夏を通じて、「ポケモンGO」はこれまでで最も成功した○○ゲームのひとつとなりました。このゲームにはGoogleアカウントへのフルアクセスが必要であり、あなたのアカウント内のすべてを閲覧・変更できる可能性があるというショッキングな話を目にしたことがあるかもしれません。

この質問は大げさなようで、ナイアンティックはグーグルの共有ログインサービスの古いバージョンを使っています。お客様のお名前とEメールアドレスにのみアクセスします。

パッチが出れば、誰もが次に進む。誰もが怖がったが、ソーシャルログインの使用時にデータが流出していることに注目が集まった。

ソーシャルログインは何ですか？

このボタンを見たことがあるかもしれません。ウェブサイトにログインしようとすると、"Login by... "と書かれた一連のボタンが表示されます。

マジックボタンのいずれかを使用すると、他のサイトで作成したIDでログインすることになります。こうすることで、新しいサイト用に別のパスワードを作成する必要がなくなります。

ソーシャルログインをお気に入りのウェブサイトに簡単に追加できる規格として、OAuthとOpenIDがあります。 OAuthは、アプリケーションやウェブサイトが別のウェブサイトから自分のデータにアクセスすることを許可するもので、OpenIDはアプリケーションやウェブサイト上で自分を識別することを許可するものです。

Google: What's connected?

Googleは、特にAndroid**で同社の統合サービスを利用している場合、膨大な量の個人データを保有しています。不正なアプリは大きな危険性をはらんでいるため、プライマリーアカウントを保護することが肝要です。

Googleのセキュリティ設定で接続されているアプリの一覧を閲覧した後、アプリに付与されている権限を表示します。そして、使っていないアプリや怪しいアプリを削除してください。

facebook: What's connected?

Facebookはあなたのプライバシーを重視していないという一般的な認識にもかかわらず、実際には最も多くの選択肢を与えてくれます。Facebookはあなたのアカウントに接続しているアプリをリストアップし、最初の接続後でさえ、あなたが許可した権限を編集することができます。

Facebookでログインをしばらく使っている場合は、アプリとその権限に満足しているかどうかを確認することをお勧めします。

twitter: What's connected?

Twitterのログインは、Mediumのような出版サイトで最も広く使われており、サービスにとってあなたの本当の身元が重要でない場合です。これは、Twitterで多くの情報に触れないということではありません。とはいえ、非公開アカウントでない限り、すべてのツイートは公開されます。ただし、悪意のあるツイートを代行されないよう、不正アプリのチェックはしておくとよいでしょう

Facebookとは異なり、アプリケーションごとに戻って権限を変更することはできません。アカウントに接続したくないアプリへのアクセスを取り消すことはできますが。

なぜソーシャルログインを使うのか？

ソーシャルログインは、OAuthやOpenIDの開発者が想像していた通り、実に便利で手間がかからない。大量のパスワードの改ざんは、セキュリティ衛生の低下や複数サイトでのパスワードの再利用の大きな原因となっています。ソーシャルログインを利用することで、覚えなければならないパスワードの数が減り、データ漏洩の際にも安全性が高まります。

OAuthプロバイダでログインすると「アクセストークン」が付与され、アプリケーションは承認された情報にアクセスすることができるようになります。これにより、ログイン時、またはアカウント設定でいつでも権限を編集することができます。

プライバシーはどうなっているんだ？

諺にもあるように、無料であるなら、あなたは製品です。ログインの速度と容易さを向上させるために、いくつかのデータを交換する必要があります。

プロバイダーは、あなたがログインしたときに利用したすべてのサイトを記録していることを知っておく必要があります。あなたがそのサイトで何をしているかはわからないが、あなたがそこにいることはわかる。

アカウントへのアクセスを許可する前に、そのプライバシーポリシーを確認することをお勧めします。条件に納得してもらおうと、これらの書類は面倒くさい。FacebookやGoogleなど、当社がログインプロバイダーとして使用しているアカウントには、サードパーティアプリケーションに公開したくない非常にプライベートなデータが多く含まれています。

パーミッションの確認にはmypermissi***を使用します。

MyPermissi***のウェブサイトは、ソーシャルアカウントと連携しているアプリを確認する最も簡単な方法の一つです。また、同社のiOSまたはAndroidアプリをダウンロードすれば、アプリが要求するパーミッションを監視することもできます。iOSやAndroidのシステムレベルの権限管理とは異なり、MyPermissi***は各アプリを階層化することでプロセスを簡素化しています。

ソーシャルアカウントの分析には、MyPermissi***のウェブサイトを利用するのが一番良いということがわかりました。また、このモバイルアプリは、インストールされたアプリに与えられた権限を分析するのに非常に優れています。

フィッシングに巻き込まれないために

攻撃者はしばしば、ソーシャルプロバイダのログインページに見せかけるために、偽のウェブサイトを使用します。ポップアップウィンドウが開き、ユーザー名とパスワードを入力することができます。

これは、あなたのログイン情報が漏洩し、ハッカーがあなたのアカウントに完全にアクセスできるようになることを意味します。多くのサイトで同じパスワードを使用している場合は、さらに大きな問題となる可能性があります。フィッシングはより巧妙になってきていますが、潜在的な攻撃を見分けることは可能です。

単一障害点（Single Point of Failure）に注意

複数のサイトにログインするために1つ以上のプロバイダーを利用している場合、SPF（Single Point of Failure）となるリスクがあります。パスワードの漏えいは実際に起こっており、あなたのアカウントが流出してしまう可能性はゼロではありません。プライマリ・ログイン・アカウントにアクセスすると、ハッカーはあなたのすべての接続アカウントにもアクセスできるようになります。

二要素認証の使用は、SPF攻撃からアカウントを保護する最善の方法の1つです。また、多くのサイトでは、ソーシャルログインに加えて、ローカルサイトのパスワードも作成することができます。つまり、メールとパスワードでログインした後、該当するアカウントを切断することができます。

細部にまでこだわったドリル

ログイン画面や利用規約、プライバシーポリシーをいちいち読むのは面倒だと思いますが、個人データを第三者のサイトに供与したり、FacebookやGoogleなどがあなたのブラウジング習慣をすべて見ることを許可することにためらいがあるなら、その価値はあると思います。

ソーシャルログインを利用する前に、そのサイトのプライバシーポリシーを確認し、納得した上で利用するようにしましょう。OpenIDを使用してログインする場合は、プロバイダが監視していることを覚えておくとよいでしょう。

時には、電子メールだけにこだわり、安全なパスワードを作成し、パスワードマネージャに保存する方が簡単な場合もあります。何百ものパスワードを覚える心配がないので、ソーシャルログインにありがちな落とし穴を回避できます。

ソーシャルログインを使っていますか？プライバシーについて心配したことはありますか？人気のあるログインプロバイダーはありますか？それともメールログインにこだわりますか？下のコメント欄でご意見をお聞かせください。