Contact form7とgmailを連携するためのAPI利用によるセキュリティ問題について

前提・実現したいこと

プログラミングの質問ではないので、ここに投稿していいかよくわからないのですが、関連しているかと思うので、投稿させていただきます。API情報登録に関し、セキュリティ面での質問です。

API利用はセキュリティの脆弱性があるというような記事がいくつかあったので、個人情報が漏れていないか心配になったのですが、自分で調べてみてもよくわからないので、こちらの利用に関して何か注意点や危険性とその対策などあればご教授いただきたいです。

発生している問題

公開前のウェブサイトにcontact form7を利用しています。
そちらで送信された内容がgmailに届くよう、WP mail SMTPを使い、あまり知識もないままにネットで調べたやり方をみながらAPI情報を登録しました。

無事に問い合わせ内容がgmailに届くようになったのですが、翌日に非通知で中国語の自動音声の電話がかかってき、調べてみると詐欺の電話でした。今までそういった非通知での詐欺電話などなかったので、API情報登録が関係しているのではないかと、タイミングが重なったのは偶然かもしれないのですが不安になりました。

特に不安なのが、OAuthの同意画面でアプリ情報の登録が必須になっており、そちらの”ユーザーサポートメール”に自分のメアドを登録をしましたが、このメアドがネットで公開されているのではないかと不安です。

というのも、このアプリ情報の登録ページには、下記の記載があり、
↓
「この情報は同意画面に表示されるため、デベロッパーのユーザー情報とデベロッパーへの問い合わせ方法をエンドユーザーが把握できます。」

またメアドの入力欄の説明には下記の記載がありました。
↓
「ユーザーが同意に関して問い合わせるために使用」とありました。

この場合、このエンドユーザーが誰を指すのかもよくわかりません・・・
”ウェブサイト”の登録がしたいのに、”アプリ”の情報となっているので、私がどこかで入力を間違えたのでしょうか？

API利用により、連携したgmail内でのやり取り、またgoogleアカウントに保存されている情報や、連携しているサービスの情報が漏れてしまうことはあるのでしょうか。

引き続き自分で調べているのですが、セキュリティに関してほぼ知識がなく、それでもウェブサイトの公開を急がなければならないのでこちらで質問させていただきました。

どうぞよろしくお願いいたします。

maisumakun

2020/11/18 03:00

> 無事に問い合わせ内容がgmailに届くようになったのですが、翌日に非通知で中国語の自動音声の電話がかかってき、調べてみると詐欺の電話でした。電話番号はどのような形で公開しているのでしょうか？（特に公開していないなら、基本的には関係しません）

kinakopan_lover

2020/11/18 05:08

ご回答ありがとうございます。電話番号は特に公開になっていないようですが、GOOGLEアカウント自体には登録しています。 Googleアカウントの個人情報には、①生年月日、②APIに登録したメールアドレス、③←の復旧用のメールアドレス、④電話番号、色々なサイトでのパスワードが保存されており、②のGOOGLEアカウントのメールアドレスは公開になっています。（変更不可？）この④電話番号に非通知でかかってきましたが、特に公開になっていないかと思います。非公開と明記されてないので、確信もてませんが… Googleアカウントのセキュリティを確認すると、"(私が登録したアプリ名)" は「Gmailのアクセスが可能」（Gmail のすべてのメールの閲覧、作成、送信、完全な削除が可能）となっているので、Gmailのみへのアクセスが可能で、Googleアカウントへのアクセスを許しているわけではないと考えてよろしいのでしょうか？また、このGmailへのアクセスは、私がAPI情報に登録したWordpressがアクセス可能なだけであり、このWordpressサイトの閲覧者に私のメールアドレスなどが見えるわけではないとう認識でよろしいでしょうか？セキュリティ面で不安になり、忘れていたWordpressの管理画面URLの変更を急いで行ったのですが、無効なログインに、深夜何故かオランダのIPアドレスでログが残ってました。この設定をした後からしかログを見れないので、以前から合ったのかどうかは調べられませんが、API設定の数時間後だったので、これも関係しているのかなと不安になりました。冗長になってしまいましたが、アドバイス等いただけましたら嬉しいです。どうぞよろしくお願いいたします…