悪意のある人物があなたの知り合いにブロードキャストするためのアクセス権限を取得する最も効果的な方法は何でしょうか? マルウェアを使ってコンピュータに侵入し、連絡先リストを漁り、メールを送信するのでしょうか? うーん、それは2009年っぽいですね!
Macユーザーは、たとえマルウェアが少数ながら蔓延したとしても、メールアカウントを乗っ取ったりアドレス帳にアクセスしたりしないため、連絡先スパムについてしばしば自惚れていました。iOSユーザーは、同じ問題についてさらに自惚れています。Windows側では、MicrosoftがメールとOSのスクリプトエンジンを統合するという早い段階の決定により、スパマーが簡単に乗っ取り、最新のダイエットサプリメントについて友達全員に伝えることができました。悪意のある添付ファイル付きのメッセージを開くと、大量のメッセージが一気に押し寄せてくるように見えます。
もちろん、マルウェアは依然として存在し、当然ながらその一部は連絡先リストを利用しようとします(もっとも、コンピューターをゾンビ化させ、犯罪者が提供したアドレスからスパムを送信する可能性の方が高いですが)。しかし、今注目すべきは、ソーシャルネットワーキングのログインとアプリの権限の交差点です。
レイバンを割引価格でお求めですか?
きっとあなたも見たことがあるでしょう。Twitterを使っていると、友達やスパムボットではないと思われる人からダイレクトメッセージや@メッセージが届き、金が買える素晴らしいチャンスについて案内されます。友達のアカウントのパスワードは、通常は漏洩していません。(ただし、これは友達に、できる限り2段階認証を有効にするように伝えておくことをおすすめします。)
悪質な犯罪者は、個々のアカウントを攻撃するのではなく、人々から代理投稿の許可を得ているサービスを攻撃することが多くなっています。1つのサービスが侵害されると、数千から数百万のトークンが不正に取得される可能性があり、悪意のある人物はそれを利用して個人情報を盗んだり、「[都市名]で立ち往生しているので500ドルを送金してください」といった詐欺を実行したり、スパムや、ゼロデイ脆弱性や最近修正された脆弱性を悪用する不正サイトへのリンクを投稿したりすることができます。
私の提案は?今こそ、見直して、関係を断つ時です。見覚えのないアプリやサイト、あるいはもう使わなくなったアプリやサイトがあれば、リストから削除しましょう。あるいは、すべての接続を一度削除し、引き続き利用しているアプリの指示に従って再接続するという方法もありますが、こちらはより厳しい選択肢となります。
Facebookの権限を確認する
プライバシー チェックアップの恐竜は、Facebook でのやり取り方法と設定が一致していることを確認するよう通知します。
Facebookには脱帽です。個人情報を自由に利用しているという悪評がありましたが、近年は多少改善されてきました。しかし、Facebookはユーザーにプライバシー設定を常に適切に管理するよう促すために、真剣に取り組んでいます。このコラムを書くためにFacebookにログインして詳細を確認しようとした時、フレンドリーな恐竜の絵文字が私を出迎え、プライバシーチェックアップを使うように促しました。(フレンドリーな恐竜が嫌いな人なんているでしょうか?)このウィザードが設定を案内し、確認すべき項目を提案してくれます。素晴らしい!
Facebookのトップメニューにある鍵アイコンをクリックすると、ブラウザでいつでもプライバシーチェックアップを見つけることができます。サードパーティ製アプリの権限設定に直接アクセスするには、設定画面に直接アクセスし、「アプリ」リンクをクリックするか、こちらのリンクをクリックしてください。これにより、承認したすべてのアプリとウェブサイトのリストと、各アプリがFacebookであなたに代わって実行することを許可した内容が表示されます。
Facebookによると、121個のアプリにアカウントとの何らかのやり取りを許可しているとのことです。リストを見ると、たくさんのアプリへのアクセスを取り消すべきだと書かれています。というのも、ほとんどの名前すら覚えていないからです。アプリにマウスオーバーして鉛筆アイコンをクリックすると権限を編集でき、Xをクリックするとアクセスを削除できます。
Facebook の承認済みアプリのリストにあるアプリの半分は、何なのかすら覚えていません。
Twitterの権限を確認する
Twitterでも、「設定」を開いて「アプリ」リンクをクリックできます。Twitterはリストを(日付順でもアルファベット順でもない)ランダムな順序で並べ替えますが、実際にはコンジットを承認した日付が表示されます。「取り消し」ボタンをクリックするとアクセスを無効にできますが、もう一度クリックするとアクセスを復元できます。
iOSの組み込みサポート経由でアプリを承認した場合、そのアプリの横に「iOSアプリの無効化方法」という注意書きが表示されます。簡単に言うと、「iOS by Apple」という項目を見つけて無効化すれば、iOS経由で付与されたすべてのアクセスがキャンセルされますが、Twitterのより詳しい説明は次のとおりです。
組み込みの Twitter 統合を使用するアプリの場合、すべての iOS アプリ アクセスを一度に取り消すことができます。
Googleなどを忘れないで
Googleは、あなたのアカウントを他のサイトでの代替ログインとして利用したり、サイトやアプリがあなたのGoogle+の投稿や設定にアクセスできるようにするために利用することがあります。ログインしているGoogleページであなたのアイコンをクリックし、「アカウント」をクリックします。「ログインとセキュリティ」の下にある「接続済みのアプリとサイト」をクリックします。次に「アプリの管理」をクリックします。リスト内の名前をクリックすると、割り当てられた権限が表示され、「削除」をクリックするとアクセスが無効になります。(「ログインとセキュリティ」を使用して、デバイスの最近のアクティビティを確認することもできます。)
Foursquare や LinkedIn などの他のソーシャル サイトやプロフェッショナル サイト、および Disqus、Gigya、LiveFyre などのディスカッション ネットワークで同様の設定を探すことができます。
幸いなことに、ソーシャルネットワーキングやその他のAPIを利用してユーザーに代わって行動する開発者は、各サービスに固有のアプリIDを登録する必要があるため、サービス運営者によって悪用は容易に阻止されます。しかし、膨大な数のメッセージが送信される前に阻止できるとは限りません。
アカウントにアクセスできるアプリの数を減らすと、友達から「やられたよ!」といった同情のメールが届く可能性が減ります。
