクリックすると、(メールアドレス)やすべての友達からのメー>ル配信を停止します」

 

最後の文の「メール」表記がおかしい点も含めて全く同じであった。

(多少文面が異なるバージョンも確認している)

 

IPA記事の不正確な点

IPAの記事では省かれている部分だが、ここが重要なので記載する。

このメールの送信元は、「(メールアドレス)<info@fliporamail.com>」となっていた。

そこで、検索をしてみると色々な事例が出てくる。

以下では、芝浦工業大学の調査結果が記載されている。

news:20150304 本学学生・教員を偽ったスパムメールについて (続報)

どうやら、Fliporaという海外の会社(実態があるのかまではわからない)が関係しているようだ。

flipora.comというドメインには注意した方がよさそうだ。

実態としては、メールのリンク先に飛ぶと、Googleアカウントにログインしていなければログイン画面を、ログインしていればGoogle APIのサービス連携の許可を求める画面を表示させる。

そして、連携を許可した場合はアドレス帳をFlipora側が把握できるようになるため、スパムメールを勝手に送られてしまうという仕組みとなる。

つまり、FacebookTwitterも関係無いのである。

IPAの記事では、SNSにだけ注意しておけば大丈夫、という誤解を招く点がよろしくない。

この連携については、一度許可をしてしまったら、アドレス帳情報を全て利用されてしまう恐れがあり、後で許可を取り消しても被害が続く可能性があるため、強く注意して欲しい。

 

以上。