Twitterは、昨年マイクロブログサービスを悩ませてきた多数のフィッシング詐欺に対し、ついに積極的な対策を講じることになった。水曜日、Twitterはユーザーをこうした攻撃から守るために設計された独自のフィッシング対策サービスを導入した。この新しいセキュリティ対策は、Twitterのダイレクトメッセージ(DM)(特定のユーザーに宛てたプライベートツイート)と、それに関連するメール通知に重点を置く。TwitterはDMがTwitterを介したフィッシング攻撃の主な発信源であると考えているが、この新サービスを通常のTwitterメッセージに拡張する計画はまだ発表していない。
Twitterのトラスト&セーフティチームのディレクターであるデル・ハーベイ氏は最近のブログ投稿で、DMは今後Twitterのフィッシング対策サービスを経由して「悪質なリンクを検出、遮断し、拡散を防止」するようになると述べた。Twitterがリンクを承認すると、bit.ly、tinyURL、その他のリンク短縮サービスではなく、新しい「twit.tl」URL経由でユーザーに配信される。Twitterはまた、悪質なリンクがメールでユーザーに届いた場合でも、「ユーザーを安全に保つことができる」と主張している。
ソーシャルフィッシング
フィッシング詐欺は、ソーシャルネットワークや金融サイトのログイン認証情報を盗むためによく利用されます。正規ウェブサイトの偽バージョンにユーザーを誘導し、ログインを促します。この種の詐欺では、偽のリンクをクリックして新しい動画をチェックしたり、特定のサービスにログインしてデータを確認したりするよう誘導することがよくあります。偽ウェブサイトは、その後、何らかのマルウェアをコンピュータに挿入したり、正規サイトへのログイン認証情報を盗んだりします。通常、フィッシングメッセージはURL短縮サービスを利用して、偽サイトの実際のウェブアドレスを隠します。
このような悪意のある行為はソーシャルネットワーキングサービスやツールにとって日常的な問題となっており、一部の企業はこの問題への対策をより積極的に講じ始めています。Bit.lyは、フィッシングやマルウェア詐欺対策として、サービスを利用して作成されたすべてのリンクを3つの独立したマルウェアブラックリストと照合しています。Bit.lyはTwitterのデフォルトのリンク短縮サービスです。
Tr.imという別のURL短縮サービスも存在しますが、私が知る限り、フィッシング攻撃の監視方法や監視の有無については明示していません。しかし、ウェブページには、ユーザーがtr.imの疑わしいリンクやスパムリンクを報告できるセクションがあります。TinyURLは、サービスの不正利用防止策を講じているとは公言していませんが、ホームページの下部には、サービスの不正利用を禁止する旨が記載されています。
Facebookは先月、フィッシング詐欺の標的となったことを受け、セキュリティ企業McAfeeと提携し、自動セキュリティシステムを導入しました。この新システムは、悪意のある活動の被害に遭った可能性のあるユーザーアカウントの検出に役立つはずです。しかし、Facebookのマルウェア対策戦略は、少なくとも部分的にはMcAfeeのセキュリティソフトウェアをユーザーに販売することを目的としていることから、期待されたほどの効果を発揮していない可能性があります。
Googleの新しいソーシャルネットワーキング実験であるGoogle Buzzも、フィッシング詐欺に対して積極的に対策を講じていると報じられています。Webpronewsによると、GoogleはBuzzに送信された画像を再圧縮し、Buzz内のすべてのリンクをウェブサイトのブラックリストと照合してスキャンします。また、GoogleはGoogle Buzzのコメントに対してスパム検出と不正使用監視機能も導入していると報じられています。
リストの問題
もちろん、ウェブサイトのブラックリストの欠点は、最新の詐欺サイトを捕捉できるほど大規模で機敏ではないことです。ブラックリストの使用は、現代のウェブブラウザやセキュリティサービスがユーザーをマルウェアから保護する最も一般的な方法であるため、最善の防御策は依然として自分の直感を信じることです。
ソーシャルネットワーキングサイトを通じて、奇妙な表現や迷惑なメッセージを受け取る場合は注意が必要です。また、メールで受け取ったリンクからサイトにログインしないようにしてください。さらに重要なのは、ブラウザのアドレスバーに正しいURLを入力し、ログインしようとしているサイトが本物であることを確認することです。Facebookは、正規のURLについてこちらで簡潔に説明しています。フィッシング詐欺やマルウェアに対する自動保護は非常に役立ちますが、結局のところ、常識に代わるものではありません。
Twitter (@ianpaul) または Google Buzz で Ian とつながりましょう。
