フィッシング攻撃のターゲットがWebから情報タンクのSNSへ移行
ターゲットが変わりつつあるようです。単純にWebサイトへ誘導する方が簡単に見えますが、利用者側が注意をしているほどに使えない手口になってしまいます。が、SNSならば大前提として「知らない人と繋がってない」ので、注意度は極めて低く、そこが狙われる場所として最適なのでしょう。
オンライン犯罪を実行する場合,比較的高度な技術を使うことが多いが,その一方で極めて単純な攻撃もよく見かける。好例はフィッシング攻撃である。実行に必要な技術レベルという点で見ると,フィッシングはいろいろな意味で最も程度の低い攻撃だ。事実,出来合いのフィッシング攻撃キットがアンダーグラウンド市場で買えるし(ただし,買う際には用心が必要だ),フィッシング攻撃の各種作業を代行する業者も存在する。
フィッシング攻撃は,主に銀行やその他金融サービス会社のWebサイトを標的にしている。これは意外でも何でもない。フィッシングは金銭目当ての犯罪であり,フィッシング犯の手口を知るには金儲けを意識するだけでよい。ところが1年半ほどの間に,フィッシング犯に狙われるソーシャル・ネットワーキング・サービス(SNS)サイトの例が増える,という興味深い傾向に気付いた。
SNSサイトは,時としてフィッシング犯に金融サービス系サイトよりも大きなメリットをもたらす。理由の一つとして,フィッシング犯がソーシャル・ネットワーク用コンテンツを攻撃に役立つツールと認めるようになったことが挙げられる。例えば,先ごろある人気SNSサイトが一連の攻撃の被害に遭った。この時フィッシング犯は,攻撃に成功したユーザー・アカウントを,そのユーザーの友人ユーザーを狙うための「発射台」として使ったのだ。
事前の準備として、敵はアカウントとパスワード(符号)を盗まなければなりません。結構、簡単なアカウントを使っているケースを多く見受けます。この簡単な符号ですが、SNSであれ、オンラインバンキングであれ、Webメールであれ、どれにおいてもココを突破しなければ先に進みません。ログイン出来ないからです。
この符号は、玄関ドアの鍵と同じ役割を持っているのですが、玄関ドアよりも簡単でずさんな管理しかされていません。仮に、これらの簡単な符号を玄関ドアの鍵と取り替えることが出来るか?と。。。玄関にキーボードが置いてあり、そこで同じ符号をつかるか?と、質問したいのです。
おそらく、ほとんどの方は・・・イヤだ!と思う。これ当然です。
じゃあ、なんで符号はいいのか?そんなに重要でないからでしょう。直接的に重要でなくとも、間接的に重要なものであるとすれば、いかがなものでしょうか?
ただし,SNS向け攻撃だからといって技術的に高度かというと,そうとも限らない。例えば,人気のあるブログ・サイトに掲載される「名前ゲーム」という手口がある。
パスワードリマインダーなど、パスワードリマインダーで戸惑う「ひみちゅ」でも書きましたが、この辺の質問に出てくるような名前をゲームの中で答えている。ゲームとかクイズって、なんだか反射的に答えなければならない、とすぐに喋っている自分がいるのです。条件反射のようです(笑)
このゲームだけならば、それで終わるのです。が、その材料を使って料理することになれば、食材はたくさんあった方が何でも出来るのです。敵は味付けも火加減も心得ているので、オイシイものができあがるでしょう。
今一度、考えること。それは、その先の相手は「本当にあなたが思っている人」で間違いないのか?前回書いた、「あちら側」で話している相手は、本当に人間ですか?も参考にどうぞ。