SNSの友達リクエストの承認から拡散する招待メールに注意--IPAが呼びかけ

　独立行政法人情報処理推進機構（IPA）は10月28日、海外のSNSから届いた友達リクエストを承認した結果、Googleに登録してある友人のメールアドレスに対して自分名義で招待メールが送信されるという相談が急増していると発表した。特にGoogle Appsを利用してメールを独自ドメインで運用している組織への影響が懸念されるとしている。

　IPAによると、「友人からの友達リクエストと思しきメールが届いたので承認をした。その後、Googleの連絡先（コンタクト）に登録しているアドレス宛に自分の名義で同様の友達リクエストのメールが拡散されたようだ」といった趣旨の相談が10月1日から10月23日までの間に39件寄せられ、前月の3倍を超過しているという。

IPAに寄せられた相談件数

　また、JPCERTコーディネーションセンター（JPCERT/CC）によると、前述のような事案の被害に関して情報公開する組織が10月に入り急増し、10月1日から10月23日までの間に18件と、前月の2倍の件数になったという。

被害に関して情報公開した組織数

　このような招待メールは、各ネットサービスの一般的な機能である「サービス連携」によって海外のSNSが送信した招待メールであり、海外のSNSから求められたサービス連携を許可すると、Googleの連絡先へのアクセスを許可してしまうという。

海外SNS の招待メールの例（メール本文）

サービス連携の許可を求める画面

　IPAでは、組織のメール機能をGoogle Appsで利用している場合、不用意にサービス連携を許可してしまうと、組織内で使用している連絡先情報などが読み取られ、自組織（独自ドメイン）名義の招待メールが送信されてしまうと注意している。

　さらに、招待メールが取引先に届いた場合、同じようにサービス連携を許可することでメールが拡散し、場合によっては自組織の信用を損なう可能性もあるとして、不用意にサービス連携を許可しないように呼びかけている。

アカウント連携機能による情報漏えいの例

　　事前の対策として、不用意にサービス連携を許可しない。また、組織の管理者は組織内に対して注意を促す。また事後の対策として、意図せず許可したサービス連携は削除することを推奨している。