世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回最初に紹介するのは、クラウドストレージサービス「Dropbox」の偽ログインページを使うフィッシングの話題だ。Dropboxの偽ログインページを使って大手電子メールサービスのアカウント情報を盗もうとする手口が確認されたとして、米シマンテックがブログで注意を呼びかけた。偽ログインページはDropbox上に設置されている。
シマンテックは毎日数百万通というフィッシングメールを観測する中で、Dropboxユーザーを狙ったフィッシングメールを確認した。「important(重要)」という件名で送られるそのメッセージは、ファイルが大きすぎて、あるいはセキュリティ上の理由で電子メールに添付できないため、メッセージ本文に掲載されているリンクをたどってファイルを閲覧するよう促す内容になっている。
しかしリンクをクリックすると、偽のDropboxログインページに誘導される。
偽のDropboxログインページ
偽ログインページは、Dropboxのユーザードメイン上で、画像やファイルなどと同じようにホスティングされ、SSLが適用されている。実際のDropboxログインページによく似ているが、大きく違う点は、複数の大手Webメールサービスのロゴが掲載されている。誘導された被害者はそれら電子メールサービスのアカウントでもログインできると考えてしまうため、詐欺者はDropboxのログイン情報に限らず、Webメールサービスのアカウント情報を手に入れることができる。
ユーザーがパスワードなどを入力してログインボタンをクリックすると、重要情報は乗っ取られたWebサーバーのPHPスクリプトにSSL経由で送信される。このSSL送信が重要なポイントだとシマンテックは指摘する。SSLが適用されていないと、このまま送信を実行してよいか判断を問うセキュリティ警告が表示される。
SSLが適用されていない場合に表示される警告
PHPスクリプトは、アカウント情報を保存あるいは詐欺者に送信すると、ユーザーを本物のDropboxログインページにリダイレクトする。
ページ自体にSSLが適用され、アカウント情報がSSLを使って送信されていても、画像やスタイルシートなど要素がSSLで保護されていない場合、最近の一部ブラウザーでは警告を表示する。警告の見せ方はブラウザーごとに異なり、アドレスバーのカギアイコンを変えるだけのものや、ページの最上部にバナーを貼るものなどがある。しかしこうした警告などは、ユーザーがはっきり気づかない場合がある。
