Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

第三者アプリに開放される権限を確認する

BBCの記事を読んで、Facebook事件の様な話は既に私たちのまわりに存在している事を改めて強く感じました。

www.bbc.com

三者アプリを使って「Gmail」を利用した場合、アプリ開発スタッフにメールを読む権限を知らずの内に与えてしまった可能性があるという。

米紙ウォール・ストリート・ジャーナルの2日付記事によると、これは「よくある」ことで業界の「まずい秘密」なのだと話す企業もある。

グーグルは、この慣行が規約違反ではないという立場を示している。

しかし、セキュリティー専門家は、グーグルがこうした行為を容認しているの「意外」だと話した。

Gmail」は世界で最も利用されている電子メールサービスで、ユーザーは14億人に上る。

グーグルは、第三者が開発した電子メール管理ツールや、旅行計画、価格比較といったサービスと「Gmail」の連携を認めている。

こうした外部サービスと「Gmail」を連携させる場合、利用者は外部サービスに一定の権限を認めることを求められる。通常は、「電子メールの閲覧、送信、削除、管理」といった機能が含まれている。

BBC記事より引用)

 

◆キタきつねの所感

一般的に言えば、膨大なメールを解読する暇な方は少ないのではないだろうか・・・と考える訳ですが、ビックデータ分析が現実に行われていることを考えると、重要な情報を持つ利用者便利な第三者アプリの機能と引き換えに、情報を漏えいさせてしまうかも知れない事を改めて認識すべきなのかも知れません。

フリーメールの特性上、使い捨ての様に使える部分もあり、ある程度の危険性については利用者は(薄々)理解している部分もあるでしょう。とは言え、GoogleGmailと言えば、有象無象のフリーメールの乱立時代を圧倒的な信頼と機能で勝ち残ってきた訳であり、普段と違うIPからアクセスする際にはブロックしてくれたり(リスクベース認証)、設定によっては2段階認証などかなり強固のセキュリティ機能も提供してくれている事もあり、Facebookの様な事はないだろう・・・と私も含め、多くの方は考えていたかも知れません。

そんな中、規約違反では無い・・・とはされていますが、第三者ベンダーの開発者に個人のメールが解放されている、APIサービスはそうした怖さがあるのだと改めて考えさせられます。

 

ユーザ側としては、Googleアカウントからアプリ管理が出来るので、意図しない権限開示をしてないかについては、確認する事が出来ます。記事を読んで自分のGoogleアカウントで改めて権限確認をしようとしましたが・・どこに設定があるか探してしまいましたので、自分のメモも兼ねて設定情報を貼っておきます。

 

f:id:foxcafelate:20180707161759j:plain

アプリ管理ページからアクセス権の管理ができますが、

 

f:id:foxcafelate:20180707161551j:plain

 

こんな感じで、連携アプリで付与されているアクセス権を確認する事ができます。便利なアプリ・・あるいは怪しげなアプリに対して、自分が意図してない権限開示がされてないか、たまに棚卸しが必要だなと改めて感じました。

 

Googleでもこうなのですから、、、他のクラウドサービス事業者でも、JavaScript(API)連携経由で第三者に意図しない情報が開示されているリスクについては、個人だけでなく、サイト運営側もよく確認すべきかも知れません。(先日某所のセミナーで、これに関連する話を聞きましたので、まだまだ色々と今後出てくる気がします)

 

 

手紙を運ぶ黒ヤギのイラスト

 

 

更新履歴

  • 2018年7月7日PM(予約投稿)