Twitter連携の注意点。アクセス権と解除方法。Peing-質問箱の情報漏洩に思う

先日、Peing-質問箱（以下質問箱）というWebサービスにおいて情報漏洩問題が発覚しました。

会社から正式にプレスリリースを出させていただきました。
本件に関するお問合せについてはプレスリリースに記載のあります「Peingトークン情報に関する問い合わせ窓口」までお願いいたします。https://t.co/HxUx5qWYJH

今後とも質問箱をよろしくお願いいたします。

— Peing-質問箱-(公式) (@Peing_net) 2019年1月31日

漏洩した（可能性のある）情報の中にメールアドレスがあり、その件数は1,497,967件に登ります。

この記事では、どうして大量のメールアドレスが漏れたのか？、どうやったら情報流出を防げるか？という事をユーザー視点で考えてみようと思います。

登録と連携

一般的にWebサービス等のアプリを利用する際、ユーザーは何かしら自分の情報を登録して利用開始します（ユーザー登録）。
一旦登録した後もアカウント設定で情報を変更できたりします。

それとは別に、別のサービスと連携する機能がある事も多いです。

質問箱の場合、Twitter、Instagram、Facebook、Gmail（Google）の4種類のサービス（のアカウント）との連携が可能なようです。

連携のメリット

ここからはTwitterを例にとって見ていきます。

登録箱においてTwitterアカウントと連携した場合、登録箱がTwitterアカウントの情報や機能を使用することができるようになります。

質問箱の場合、Twitterのユーザー名を質問箱のユーザー名の候補として出してくれたりします。
また、質問に回答した時、それが自動的にツイートされるようになります。

連携の危険性

Twitterを連携させたアプリには、Twitter上のあなたの見られたくない情報を見られる可能性がありますし、Twitterの使われたくない機能を使われる可能性があります。

連携したアプリによっては、そのような情報や機能をスパム（Spam）ツイート等、悪意を持って意図的に使われることもあります。

また、今回の質問箱の件のように情報が漏洩すると、意図的ではなくても第三者に閲覧・使用されてしまう危険性もあります。

連携アプリの確認・解除

現在、Twitterを連携しているアプリの一覧はTwitterの中で見ることができます。

• スマホ（アプリとWeb）の場合、
  [設定とプライバシー]→[アカウント]→[アプリとセッション]
• PC（Web）の場合、
  [設定とプライバシー]→[アプリと端末]

で確認することができるようです。

（画像はPC版のもの）

ここから、アプリの「許可（連携・アクセス権）を取り消す」事もできます。

アクセス権

前章の連携アプリ一覧でも見ることができますが、連携アプリにはアクセス権というものが存在します。

アクセス権は次のように分かれているみたいです。

1. 読み取り
2. 書き込み
3. ダイレクトメッセージ
4. メールアドレスにアクセス

アプリの連携を許可（認証）する際、このアプリにどういう操作を許可するかを確認することができます。

例としてNintendo Accountのアクセス権を見てみます。

読み取りが情報を見るだけ。 書き込みがツイート等のTwitter操作。
ダイレクトメッセージのアクセス権は、与えるとDMの中身が見られたりDMを送れたりしてしまうので、Twitterクライアントアプリぐらいにしか必要ではないアクセス権だと思います。

Nintendo Accountアプリは最低限のアクセス権である読み取りのみを必要とする事が分かります。

質問箱のケース

質問箱（Peingアプリ）の場合、許可するとDM以外の（ほぼ全ての）アクセス権を与える事になります。

質問箱には質問が届いた時に登録しておいたメールアドレスにメールで通知する機能があります。
「メールアドレスにアクセス」するアクセス権は、恐らく、そのメールアドレスを登録する際の候補を出す為にあるようです。

個人的に思うのは、「メールアドレスにアクセス」するアクセス権を無くし、メールで通知を受け取りたい人は直接メールアドレスを入力して登録する方法を取っていれば、メール通知が不要な人からはメールアドレスが漏れなくなるので、今回のメールアドレスの流出数は抑えることが出来たのではないかという事です。

ただ、便利さと危険性は隣り合わせなので、このアクセス権が一概に悪とも言えないとは思います。

最後に

• アプリを連携する時、このアプリに必要なアクセス権なのかどうか？を少し考える
• 時々連携アプリの一覧を確認し、知らないアプリ、使ってないアプリは連携解除する

こういう事はやっていきたいですね。

また、本記事ではTwitterについて書きましたが、連携機能があるサービスはTwitterの他にもInstagram、Google、Facebookなどたくさんあります。
サービスごとにアクセス権は異なるので連携する際はそれぞれにどういう情報・機能をアプリに許可するか、確認する必要があります。

以上です。楽しく快適なネット生活を送りましょう！