IPAの「今月の呼びかけ」

IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、Twitterなどの最近、流行するインターネットサービスについて注意を喚起している。

Twitterも攻撃の対象に

最近、流行しているインターネットのサービスの1つにTwitterがある。ミニブログサービスなどとも呼ばれ、140字以内の短いメッセージを発信することで、ゆるやかなコミュニケーションを行うものである。最近では、有名人や政治家なども利用している。また大手企業などでは広報活動にも利用しており、趣味に留まらずTwitterをビジネス利用する動きも活発である。

Twitterの基本的な仕組みは、利用者がそれぞれ思いついたことなどを「ツイート(つぶやき、投稿)」する。そして、他の利用者の「ツイート」を見るための「フォロー」という仕組みがある。具体的には、自分の好きな芸能人を「フォロー」しておけば、その芸能人の「ツイート」を、自分の「タイムライン(ツイートの一覧表示機能)」ですばやく読むことができる。有名人などでは、非常に多数のフォローワーを抱えることもある。最近になり利用者が増え、その人気も高まっている。となると、悪意を持った攻撃者にとっても格好の攻撃対象となりうるのである。

【第一段階】攻撃者Xが、攻撃対象者のAさんを「フォロー」する。フォローする際には、Aさんの許可は必要ない。Aさんは、Xから「フォロー」されたことを知ることができる。

【第二段階】Aさんも、自分の知らない相手である、攻撃者Xを「フォロー」する。これは一般的に「フォロー返し」と呼ばれ、あまり注意を払わずに行われている行為である。

【第三段階】互いにフォローすることで、Aさんの「タイムライン」に、攻撃者Xの「ツイート」が表示されるようになる。攻撃者Xは、興味を引くような文章とともに、罠のURL(リンク)を「ツイート」する。ここで、Aさんが罠のURLをクリックすると、ウイルスに感染させられてしまう危険のあるWebサイトに誘導されてしまう。

これが、最近の手口である。利用者を騙し、ウイルスを感染させようとしているのである。実際にIPAには、そのような相談も寄せられているとのことだ。

Twitterにおける注意すべき行為

IPAでは、Twitterを利用するうえで、注意が必要な行為をあげている。上述の手口と合わせ、ぜひ確認していただきたい。

簡単に「フォロー」をしてしまう行為

Twitterは「フォロー」をしないと(されないと)、サービスを使う魅力は半減するかもしれない。しかし、相手を確認もせず「フォロー」してしまうと、上述の手口ように攻撃者を簡単に招き込んでしまう可能性がある。特に「なりすまし」による詐欺などに注意が必要となる。有名人や有名企業などのなりすまし行為は従来からある手口で、偽物と知らずに、フィッシング詐欺サイトなどに誘導されて被害に遭う可能性もある。Twitterでは、政治家や芸能人の偽物の存在が問題となっており、芸能人を「フォロー」したと思っていたら実は偽物で、騙されて偽のコンサートチケットを購入するなどの詐欺被害も想定される。

他者の「ツイート」に書かれているURLをクリックしてしまう行為

他者の「ツイート」に書かれているURLを簡単にクリックしてしまう行為は、「身に覚えのないメールの添付ファイルを開く」、「ブログや掲示板に書かれているリンクをクリックする」などと同じく、非常に危険な行為である。Twitterでは、140文字という制限があるので「短縮URL」が使われる。本来のURLを短縮して表示する仕組みである。しかし、短縮化されることで、クリックするまでどのようなWebサイトに誘導されるかわからず、ウイルスを感染させようとするようなWebサイトへ誘導される可能性もある。

Twitterを安全に使うための対策

なりすましを見抜くことは決して簡単ではない。しかし、「フォロー」する相手が芸能人や企業であれば、所属会社や各企業の問合せ先、公式Webサイトなどで確認することが可能である。見知らぬ他者とコミュニケーションを行う際には、相手が悪意のある人物かもしれないという可能性を否定できないことに注意すべきだ。そして、短縮URLをクリックする前に、短縮URLを本来のURLで表示するツールやサービスを使用し、URLの信頼性を確認するといったことも必要となる。上述した個別の対策以外にも、脆弱性の解消やソフトウェアをつねに最新の状態に保つといった基本的な対策も施してほしい。

インターネット上のサービスには、SNS(ソーシャルネットワーキングサービス)のようなサービスも人気が高い。しかし、これも「知人」や「知り合い」といった人間関係を悪用されて、被害に遭うことが想定される。その最大の理由は、「知人」や「知り合い」という安心感から、注意力が働きにくくなることである。しかし、悪意を持った攻撃者は、その隙を狙っているのだ。

最後にIPAでは、Twitterの攻撃手口は、従来のサービスであるブログや掲示板、メールでも発生していたもので、「新しいサービスだから大丈夫」ということはないとしている。利用者に便利で人気のサービスであれば、悪意ある攻撃者もそうしたサービスを悪用することを理解するとともに、基本的な対策を実施したうえでサービスを利用すべきと注意を喚起している。