アクセス数世界6位のサイトのなりすましがパスワードを盗難!
「なりすましサイトによる被害」というと、「ちょっと見るとすぐにおかしいことが分かる画面で情報を盗み取ろうとするサイトだな」という認識を持っている方は多いかと思います。しかしながら、本物サイトと全く同じに見えるなりすましサイトによって、大規模な被害が発生しました。それも、世界で6番目にアクセス数が多いサイトにおいてです。
「1文字だけ違うURL」で起こったなりすまし被害: Reddit
2018年2月に、アメリカ人のセキュリティー専門家であるAlec Muffectt氏は、世界で6番目にアクセス数が大きいサイトである”reddit.com”のなりすましサイトがあることを発見しました。reddit.comは、誰でも自由に書き込める掲示板とソーシャルブックマークを合わせたサイトで、英語圏では圧倒的な人気を得ています。このサイトのなりすましサイトである”reddit.co”は、ドメインが”com”ではなく”co” (コロンビアのドメイン) となっていて、一文字短い以外は、本物の”reddit.com”と全く同じ見栄えのサイトとなっていました。
なりすましサイトである”reddit.co”が、大規模に自サイトへの流入を呼び込んでいたという形跡はありません。しかしながら、世界で6番目の大きいサイトであるため、相当数のユーザーがURLを直接入力してサイトを訪問していると考えられます。こうしたユーザーがうっかり”com”と入力すべきところを、”co”と入力してアクセスしてしまった場合、なりすましサイトに簡単に接続してしまうのです。
なりすましサイトの”reddit.co”は、redditのログイン画面で入力されるID,パスワード情報を盗み取っていました。なお、redditではログインIDはメールアドレスではなく、「redditが自動で付与するID名 (単語2つの組み合わせ)」、もしくは「自分がつけたID名」のいずれかを利用することができます。
ユーザーが、例えば”WestsideConclusion”というような「redditが自動で付与するID名 (単語2つの組み合わせ)」を利用するのであれば、他のサービスで同じID名を利用している可能性は低いと考えられます。しかし、「自分がつけたID名」を利用する場合は、同じID名を他のサービスで使い回している可能性があります。なりすましサイト”reddit.co”を運営していたハッカーは、こうした情報を詐取し、他のサイトに不正アクセスして情報やお金などを盗み取ろうとしているものと考えられます。
フィッシング詐欺からどのように情報を守るべきか
ITセキュリティーの専門サイトには、こうしたフィッシング詐欺からどのように情報を守り、攻撃を受けないようにするかについて多く情報が掲載されております。この中で、特に有用な点をピックアップいたしました。いずれも基本的な点です。
1.クリックする前に確認する
現在見ているサイトから他のサイトに飛ぶリンクをクリックするとき、またはメールに掲載されているリンクをクリックするときに注意すべきポイントです。自分が現在アクセスしようとしているサイトは安全なサイトなのか、リンク元ならびにリンク先は信頼できるのかを、常に確認するようにしましょう。特に、普段はアクセスしないサイトや、普段受け取らない宛先からのメールには要注意です。
なお、クリックするリンクが安全かどうか不安である場合は、そのリンクを右クリックして「リンクのアドレスをコピー」し、メモ帳などにペーストすることで、リンク先のURLを確認できます。
2.サイトが「https」であることを確認する
https は、そのサイトがインターネット認証局からの認証を得ており、あなたのパソコンやスマートフォンとサーバーの間で通信が暗号化されていることを示しています。よって、これらが担保されていない http のサイトと比べると信頼性が高いのです。
サイトが https か、http かを確認するには、ブラウザのアドレスバーを確認しましょう。「保護された通信」という表示があるか、緑色の鍵のマークが表示されていれば https です。もしこれらの表示がない場合は、http である可能性が高いです。念のため、URLをコピペして、URLのはじめが http なのか、https なのかを確認することをお勧めします。
3.ファイアウォールを利用する
OSに標準で搭載されている、ソフトウェアのファイアウォールの設定がONになっているかどうかを確認しましょう。ソフトウェアのファイアウォールにより、不正なアクセスであるかどうかをある程度見分けることが可能です。
なお、予算的に余裕のある企業であれば、ソフトウェアのファイアウォールに加えて、ハードウェアのファイアウォールを設けることで、よりセキュリティーを向上させることができます。
4.最新バージョンのOSやブラウザを利用する
フィッシング詐欺を行うハッカーは、OSやブラウザの脆弱性をついて情報を盗み取ろうとします。特に、過去にOSメーカーなどが公開した脆弱性情報に基づいて攻撃を行う場合が多くあります。最新バージョンのOSやブラウザであれば対応済ですが、古いバージョンを利用していると攻撃を受けてしまう可能性があるため、大変危険です。
よって、OSのアップデートモジュールが配信されたらできるだけ早くに導入し、ブラウザについても速やかに最新版を使うようにしましょう。
5.ウイルス対策ソフトを利用する
企業であれば当然導入されているウイルス対策ソフトも、個人であったり、モバイルとなると導入率が下がります。OS付属のウイルス対策機能、セキュリティ機能だけでは十分ではないため、ハッカーの攻撃から端末内の情報を守るためには、ウィルス対策ソフトの導入を推奨いたします。
当社トラスト・ログインはフィッシング詐欺にどのような効果があるか
最後に、クラウド型IDパスワードシングルサインオン製品 (IDaaS: Identity as a Service) である「トラスト・ログイン」がフィッシング詐欺の防止にどのようにお役に立つかご説明いたします。
IDaaS製品の多くは、登録したログインURLに対してのみIDパスワードを自動入力する機能を備えています。つまり、今回のredditのケースであれば、”reddit.com”のパスワードを登録しておくことで、パスワードを登録していない”reddit.co”というサイトは怪しいサイトであることがより明確になります。
上記の基本的なフィッシング対策に加えて、IDaaSによるIDパスワード管理を併用頂き、貴社ならび社員をフィッシング詐欺から守って頂ければと思います。