セブンイレブンのTwitterキャンペーンにセキュリティ上の問題?指摘相次ぐ

応募するさいに必要なアプリ連携画面

　株式会社セブン‐イレブン・ジャパンが11日より展開しているTwitter連動キャンペーンについて、応募に必要なアプリ連携で求められる権限が不適切ではないか、との声がSNS上で上がっている。

　本キャンペーンでは、同社の公式Twitterアカウントのフォロー、キャンペーン投稿のリツイートに加え、特設ページからの応募が必要となっており、最後の応募の操作でサードパーティアプリとの連携/認証を行なう。現在上がっている指摘は、この連携時に要求される権限が多すぎるのではないか、というものだ。

　認証画面を見ると、ツイートなどの読み書きに加え、ダイレクトメッセージへのアクセスが可能であることが確認できる。Twitterでは、サードパーティアプリが得られる権限を3段階(後述)で規定しているが、そのうち最も多くの権限を要求する設定となっているようだ。

　サードパーティアプリとの連携では、一部の悪意あるアプリと連携してしまい、ユーザーの意図しないツイートを投稿されてしまったといった事例もある。連携や認証を進めるさいや、スマートフォンのアプリが要求してきた場合など、権限に関する確認は怠らないよう注意したい。

　なお、サードパーティアプリがユーザーの同意のもと得られる権限については、対象ユーザーのツイートやホームタイムライン、プロフィールなどの閲覧が可能な「Read Only」、ツイートの投稿やプロフィールの更新、他ユーザーのフォローなどが可能な「Read and write」、さらにダイレクトメッセージの読み書きも可能となる「Read, write and access Direct Messages」の3段階が用意されている(メールアドレスについては各段階オプションとして用意)。Twitterでは開発者に対し、この3つの中から必要最低限のものを選択するよう求めている。