共同執筆者: Avdhoot Patil
フィッシングの攻撃者は、少しでも多くのエンドユーザーが飛びつきそうなワナを選ぶのが常です。2011 年 12 月には、インド映画『Bodyguard』(サルマン・カーン(Salman Khan)さん、カリーナ・カプール(Kareena Kapoor)さんが主演)の楽曲がワナとして使われました。サウンドトラックの評判が高いことから、多くのファンを標的にすればユーザーの個人情報を収集できる可能性が高くなると目論んだからです。このときのフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。
フィッシングサイトは Facebook を標的としており、フィッシングページの左下で、この映画のミュージックビデオが再生されます。フィッシングページのメインコンテンツには楽曲の広告が表示され、ソーシャルネットワークのプロフィールにカスタムグラフィックの「スキン」を追加する機能があると説明されています。ページではさらに、ログインすればヒット曲を再生できるほか、追加の機能も利用できると説明して、ソーシャルネットワークのログイン情報を入力するように要求します。しかも、「インドで最高の音楽サイト」と称賛するニュースのリンクまで用意されています。
このほか、このページでは次のような偽の機能も売り文句になっています。
攻撃者は、ユーザーを欺こうとしてあらゆる手段を模索したようです。ログイン情報を入力すると、フィッシングページから Facebook 上の正規の音楽アプリケーションページにリダイレクトされます。このように正規の関連アプリケーションページにリダイレクトするのは、有効なログイン処理が実行されたと信じ込ませるための手口です。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
Facebook と連邦取引委員会(FTC)は、フィッシング対策として以下のサイトを用意しています。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。