寄稿: Avdhoot Patil
フィッシングサイトで偽のソーシャルメディアアプリケーションが使われるのも、今では当たり前になってきました。フィッシング詐欺師は、個人情報を収集する目的で新しい偽アプリを次々と送り出しています。2012 年 12 月には、Facebook アカウントをハッキングから保護するアプリケーションを使用できると称する、Facebook に偽装したフィッシングサイトが登場しました。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。
このフィッシングサイトでは、偽のセキュリティアプリにアクセスするために Facebook のログイン情報を入力するよう求められます。そのほか、ボタンをクリックすると生成される確認コードも入力するよう求められます。偽の Facebook 株券を表示しつつ、確認コードの入力を求め、それが認証されたと通知することで、偽アプリページの信憑性が増すとフィッシング詐欺師は考えているようです。とは言え、株券の偽サンプルがいったい Facebook のセキュリティとどう関係するのかは、理解に苦しむところです。
図 1. Facebook の株券を示してユーザーのログイン情報を求める偽アプリ
この手口でフィッシングサイトの信憑性はいくぶん増すかもしれませんが、設計に関してはいかにもお粗末で、たとえば生成される確認コードは何度繰り返しても必ず「7710」です。
図 2. 偽アプリが確認コードとして「7710」の入力を求める
ユーザーがコードを入力するとアプリへのアクセス要求が承認され、「Thank you For using this Service(本サービスをご利用いただき、ありがとうございます)」、さらに「Your Facebook account will be secure in 24 hours time(あなたの Facebook アカウントは 24 時間以内に保護されます)」というメッセージが表示されます。
図 3. 偽アプリのインストール確認
メッセージに書かれた 24 時間という待ち時間が、ユーザーの疑惑を少しでも遅らせるための時間かせぎであることは言うまでもありません。ここまで進んでフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。