IPAの今月の呼びかけ(11月) - 自分名義の招待メールが友人に勝手に送付されてしまう?

これを承認する際に、ネットサービスの一般的な機能である「サービス連携」を許可したことが原因となっている。海外SNSは、Googleアカウントの連絡先情報にアクセスが可能となり、その情報を使い、ユーザー以外の第三者へメールが送信されたのである(図1)。

こうして、ユーザーから別のユーザーへと連鎖的に招待メールが発送される事態となったのである。こういった事例では、ネズミ算的に被害が拡大していく。それが、IPAへの相談の急激な増加となったのである。また、JPCERTコーディネーションセンター(JPCERT/CC)によれば、自組織を称したメールが送信されているという被害について情報公開した組織も複数確認されたとのことである。

○勝手に送信された紹介メール

では、どのような紹介メールであったのか。その内容を紹介しよう。まず、招待メールの差出人名と件名であるが、図2のようになっている。

しかし、送信元メールアドレスの情報を確認すると、招待メールは招待者とは関係のないメールアドレスであることがわかる(図3)。本文は、図4のようになる。

「承認する」や「見ますか?」をクリックすると、Googleアカウントに対するサービス連携の許可を求める画面に遷移する。