共同執筆者: Avdhoot Patil

フィッシングの攻撃者は、少しでも多くのエンドユーザーが飛びつきそうなワナを選ぶのが常です。2011 年 12 月には、インド映画『Bodyguard』（サルマン・カーン（Salman Khan）さん、カリーナ・カプール（Kareena Kapoor）さんが主演）の楽曲がワナとして使われました。サウンドトラックの評判が高いことから、多くのファンを標的にすればユーザーの個人情報を収集できる可能性が高くなると目論んだからです。このときのフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

フィッシングサイトは Facebook を標的としており、フィッシングページの左下で、この映画のミュージックビデオが再生されます。フィッシングページのメインコンテンツには楽曲の広告が表示され、ソーシャルネットワークのプロフィールにカスタムグラフィックの「スキン」を追加する機能があると説明されています。ページではさらに、ログインすればヒット曲を再生できるほか、追加の機能も利用できると説明して、ソーシャルネットワークのログイン情報を入力するように要求します。しかも、「インドで最高の音楽サイト」と称賛するニュースのリンクまで用意されています。

このほか、このページでは次のような偽の機能も売り文句になっています。

• 音楽プレイヤーの「プレイリスト」を追加する機能
• 友人のステータス更新や写真に対する「Dislike（よくないね）」ボタン

攻撃者は、ユーザーを欺こうとしてあらゆる手段を模索したようです。ログイン情報を入力すると、フィッシングページから Facebook 上の正規の音楽アプリケーションページにリダイレクトされます。このように正規の関連アプリケーションページにリダイレクトするのは、有効なログイン処理が実行されたと信じ込ませるための手口です。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

Facebook と連邦取引委員会（FTC）は、フィッシング対策として以下のサイトを用意しています。

• https://www.facebook.com/help/contact.php?show_form=falsefacebooknotifications
• http://www.ftc.gov/bcp/edu/pubs/consumer/alerts/alt127.shtm

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティ 2012 など、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。