「DMで偽サイトに誘導」、ツイッター悪用したフィッシングに注意

英ソフォスは2011年10月24日、Twitter（ツイッター）を悪用する新たなフィッシング詐欺が出現しているとして注意を呼びかけた。攻撃者はTwitterユーザーのアカウントを乗っ取り、そのアカウントをフォローしているユーザーに対して、偽サイトに誘導するダイレクトメッセージ（DM）を送信する。

今回確認されたフィッシング詐欺では、攻撃者はTwitterのダイレクトメッセージを使用する。攻撃者は何らかの方法でTwitterユーザーのアカウントを乗っ取り、そのユーザーになりすまして、別のTwitterユーザーに英文のダイレクトメッセージを送信する。

メッセージは、「あなたの名前で検索していたら、とても面白いものを見つけた」といった内容で、あるサイトへのリンクが記載されている。このリンクをクリックすると、Twitterの偽ログインサイトに誘導される（図1）。ここでユーザー名とパスワードを入力すると、攻撃者に送信されて盗まれる。

パスワードを盗まれると、同様のフィッシング詐欺に悪用される危険性がある。攻撃者はそのユーザーになりすまし、前述のようなダイレクトメッセージを送信する。

自分が利用している、別のネットサービスに不正アクセスされる恐れもあるという。同社の調査によれば、8割以上のユーザーは、異なるサービスに同じパスワードを使い回しているという。このため、あるサービスのパスワードを盗まれると、別のネットサービスにも芋づる式にログインされる危険性がある。

このような被害に遭わないためには、パスワードを使い回さないことが重要。万一、自分のTwitterアカウントから怪しいメッセージが送信されていることを確認したら、すぐにパスワードを変更すること。加えて、ほかのネットサービスで使っている同じパスワードについても、すぐに変更する必要があるとしている。

（日経パソコン　勝村幸博）