ニフティの偽サイトが再発見 複数の個人情報を抜き取る手口に:ログインIDとパスワード抜き取りの恐れ
過去に発見されたニフティの偽サイトが再び出現した。サイトの誘導に沿ってログインIDとパスワードを入力すると、入力が間違っているという画面が表示される。@nifty以外の個人情報も抜き取ろうとする仕掛けが新たに施されているという。
ニフティは11月27日、同社の「@nifty」のサイトを装ってIDやログインパスワードを入力させる偽サイトを発見したとして、ユーザーに注意を促した。
この偽サイトは、@niftyメールのログイン画面に似せた作りで、@niftyのログインIDとパスワードを入力する項目がある。これらを入力すると、パスワードが違うとして再度情報の入力を促す画面が表示される。「違うパスワードを入力させることで、@nifty以外のIDやパスワードを抜き取ろうとする手口」(ニフティ広報)という。
@niftyのサービスでは、ログインしてから一定時間が経過したり、より強いセキュリティを必要とするページにログインしたりする場合には、パスワードの再入力が必要になる。このことを逆手にとって、ユーザーに複数のパスワードを入力させようとする仕組みだ。
@niftyの偽サイトは過去にも発見されており、ニフティは1月31日と10月20日にそれぞれ注意を喚起している。「過去の偽サイトでは、個人情報を入力してログインをすると、ページがつながらない形式だったが、今回はパスワードが違うという画面を表示するもの」(ニフティ広報)に変化しているという。
過去の偽サイトは、フィッシングメールから偽サイトへの誘導をする形式だった。メールの本文には「パスワードの有効期限が切れたので再確認をしてください」といった記述とURLが記載されている。このURLにアクセスすると、偽サイトにつながった。「今回新しい形式の偽サイトは発見できたが、フィッシングメールの確認はできていない」(ニフティ広報)状態だ。
@niftyのログインIDおよびメールのパスワードに有効期限はない。同社は、不審なメールを受け取った時は、@niftyID、ログインパスワードを入力しないようにするほか、パスワードを定期的に変更することを呼び掛けている。
関連記事
- <Update>:UFJカードを装った偽サイトが出現 現在はアクセス制限
三菱UFJニコスなどが発行するクレジットカード「UFJカード」を装ったメールと偽サイトが確認された。現在は同サイトにはアクセス制限がかかっている。 - マルウェア配布が目的:YouTubeの偽サイトを作るアプリ出現
このアプリケーションを使うと本物そっくりのYoutubeサイトが簡単に作成できてしまう。 - PSPやスラムダンクも餌に:「道ばたのペットボトルを飲みますか?」――ワンクリック不正請求にだまされるな
アダルトサイトやゲーム、アニメの偽サイトからの誘導で、不正請求のプログラムを埋め込まれる被害が増えている。攻撃者は、欲に負けてセキュリティ意識が弱まるという“人間の性”に巧みにつけこんでくる。 - ドコモをかたるフィッシング詐欺が再発か
自動ガイダンスのメッセージで個人情報を聞き出そうとするという。 - YouTubeの偽サイト出現、ログイン情報の入手が目的か
偽のWebサイトは正規のYouTubeビデオにリンクさせてあり、ユーザーはだまされていることに気付かない可能性もある。 - ドリームキャストの偽装サイトが出現
シンセキュアは「ドリームキャスト」の公式サイトを装った偽サイトが開設されており、注意するよう呼びかけた。 - イーバンク銀行の偽サイトが出現
フィッシング対策協議会は、イーバンク銀行の偽サイトが確認されたと発表した。 - Hotmailの偽サイトが開設
Webメールサービス「Windows Live Hotmail」の偽サイトが開設されているとシンセキュアが発表した。12日時点で海外の偽サイトを5件確認しているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.