質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

API

APIはApplication Programming Interfaceの略です。APIはプログラムにリクエストされるサービスがどのように動作するかを、デベロッパーが定めたものです。

Q&A

1回答

811閲覧

Contact form7とgmailを連携するためのAPI利用によるセキュリティ問題について

kinakopan_lover

総合スコア10

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

API

APIはApplication Programming Interfaceの略です。APIはプログラムにリクエストされるサービスがどのように動作するかを、デベロッパーが定めたものです。

0グッド

0クリップ

投稿2020/11/18 02:31

編集2020/11/18 02:52

前提・実現したいこと

プログラミングの質問ではないので、ここに投稿していいかよくわからないのですが、関連しているかと思うので、投稿させていただきます。API情報登録に関し、セキュリティ面での質問です。

API利用はセキュリティの脆弱性があるというような記事がいくつかあったので、個人情報が漏れていないか心配になったのですが、自分で調べてみてもよくわからないので、こちらの利用に関して何か注意点や危険性とその対策などあればご教授いただきたいです。

発生している問題

公開前のウェブサイトにcontact form7を利用しています。
そちらで送信された内容がgmailに届くよう、WP mail SMTPを使い、あまり知識もないままにネットで調べたやり方をみながらAPI情報を登録しました。

無事に問い合わせ内容がgmailに届くようになったのですが、翌日に非通知で中国語の自動音声の電話がかかってき、調べてみると詐欺の電話でした。今までそういった非通知での詐欺電話などなかったので、API情報登録が関係しているのではないかと、タイミングが重なったのは偶然かもしれないのですが不安になりました。

特に不安なのが、OAuthの同意画面でアプリ情報の登録が必須になっており、そちらの”ユーザーサポートメール”に自分のメアドを登録をしましたが、このメアドがネットで公開されているのではないかと不安です。

というのも、このアプリ情報の登録ページには、下記の記載があり、

「この情報は同意画面に表示されるため、デベロッパーのユーザー情報とデベロッパーへの問い合わせ方法をエンドユーザーが把握できます。」

またメアドの入力欄の説明には下記の記載がありました。

「ユーザーが同意に関して問い合わせるために使用」とありました。

この場合、このエンドユーザーが誰を指すのかもよくわかりません・・・
”ウェブサイト”の登録がしたいのに、”アプリ”の情報となっているので、私がどこかで入力を間違えたのでしょうか?

API利用により、連携したgmail内でのやり取り、またgoogleアカウントに保存されている情報や、連携しているサービスの情報が漏れてしまうことはあるのでしょうか。

引き続き自分で調べているのですが、セキュリティに関してほぼ知識がなく、それでもウェブサイトの公開を急がなければならないのでこちらで質問させていただきました。

どうぞよろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2020/11/18 03:00

> 無事に問い合わせ内容がgmailに届くようになったのですが、翌日に非通知で中国語の自動音声の電話がかかってき、調べてみると詐欺の電話でした。 電話番号はどのような形で公開しているのでしょうか?(特に公開していないなら、基本的には関係しません)
kinakopan_lover

2020/11/18 05:08

ご回答ありがとうございます。 電話番号は特に公開になっていないようですが、GOOGLEアカウント自体には登録しています。 Googleアカウントの個人情報には、①生年月日、②APIに登録したメールアドレス、③←の復旧用のメールアドレス、④電話番号、色々なサイトでのパスワードが保存されており、②のGOOGLEアカウントのメールアドレスは公開になっています。(変更不可?) この④電話番号に非通知でかかってきましたが、特に公開になっていないかと思います。非公開と明記されてないので、確信もてませんが… Googleアカウントのセキュリティを確認すると、"(私が登録したアプリ名)" は「Gmailのアクセスが可能」(Gmail のすべてのメールの閲覧、作成、送信、完全な削除が可能)となっているので、Gmailのみへのアクセスが可能で、Googleアカウントへのアクセスを許しているわけではないと考えてよろしいのでしょうか? また、このGmailへのアクセスは、私がAPI情報に登録したWordpressがアクセス可能なだけであり、このWordpressサイトの閲覧者に私のメールアドレスなどが見えるわけではないとう認識でよろしいでしょうか? セキュリティ面で不安になり、忘れていたWordpressの管理画面URLの変更を急いで行ったのですが、無効なログインに、深夜何故かオランダのIPアドレスでログが残ってました。この設定をした後からしかログを見れないので、以前から合ったのかどうかは調べられませんが、API設定の数時間後だったので、これも関係しているのかなと不安になりました。 冗長になってしまいましたが、アドバイス等いただけましたら嬉しいです。どうぞよろしくお願いいたします…
guest

回答1

0

無効なログインに、深夜何故かオランダのIPアドレスでログが残ってました。

パブリックにアクセスできるWebサーバであれば、多かれ少なかれ来るものです。実際にログインされた、もしくはアクセス殺到でDoS状態になっている、というのでもなければ気にする必要はありません。

投稿2020/11/18 05:23

maisumakun

総合スコア146018

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2020/11/18 05:28 編集

> API利用はセキュリティの脆弱性があるというような記事がいくつかあったので そんな曖昧な情報として扱うのであれば有害無益です。どのような条件でどのような危険性があるのか書かれていない(あるいは、書かれていてもそれを評価しない)のであれば、不安を煽るだけのものでしかありません。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問