Twitterユーザーに対する最新のフィッシング攻撃は、一夜にして英国中に広がり、著名なユーザー数名が被害に遭った。
その結果は金曜日の朝、ユーザーが目を覚ますと、侵入されたアカウントに「ねえ、私はこれでもっと良いセックスを長く楽しめるようになったよ」という内容のメッセージが書かれ、その後ろには性機能向上薬を販売するウェブサイトへのリンクが貼られていたことから明らかになった。
影響を受けた人数を特定することは困難ですが、影響を受けた人々の数もあってか、国内のテレビ局やニュースサイトでトップニュースとして取り上げられました。少なくとも国会議員1名とジャーナリスト数名が含まれています。
英国閣僚でエネルギー・気候変動担当大臣のエド・ミリバンド氏は、金曜日の朝、「やれやれ、どうやらツイッターの最新のフィッシング詐欺の被害者になったようだ」とツイートした。このツイートは彼のツイッターから削除された。
ガーディアン紙の音声部門責任者マット・ウェルズ氏もアカウントがハッキングされた被害者の一人だ。彼は「おはようございます。私は女性でもありませんし、最近はセックスがうまくいっているわけでもありません。(もしオファーがあればですが…)初めてTwitterがハッキングされました」とツイートした。問題のツイートはその後も閲覧可能だった。
執筆時点では彼のページに掲載されています。
他の報道によれば、BBC特派員ニック・ハイアム氏と同国の報道苦情委員会も攻撃を受けたという。
一部のアカウントは、脆弱なパスワードを探すソフトウェアプログラムによってハッキングされたと考えられていますが、少なくとも一部はTwitterのダイレクトメッセージを介してハッキングされました。これらのダイレクトメッセージは、若くて魅力的な女性からのメッセージを見るためにユーザーを誘導するものでした。リンクをクリックすると、ユーザーはTwitterのログインページに似た画面に移動し、ユーザー名とパスワードの入力を求められました。
Twitterは木曜日の夜遅く、Twitter Safetyチャンネルにダイレクトメッセージへの注意を促すメッセージを投稿した。「もし熱心な女性からIMで会話したいというダイレクトメッセージが届いた場合は、無視してください。ユーザーは不正アクセスを受けている可能性があり、リクエストはスパムです。」
このフィッシング攻撃は、1週間前にユーザーに「LOL、これあなた?」と尋ねるメッセージが送信された同様の攻撃と似ています。
セキュリティ企業ソフォスのシニア技術コンサルタント、グラハム・クルーリー氏は、これはソーシャルネットワーキングサービス上で今後も続く類のものだと語る。
「ソーシャルネットワーキングのアカウントには金銭的な価値があるのは事実です」と彼は述べた。「スパムやマルウェアの拡散、あるいは物品の販売の足掛かりとして利用される可能性があります。」
TwitterやFacebookなどのサイトのユーザーは、インターネット全体のユーザーよりも安全だと感じる傾向があるものの、同様に注意を払うべきだと彼は述べた。これらのサイトを通じて受け取るメッセージは、必ずしも友人からではなく、アカウントにアクセスできる誰からでも送られてくる可能性がある。
クルーリー氏によると、ソーシャルネットワーキングサービスはフィッシングに対する対応を強化し始めているものの、HotmailやGmailといったウェブベースのメールサービスに比べるとまだ遅れているという。これらのサイトではメッセージやリンクのフィルタリングが頻繁に行われているが、ソーシャルネットワーキングサイトではまだその取り組みが始まったばかりだ。
Twitterでは140文字のメッセージ制限があるため、この問題はさらに深刻化する可能性があります。サイトの正体を隠すURL短縮サービスの利用が促進されるからです。
クルーリー氏によると、最も人気のあるURL短縮サービスの一つであるbit.lyは最近、ソフォスと提携してリンクのスキャンを開始したが、他のサービスはまだ同様のサービスを提供していないところもあるという。金曜日の攻撃で使用されたメッセージの多くは、ニュージーランドのBluesparkが提供するサービスHurl.wsを使って短縮されていた。
「最終的には、フィルタリングを行うのは人間であるあなたです」とクルーリー氏は述べた。「ユーザー名とパスワードを入力するかどうかは、あなた次第です。人々の脳のバグを修正することは、私たちにはできないアップグレードです。」
