Twitter アカウント乗っ取り被害の裏に古典的フィッシング詐欺

トレンドマイクロでは様々なインターネット動向をリサーチしていますが、この数週間で Twitter アカウントの乗っ取りを訴えるユーザが増加傾向にあることに注目しています。具体的には、自身の Twitter アカウントから、自分がフォローしている相手や、自分をフォローしているフォロワー全員に覚えのない DM(ダイレクトメッセージ)が送られていることに言及するものが多く見られています。


図1:アカウント乗っ取り被害を推測させる、覚えのない DM 送信に言及したユーザのツイート例
図1:アカウント乗っ取り被害を推測させる、覚えのない DM 送信に言及したユーザのツイート例

Twitter などソーシャルメディアのアカウント乗っ取りは以前から発生しており、2012年10月には IPA からの注意喚起も行われており、今年にはいってから有名人のアカウント乗っ取り事例なども報道されています。この数週間に増加したと見られる Twitter アカウントの乗っ取りは、以前と同様の攻撃なのでしょうか。トレンドマイクロで追跡調査を行ったところ、”Did you see this pic of you?” などの英文を含むツイートやDM(ダイレクトメッセージ)によって、不審なURLリンクが送られてくる事例を確認しました。ツイートに記載されたリンクをクリックすると、以下のTwitterのログイン画面が開かれます。

図2:メッセージのリンクから誘導される Web サイトの例
図2:メッセージのリンクから誘導される Web サイトの例

一件、英語表示の Twitter ページのように見えますが、実はこれがフィッシング詐欺サイトです。通常の Twitter へのログオンと勘違いして、アカウント情報を入力してしまうと、アカウント乗っ取りに遭うというわけです。しかし、ツイートで送られてきた時は短縮 URL や正規 Web サイトを偽装しているため、正規 URL かどうかの確認がしづらくなっています。また、Twitter などのソーシャルメディアは、スマートフォンなどの環境から利用されることも多くなっています。このため、アクセス後に画面上で URL を確認しづらいケースや、URL を確認できた場合でもフィッシングサイトの URL には「twitter」と勘違いしやすい文字列を含んでいるため、特に不審に思う余裕もなく入力してしまうケースも多いようです。

このように、ここ数週間に増えている Twitter アカウント乗っ取りの裏には、典型的なフィッシング詐欺の手口があることが確認できました。ユーザに送られてくる DM やツイートの内容として、スパムメッセージにありがちな英文が多く確認されています。また、メッセージが日本語化されているケースもありました。

“LOL, funny pic of you”
“Someone posted a funny pic of you lol!”
“HAHAHA you gotta see this!”
“Did you see this funny pic of you?”
「ちょっとこれ見て」
「この写真見て」
図3:この攻撃で確認されている主なメッセージ内容例

また、フィッシングサイト自体の手口としても、紛らわしい文字列により正規 URL との見間違いを誘う、古典的ともいえるテクニックが使われています。

iwtitter
tvvitter
twyitter
tpwitter
twpitter
twyitter
図4:フィッシング詐欺サイトの URL に含まれている「twitter」との見間違いを狙った文字列の例

攻撃の被害として、現時点では Twitter アカウントの詐取のみが確認されています。しかし、今後は不正プログラムの頒布など、より悪質な攻撃内容へと移行する可能性もありますので、一層の注意が必要です。

■乗っ取り被害に遭わないために:
このような被害に遭わないためにはどうするべきでしょうか。基本的にはこれまでのフィッシング詐欺への対策と同様の心がけが必要となります。特に知人、友人からの DM、ツイートであっても含まれている URL を安易にアクセスしないことが一番です。誤ってクリックした場合でも、外部サービスのログイン画面が出た場合は焦って入力しないようにしましょう。そして、必ずサービスに正規の手順でアクセスし、ログインするために、正規 URL を事前にブックマークしておくなどの手段も有効です。

Twitterでは実際に乗っ取り被害を受けてしまった場合の対処方法、また安全な使用のための心がけと対策などをまとめています(https://support.twitter.com/articles/241926-)。参考にしてください。

■トレンドマイクロの対策:
トレンドマイクロでは、今回のフィッシング詐欺サイトのURLを含め、不正なWebサイトへのアクセスをブロックするためにトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の Webサイトの危険性評価技術である「Webレピュテーション」機能を提供しています。Webレピュテーション機能は、「ウイルスバスター クラウド」、Android OS用セキュリティソフト「ウイルスバスターモバイルfor Android」、iOS向け無料ツール「Smart Surfing for iPhone OS」などの製品で提供されています。

また、パスワード管理ツールとして「パスワードマネージャー」を提供しています。パスワード使いまわしていた場合、1つのサービスのアカウントが乗っ取られることにより、他のサービスのアカウントも同様に乗っ取られる危険が高まります。このようなリスクを避けるためには、パスワード管理ツールの活用が有効です。

図5:Web レピュテーションによるフィッシング詐欺サイトのブロック画面例
図5:Web レピュテーションによるフィッシング詐欺サイトのブロック画面例

※解析およびリサーチ:吉川孝志(リージョナルトレンドラボ)