知らない人からのダイレクトメッセージに要注意!
Aさんは情報収集のために、最近話題のTwitterを利用していました。友人だけでなく、多くの情報を発信している人を見つけてはどんどんフォローしていきました。
ある日、フォローした人の一人からダイレクトメッセージが届きました。見てみると、英語のメッセージとともにリンクが張られています。とくに意識もなく、そのリンクをクリックしていました。
すると、見慣れたTwitterのログイン画面が表示されました。疑うこともなく、IDとパスワードを入力してしまったのですが。。。
直接的な被害から間接的な被害へ
インターネット上には、本物のWebサイトとほぼ同じ画面を再現した偽のWebサイトが存在しています。メールなどによって偽サイトに誘導し、アクセスしてきた利用者が入力したアカウントやパスワードを不正に入手する手口で、少し前までは銀行などの金融機関が中心でした。しかし、最近はその様相が変わってきています。
これまでは銀行に預けられているお金を引き出すなど、直接的な目的がありました。しかし、最近は少しずつ変化が出てきています。背景には、銀行側がログインしただけでは振込や出金ができないように、第二暗証や第三暗証、ワンタイムパスワードといった対応を行っていることがあります。つまり、アカウントやパスワードだけでは大したことができなくなってしまったのです。
銀行などで直接的な利益を得られなくなった今、次の目標は個人情報に移ってきました。とくに最近はTwitterやFacebookといった「人と人とのつながり」を支援するサービスに注目が集まっています。多くの人が利用しているだけでなく、個人情報の公開範囲が以前より格段に広がっているためです。氏名を公開している人もいますし、つぶやいた際の位置情報なども重要な情報になりつつあります。
実は、これはコンピュータウイルスの変化にも似ています。当初はハッカーの技術的な楽しみで、パソコンの起動を不可能にするといった直接的な被害を与えるものでした。しかし、最近では直接的に被害を与えるよりも、利用者に気づかれないように動作し、個人情報などを収集するものが中心になっています。
短縮URLの弊害
さらに、Twitterなどでは文字数の制限から短縮URLが使用されるようになっています。ホームページのアドレスを入力すると、自動的に短縮されたURLに変換されるのです。
上記の例では、本来のドメインは「masuipeo.com」ですが、これが「t.co」になってしまっています。つまり、リンクをクリックするときにURLを見ただけでは正しいサイトなのかの判断ができないわけです。これがフィッシング詐欺を助長しています。
とくに携帯電話や、最近流行しているスマートフォンの一部では、URLを表示しない設定になっているものもあります。こうなると正しいサイトか偽のサイトかを判断する術はほとんどありません。
Twitterでの例
たとえば、Twitterを利用している利用者に、ほかの利用者からメッセージが届いたとします。このときの本文に短縮URLが付いています。リンク先をクリックしてみると、Twitterのログイン画面に似たページへ案内されます。いつものようにIDとパスワードを入力してみると、正しくログインできません。パスワードを間違えたのかと思って、再度入力しても同じことです。
サーバーが停止しているのかとあきらめてしまうところですが、実は偽のサイトですので、このときに入力したIDとパスワードが、そのページを設置した悪者に漏えいしてしまいます。
さらに、この情報を取得した悪者は、取得したIDとパスワードを利用して正規のTwitterにログインし、利用者になりすましてほかの利用者にメッセージを送信します。つまり、どんどんと不正なサイトへのリンクが張られたメッセージを受信する人が増えていくわけです。
対策と対応
このような被害に遭わないためには、まずは不自然なメッセージを無視することです。また、メッセージのリンクをクリックしてしまった場合でも、IDやパスワードを入力する前にURL欄を確認しましょう。
もし誤って入力してしまった場合は、即座に正規のサイトにて、パスワードの変更を行うことをオススメします。同じIDやパスワードをほかのサイトでも使いまわしているのであれば、合わせてすべてを変更しましょう。そもそも、できる限り同じパスワードは使いまわさないようにすべきです。