0o0dグッ

GoogleAppsでメール機能を運用している組織は招待メールが届く

【注意喚起】SNSの友達リクエストを承認したら、連絡先情報を読み取られ、自分名義の招待メールが拡散!

最終更新日:2015年 10月29日

独立行政法人情報処理推進機構

~Google Apps(*1 )でメール機能を運用している組織は取引先に招待メールが届くことも ~

 IPAでは海外のSNSからの友達リクエストに承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されている、という相談が急増しています。特にGoogle Appsを利用してメールを独自ドメインで運用している組織(*2 )への影響が懸念されることから、注意喚起を行います。
 「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先(コンタクト)に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールがばらまかれたようだ」といった趣旨の相談が10月に入り39件(10月23日現在)寄せられ、前月の3倍を超過しています(図1-1)。

 また、JPCERT/CCによると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、18件(10月23日現在)と前月の2倍の件数となっています(図1-2)(*3 )。

(図1-1.IPAに寄せられた相談件数)

(図1-1.IPAに寄せられた相談件数)

(図1-2.被害に関して情報公開した組織数)

(図1-2.被害に関して情報公開した組織数)

 この相談の友達リクエストのメールとは、各ネットサービスの一般的な機能である“サービス連携”によって海外のSNS が送信した招待メールです。この場合、海外のSNS から求められたサービス連携を許可するとGoogle の連絡先へのアクセスを許可してしまうことになります。

 組織のメール機能をGoogle Apps で利用している場合、このサービス連携を不用意に許可すると、組織内で使用している連絡先情報等が読み取られ、自組織(独自ドメイン)名義の招待メールが送信されてしまいます。招待メールが取引先に届いた場合、さらに同じようにサービス連携を許可してしまうことでのメールの拡散や、場合によっては自組織の信用を損なう可能性も考えられますので、不用意にサービス連携を許可しないよう、注意喚起します。

(※1)Google社が提供するクラウド型グループウェア。

(※2)Google Appsでメールアドレスのドメインに自組織独自のものを設定している組織。

(※3)JPCERT/CC:「注意喚起「SNSやクラウドサービスで連携されるアカウント情報には細心の注意を」」

https://www.jpcert.or.jp/pr/2015/pr150005.html

■事案の概要

1. 友人・知人の情報が記載された海外SNS の招待メールが届く(図2および図3)

(図2.海外SNSの招待メールの例(受信トレイ)

(図2.海外SNSの招待メールの例(受信トレイ)

(図3.海外SNS の招待メールの例(メール本文)

(図3.海外SNS の招待メールの例(メール本文)
(2015/10/29 追記)

 ※図3における「承認する」以外のリンクをクリックしても、サービス連携の許可を求められるケースがあることも確認しています。

 2. 招待メールリンクをクリック後、サービス連携の許可を求める画面(図4)が表示される

(図4.サービス連携の許可を求める画面

(図4.サービス連携の許可を求める画面

 3. サービス連携を許可すると海外SNSはGoogleの連絡先情報が利用可能になる4. これにより海外SNSより招待メールが送信される
■対策
 ・事前の対策不用意にサービス連携を許可しない。また、組織の管理者は組織内に対して注意を促す。・事後の対策意図せず許可したサービス連携は削除する。

 ※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。


https://www.ipa.go.jp/security/topics/alert271028.html