Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

フィッシング: Twitter アカウントへの不正アクセスの手口

Created: 08 Feb 2013 06:50:29 GMT • Translations available: English, Español
Joji Hamada's picture
0 0 Votes
Login to vote

先週 Twitter 社は、同社のネットワークが攻撃を受け、攻撃はすぐに止めたものの、それまでの間に約 250,000 人分のユーザー情報が不正アクセスを受けたことを発表しました。攻撃者が直接サービスプロバイダを狙ってデータを盗もうとした場合、個々のユーザーにできる対策はほとんどありませんが、エンドユーザーにアプローチしてアカウント情報を盗み出そうとする攻撃も少なくはありません。そのような場合にアカウント情報の詐取によく使われる手口が、フィッシングです。フィッシング攻撃と言えば、盗み出されるのは銀行口座やクレジットカードのような情報だと思いがちですが、ソーシャルネットワークのアカウントも、攻撃者が好んで狙う情報です。

攻撃者にしてみれば、ソーシャルネットワークサイトに対するフィッシングは、ユーザーを欺いて個人情報を引き出す手段としては手軽な方法です。今回ちょうどよい機会ですので、過去数カ月に Twitter で実際にあった攻撃の手口を確認しながら、この手の詐欺の仕組みを紹介します。

この攻撃は、ダイレクトメッセージ(DM)やツイートを利用したスパムで始まり、そこに記されたリンクをクリックして自分の画像を表示するようユーザーを促します。
 

図 1. スパムメッセージ
 

リンクをクリックすると、以下のようなページが開き、続行するにはアカウントにサインインする必要があると表示されます。このページは Twitter 公式サイトによく似ていますが、実際には攻撃者が用意したサーバーにホストされているフィッシングページです。

ログインフィールドに入力した情報が正しいかどうかにかかわらず、ユーザーは元のセッションに戻されるように見えます。
 

図 2. フィッシング攻撃に使われる偽の Twitter ログインページ
 

ところが、ここで別の偽ページが開き、アクセスしようとしたページは存在しないと表示されます。このページから、今度は正規の Twitter ページにリダイレクトされるので、ユーザーは悪質な処理がすでに実行されたことに気づきません。
 

図 3. ユーザーがアクセスしようとしたページは存在しないと称する偽ページ
 

こうしたフィッシング攻撃の際に取得したネットワークデータを調べてみると、盗み出されたアカウント情報は、偽の Twitter ログインページをホストする攻撃者のサーバーに送信されていることがわかります。
 

図 4. 盗み出されたデータの送信先を示すネットワークデータ
 

この後で、このアカウントは乗っ取られ、図 6 のようなダイエットサプリを宣伝するサイトにリンクするスパムの拡散に使われます。
 

図 5. スパムメッセージ
 

図 6. 一部のスパムメッセージからリンクされる広告ページ
 

銀行口座やクレジットカードの情報をオンラインで入力させようとするフィッシング攻撃には警戒を怠らないユーザーでも、ソーシャルネットワークサイトに関連するアカウント情報ということであれば、うっかり入力してしまうかもしれません。攻撃者はそうした傾向を知り尽くしたうえで利用しています。今回説明した例の場合、結果的に深刻な被害には至りませんが、攻撃者の策略しだいでは、もっと甚大な損害につながる可能性もあります。

前述したように、ハッカーがサービスプロバイダを攻撃してデータを盗み出そうとする場合、個々のユーザーには対処のしようもありませんが、フィッシングのような詐欺からは間違いなく身を守ることができます。

よく知らないユーザーから送られてきたリンクは、まず怪しいと考えましょう。また、アカウントのハッキングも常態化しているので、仮に知っている人から届いたリンクでも安全とは限りません。ノートン インターネットセキュリティなど、フィッシング攻撃から保護するセキュリティソフトウェアをインストールすることも必要です。

また、パスワードやパスフレーズには、推測が難しく辞書にも載っていないものを使うようにすることで、オンラインアカウントの安全性を高くすることができます。大文字と小文字、数字、特殊文字を組み合わせて使うのが理想的です。アカウントごとにパスワードを変えることもお勧めします。そうしておけば、1 つのアカウントが侵害されても他のアカウントは安全だからです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。