Video Screencast Help
Security Response

フィッシング詐欺に使われる Facebook の偽セキュリティアプリ

Created: 17 Dec 2012 08:18:58 GMT • Translations available: English
Mathew Maniyara's picture
0 0 Votes
Login to vote

寄稿: Avdhoot Patil

フィッシングサイトで偽のソーシャルメディアアプリケーションが使われるのも、今では当たり前になってきました。フィッシング詐欺師は、個人情報を収集する目的で新しい偽アプリを次々と送り出しています。2012 年 12 月には、Facebook アカウントをハッキングから保護するアプリケーションを使用できると称する、Facebook に偽装したフィッシングサイトが登場しました。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

このフィッシングサイトでは、偽のセキュリティアプリにアクセスするために Facebook のログイン情報を入力するよう求められます。そのほか、ボタンをクリックすると生成される確認コードも入力するよう求められます。偽の Facebook 株券を表示しつつ、確認コードの入力を求め、それが認証されたと通知することで、偽アプリページの信憑性が増すとフィッシング詐欺師は考えているようです。とは言え、株券の偽サンプルがいったい Facebook のセキュリティとどう関係するのかは、理解に苦しむところです。
 

図 1. Facebook の株券を示してユーザーのログイン情報を求める偽アプリ
 

この手口でフィッシングサイトの信憑性はいくぶん増すかもしれませんが、設計に関してはいかにもお粗末で、たとえば生成される確認コードは何度繰り返しても必ず「7710」です。
 

図 2. 偽アプリが確認コードとして「7710」の入力を求める
 

ユーザーがコードを入力するとアプリへのアクセス要求が承認され、「Thank you For using this Service(本サービスをご利用いただき、ありがとうございます)」、さらに「Your Facebook account will be secure in 24 hours time(あなたの Facebook アカウントは 24 時間以内に保護されます)」というメッセージが表示されます。
 

図 3. 偽アプリのインストール確認
 

メッセージに書かれた 24 時間という待ち時間が、ユーザーの疑惑を少しでも遅らせるための時間かせぎであることは言うまでもありません。ここまで進んでフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティなどのセキュリティソフトウェアを頻繁に更新する。
  • 偽の Web サイトや電子メールを見かけたら報告する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。