フィッシャーが逆手に取るSNSの世界の「信頼」

MySpaceやFacebookといったソーシャルネットワーキングサービス（SNS）が、フィッシャーの格好の標的になっている。

[ITmedia]

　MySpaceやFacebookをはじめとするソーシャルネットワーキングサービス（SNS）が、フィッシャーによる情報収集の格好のツールになっているとし、SANS Internet Storm Centerが警鐘を鳴らしている。

　セキュリティ情報サイトのHa.ckers.orgでは、あるフィッシャーに対するインタビューを掲載した。このフィッシャーは実在のSNSに似せた偽サイトを立ち上げてユーザーのアカウント情報を入手し、広告を利用して収益を上げたり、被害者の電子メールの中からPayPalなどほかのサービスのアカウント情報を探し出し、それらを売り払っていたという。

　このフィッシャーは「最もフィッシングに適したサイトは？」という質問に対し、「ソーシャルネットワーキングサイトだ」と答えている。

　SANSはその背景として、SNSでは信頼のコンテキストが構築されており、フィッシャーの罠に対しても信用しやすい素地があると指摘する（関連記事）。

　先にインディアナ大学がまとめた調査結果によると、知らない人物から受け取ったフィッシングメールに引っかかるユーザーは15％だった。これに対し、SNS上の知人（日本の代表的なSNS、mixiでいうところの「マイミク」）からのメールであるように見せかけた場合、フィッシング攻撃の成功率は72％に跳ね上がったという。

　この状況を利用し、SNSから拾い出した名前や住所といった個人情報をちりばめて、受け手を信用させようとするフィッシングメールも観測されているという。

　また、SNSでは自分自身に関するさまざまな情報を開示することが多い。そうした情報が、組織を狙ったターゲット型攻撃に悪用される可能性もあるとSANSは述べている。事実、CSIS Security Groupが行った実験では、ビジネス特化型のSNS「LinkedIn」にある会社の社員と名乗って参加したところ、2週間と経たないうちにその企業の社員の名前やメールアドレス、その他攻撃を仕掛けるのに十分な情報を得ることができたという。

　SANSでは、SNSのプロフィールで開示する情報を制限する、プロファイルを閲覧できる人物を制限するといった項目を挙げ、ユーザーに注意を喚起。同時に企業に対しても、SNSを通じてどういったリスクが生じる可能性があるかについて啓発を行うとともに、SNS利用に関する実効性あるポリシーを策定することを勧めている。