こんにちは, ritouです.
Webサービスのアカウントがハックされた場合には, そのWebサービス自体の機能を利用されたり登録している情報を閲覧/改変させられるリスクだけではなく, そのサービスとOAuthなどで連携しているアプリケーションも利用されるリスクがあります.
仮に"まっとうに動作する"OAuth連携アプリケーションが自分の身に覚えのないところで利用されていたことがわかったとき, 以下のような可能性が考えられます.
- 自分以外でクレデンシャル(ID/PW)を知っているユーザーがログインしてOAuth連携して利用
- Cookieなどからログインセッションを盗み, OAuth連携して利用
- クリックジャッキング等で知らないうちにOAuth連携
具体的な手段となると様々な可能性が含まれておりなかなか不安な世の中です.
そこで, 自分のアカウント大丈夫かな. いちおう見直しておくかといったときにできること3つの作業について説明します.
- PW変更 : ID/PWを知っている第3者からのログインを防ぐ
- 既存のログインセッション破棄 : 既にログイン中であるユーザーに一旦おひきとりを願う
- 外部アプリケーションなどとのOAuth連携を解除 : 連携済みのアプリケーションを一回止める
今回はなんとなくmixi(http://mixi.jp)のアカウントで説明します.
え?最近使ってない?ならなおさらこの機会にログインして確認する方が良いのでは?退会はしなくていいと思いますが.
PW変更
パスワードはホーム右上の「設定変更」をクリックし、「ログインパスワードの変更」より変更することが可能です。
パスワードを変更したい | mixiヘルプ
既存のログインセッション破棄
他のWebサービスによっては, PW変更のタイミングで既存のログインセッションが無効になったりログインしなおさせられたりするものもありますよね.
mixiの場合は特に何も起こりません.
既存のログインセッションを破棄するためには, 一度"ログアウト"してください.
"ログアウトしてもセッション切れるのそのブラウザだけだろぅ?"と思われるかもしれません.
私もこの前までそう思っていましたしヘルプを見てもこうあります.
mixi を見終わったあとログアウトせずにウェブブラウザを閉じると、他の人に自分のアカウントを使われてしまう可能性があります。他の人と共有して使用しているパソコンなどでは、不正アクセスを防止するためにもログアウトするよう心がけましょう。
自分一人が使っているパソコンでも、不正アクセスの危険性がないとは言い切れませんので、mixi を見終わった時はログアウトすることをお勧めします。
mixiヘルプ
ここで, お時間と気持ちに余裕がある方はこんなことを試していただければと思います.
外部アプリケーションなどとのOAuth連携を解除
OAuthなどで外部のアプリケーションと連携している場合, access_tokenやrefresh_tokenが有効であればサービス利用を続けることが可能です.
携帯をなくしてしまったなどの場合, ここも一旦止めてしまった方が良いでしょう.
http://mixi.jp/connect_manage_client.pl
mixi for Androidなど, mixiが出しているアプリもここに含まれます.
mixiモールなど, "mixiが提供するサービスのため解除不要です。"とあるものはしょうがないとして, 思ったよりも連携しているアプリケーションが多いと感じる方もいらっしゃるのではないでしょうか.
とりあえず今回はポチポチ解除して, 必要なものはまた連携しなおせばいいのです.
これで少し安心して利用していただけるかと思います.
ついでにこのままmixiモールとかご覧になってはどうでしょうか?
ではまた!