MobileMe は、Apple が提供している一連のオンラインサービスおよびソフトウェアです。その豊富なサービスの中に、iDisk というオンラインストレージサービスがあります。シマンテックは最近、iDisk の Web ページを詐称するフィッシングサイトを確認しました。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。 では、このサービスのどんな点にフィッシング攻撃者は目をつけたのでしょうか。iDisk は有償で一定期間利用できるサービスで、20 GB までファイルをアップロードし、共有することができます。攻撃者は、このサービスにアクセスして無料で使おうとしており、金銭の詐取以外を目的としてユーザー情報を狙うフィッシング攻撃の一例ということになります。 このフィッシングサイトでは、ログインするためのパスワードを入力するよう求められます(この例の場合、ユーザー ID はすでに入力されています)。パスワードを入力すると、Apple MobileMe の正規 Web ページにリダイレクトされますが、パスワードが無効というエラーメッセージが表示されるので、よくある入力ミスをしてしまったように錯覚してしまいます。 フィッシング URL にはクエリー文字列が含まれ、その中の特定の値がユーザーの ID を表していました。クエリー文字列でこの ID の値を変えると、フィッシングのページにも反映されます。以下にフィッシング URL のサンプルを示します。 hxxp://******.com/test?authenticate_username=****** [ドメイン名とユーザー名は削除済み] 一般的に、フィッシングサイトへのリンクはスパムメッセージを通じてユーザーに送信され、そのメッセージにユーザーの名前が指定されていることはありません。たとえば、スパムメールメッセージの宛名は「Dear Valued Customer(お得意様各位)」、「Dear Member(会員各位)」などとなっています。ユーザー ID を指定するのは、攻撃者がユーザーの信用を得ようとしているからです。そうなると当然、もうひとつの疑問が出てきます。この攻撃者はどこからユーザー ID を入手したのでしょうか。 ユーザー ID は、メールアドレスから取得されています。たとえば user001@example.com というアドレスであれば、攻撃者は「user001」の部分をユーザー ID と考えます。メールアドレス自体は、スパマーが以前に採取したものです。この方法で取得されたユーザー ID が実際に MobileMe のユーザー ID を表しているとは限りませんが、攻撃者は大量のユーザーを標的にして運を試しているだけということでしょう。 インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。 • 電子メールメッセージの中の疑わしいリンクはクリックしない。 • 電子メールに返信するときに個人情報を記述しない。 • ポップアップページやポップアップ画面に個人情報を入力しない。 • Norton Internet Security 2011 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。
-----------------------------
このブログの共同執筆者である Ashish Diwakar 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。