????????????????????????????????????
フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。
このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。
図 1. Facebook のアカウント確認
図 2. 「いいね」を求める
図 3. 共有を誘う
図 4. 共有を誘い、個人情報の入力を求める
フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
- 電子メールメッセージ中の疑わしいリンクはクリックしない。
- 電子メールに返信するときに個人情報を記述しない。
- ポップアップページやポップアップ画面に個人情報を入力しない。
- 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
- ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
- 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。