【注意喚起】IPAの注意喚起に誤りがあるので追加情報を書く
IPA(独立行政法人情報処理推進機構)が、「【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散」という題の記事で注意喚起を行っている。
この記事への反応を見ていると、内容について誤解が生まれているようだ。
正直言って、この記事は誤解を招くどころか、やや誤った記述になっているので、より正しい情報で注意喚起を行いたい。
問題の内容について
当該記事のうち、事案の概要箇所について引用する(画像略)。
■事案の概要
1. 友人・知人の情報が記載された海外SNS の招待メールが届く(図2および図3)
図2.海外SNSの招待メールの例(受信トレイ)
図2.海外SNSの招待メールの例(受信トレイ)
図3.海外SNS の招待メールの例(メール本文)
図3.海外SNS の招待メールの例(メール本文)
2. 招待メールのリンクをクリック後、サービス連携の許可を求める画面(図4)が表示される
図4.サービス連携の許可を求める画面
図4.サービス連携の許可を求める画面
3. サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる
4. これにより海外SNSより招待メールが送信される
記事タイトルにもあるように、海外SNSが原因でスパムが発生してるように読める。
そのせいか、海外SNSで連想される、「Facebook」や「Twitter」に由来した問題と推測する反応が見られた。
しかし、正確には全く違う。
記事中の上記画像は、私が遭遇したメール内容と同じだ。
念のため、遭遇したメール内容を全文記載しておく。
(メールアドレス)箇所には交流があった実際のメールアドレスが入る。
メールタイトル
「(メールアドレス)からフォローのリクエストが届いています。承認しますか?」
本文
「友達リクエストを申請します
(メールアドレス)
承認する 辞退する」
「ここをクリックすると、(メールアドレス)やすべての友達からのメー>ル配信を停止します」
最後の文の「メール」表記がおかしい点も含めて全く同じであった。
(多少文面が異なるバージョンも確認している)
IPA記事の不正確な点
IPAの記事では省かれている部分だが、ここが重要なので記載する。
このメールの送信元は、「(メールアドレス)<info@fliporamail.com>」となっていた。
そこで、検索をしてみると色々な事例が出てくる。
以下では、芝浦工業大学の調査結果が記載されている。
news:20150304 本学学生・教員を偽ったスパムメールについて (続報)
どうやら、Fliporaという海外の会社(実態があるのかまではわからない)が関係しているようだ。
flipora.comというドメインには注意した方がよさそうだ。
実態としては、メールのリンク先に飛ぶと、Googleアカウントにログインしていなければログイン画面を、ログインしていればGoogle APIのサービス連携の許可を求める画面を表示させる。
そして、連携を許可した場合はアドレス帳をFlipora側が把握できるようになるため、スパムメールを勝手に送られてしまうという仕組みとなる。
つまり、FacebookもTwitterも関係無いのである。
IPAの記事では、SNSにだけ注意しておけば大丈夫、という誤解を招く点がよろしくない。
この連携については、一度許可をしてしまったら、アドレス帳情報を全て利用されてしまう恐れがあり、後で許可を取り消しても被害が続く可能性があるため、強く注意して欲しい。
以上。