こどもとIT

【連載】こどもとセキュリティ

SNSで突然現れたアクセス許可メッセージ……これってなに?

スマホやタブレットは、子どもたちにとっても楽しくて魅力的。だからこそ、安心・安全に正しく使うためには保護者の関わりが欠かせません。どんなことに気をつけて、子どもたちを見守っていけばいいのか。保護者目線で気になる疑問に、セキュリティの専門家がお答えしていきます。
(イメージ提供:トレンドマイクロ株式会社)

SNSへのアクセス許可を求める「アプリ連携」

TwitterやInstagramなどのSNS上で投稿や広告を目にし、続きを見ようとクリックした際に「連携アプリを認証」、「〇〇アプリがあなたのアカウントを利用することを許可しますか」、「〇〇アプリへのアクセス許可」といった表示が出たことはありませんか。

これらは全て「アプリ連携」とよばれ、SNS内のプロフィールを見たり、メッセージを送ったりといった、本来アカウントの利用者しかできない操作を、SNSの外部から他のアプリができるよう許可を求めるメッセージです。

本来、アプリ連携はネットをより便利に利用するためのものです。しかし、SNSで不用意に「アプリ連携(アプリ連動)」をしてしまうと、自分が望まない情報がSNS上で公開されたり、連携したアプリの提供元に自分のSNSのプロフィールやDMを参照されたり、スパムメッセージを勝手に友達へ送ったりなど、トラブルに巻き込まれる可能性があります。

不正なアプリ連携を促す手口とは?

SNSに潜むサイバー犯罪者は、SNS利用者をあの手この手で不正なアプリ連携を促すWebページに引き込もうとします。

実際に、Twitter利用者にスパムDM(ダイレクトメッセージ)を送りつけ、不正なアプリ連携を促す手口を確認しています。このスパムDMは、受信者のアカウント名と「ONLY FOR YOU」の後に、Instagramに偽装したURLが記載されていました。URLにアクセスするとInstagramとは別のサイトに転送され、最終的に不正なアプリ連携を促されます。万一、アプリ連携をしてしまうと、意図しないツイートを投稿されるなど実質的にTwitterアカウントを乗っ取られてしまう危険性があります。

不正なアプリ連携を求めるログイン画面の一例

子どもを不正なアプリ連携から守るために

このようにLINEやTwitter、InstagramなどのSNSアカウントを別のアプリと連携させると、より使いやすくしたり、活用の幅を広げたりすることもできる一方で、安易に連携してしまうと「身に覚えのない投稿がされる」「勝手にダイレクトメッセージを送られる」といったトラブルが起こってしまう可能性もあります。保護者は教育と技術(テクノロジー)の両面で子どもを守っていきましょう。

教育的対策:アプリ連携の際は、慎重に対応できるよう確認ポイントを知っておく

①SNS上のURLを不⽤意に開かない
サイバー犯罪者は、SNSの投稿や広告、ダイレクトメッセージ内のURLを開かせることで、SNS利⽤者を不正アプリの連携ページに誘い込みます。たとえ、友⼈から送られてきたメッセージでも、URLはクリックせず、Webサイトの安全性をチェックするツールを活用して、安全性を確認する習慣を身につけさせましょう。また、元の不正なWebサイトのURLを隠ぺいするために、短縮URLを悪⽤しているケースがあるため、その場合も注意です。アクセス先を転送する⼿⼝など、⾒た⽬上のURLとは異なるリンク先に誘導されるケースが多々あります。

②アプリに許可する権限を十分に確認する
アプリ連携の許可を求める画面には、別のアプリやサービスに与える権限の一覧が表示されます。アプリの目的や用途には関係のない権限をいくつも求めてくる場合は不正なアプリ連携の疑いがあります。また、連携を許可する前にGoogleやYahoo!などの検索サイトでアプリ名や開発元を検索し、複数の情報源から評判をチェックするように教えましょう。子どもが一人で確認することが難しい場合は、適宜保護者がサポートし、一緒に確認しましょう。

③利用規約年齢に満たないうちはSNSの利用を制限する
TwitterやInstagram、TikTokなどのSNSは、利用規約で年齢制限が設けられています(一般に13歳以上)。利用規約年齢に満たないうちは、子どもが勝手に利用しないようにしましょう。また、子どもが規定年齢に達していても、ネット上では相手が身分や年齢、性別などを装っている場合があることを認識させ、必要に応じて公開範囲やダイレクトメッセージを受信する範囲を制限するよう教えましょう。

④アカウントを適切に管理する
不正ログインなどの被害を防ぐには、アカウント作成時に「ID、パスワードの使い回しをしない」、「なるべく複雑で長いパスワードを設定する」、「二要素認証などのセキュリティを強化できる認証方法を設定する」この3点を実践しましょう。また、不要になったアカウントは放置せず、退会手続きと情報の削除をしてからアプリをアンインストールし、アカウントや情報の悪用などを防ぐように教えましょう。

技術的対策: セキュリティソフトやアプリをインストールする

セキュリティソフトやアプリは、不正サイトへのアクセスを未然にブロックする機能を備えています。万が一、サイバー犯罪者が送ってきたURLを不正なものと気づけず、クリックしてしまった場合も、不正なアプリ連携を促すWebページにアクセスしてしまうリスクを下げられます。

なお、URLの安全性が判断できない場合は、Webサイトの安全性をチェックするツールを積極的に利用しましょう。一例として、トレンドマイクロでは「Site Safety Center」や「ウイルスバスター チェック!」があります。ただしSNSサービス上で行なうアプリ連携の場合、不正なサイトとしてブロックされないこともあります。アプリが求める権限を必ず確認してください。

また、自身のSNSアカウントから「身に覚えのない投稿が行なわれている」「勝手にダイレクトメッセージを送られている」といったケースが認められた場合、不正なアプリ連携をしてしまっているかもしれません。その場合は、LINEのヘルプページTwitterのヘルプページでアプリ連携の解除方法が示されているので、手順に従って解除しましょう。Instagramの場合は、下記を参考にしてください。

・Instagramにおけるアプリ連携の解除方法
Webブラウザ版の場合、ログイン後にプロフィールページに移動し、歯車マークをクリックします。「アプリとウェブサイト」を押すと連携中のアプリ一覧が表示されます。対象のアプリを選択して「削除」を押せば連携を解除できます。アプリ版の場合、プロフィールタブをタップして、「メニュー」から「設定」に進みます。「セキュリティ」から「アプリとウェブサイト」、「アクティブ」へ進むと、連携中のアプリ一覧が表示されます。対象のアプリを選び、「Remove」と「削除」を続けて押せば連携を解除できます。

不審なアプリ連携を解除したら、念のため、SNSアカウントの認証パスワードも変更しておきましょう。意図しない投稿を削除するとともに、二次被害を防ぐため、SNSアカウントを乗っ取られていた期間などをSNSで繋がっている人にも報告しておくことも大切です。

中村江里(トレンドマイクロ株式会社)

トレンドマイクロ株式会社コーポレートバリューマネジメント室所属。2013年にトレンドマイクロへ新卒入社。2018年よりトレンドマイクロのCSR活動の一つである、子どもと保護者へのインターネットセキュリティ教育プログラム「Internet Safety for Kids and Families」を担当。子どもとその保護者の方々にネットやスマホ利用に潜む最新の脅威やモラルの啓発にあたる。