SNSのパスワード強化は基本だが……
それだけでは防げない犯罪もある
SNSのパスワードを強化することは重要だ。生年月日など容易に推測できるものや、短すぎるものなどは、悪意を持った人にたやすく突破されてしまう可能性がある。
米フェイスブックが3月、同社のパスワード漏出問題の影響を受けたInstagramユーザーが「数百万人」規模であると認めた事件を覚えている人もいるだろう(Keeping Passwords Secure | Facebook Newsroom)。
個人情報の流出は、企業や、内部で働いている人のミスで生じることが多い。ユーザーとしては、万が一の場合に被害を最小限に食い止められるようにしておきたい。まず、パスワードの強化、そして使い回しを避けることが重要だと考えられる。
しかし、SNSではパスワードを強化しても防げない問題がある。Instagramで報告されているのが、ログイン情報を盗もうとするフィッシング詐欺だ。ユーザーをだましてInstagramのパスワードを入力させ、アカウントをのっとってフィッシング詐欺をさらに展開する、きわめて悪質なものも見られる。
Instagramの情報をねらうフィッシング詐欺の一つ、「Nasty List(不快なリスト)」と呼ばれる攻撃を紹介しよう。
まず、サイバー犯罪者は、乗っ取ったInstagramのアカウントを介してユーザーのフォロワーに「あなたはNasty Listに掲載されている」というメッセージを送信する。受信者がメッセージから「Nasty List」のアカウントにアクセスすると、プロフィール文にリンクが表示されている。「なぜ自分が“Nasty List”に掲載されているのだろう?」と知りたくなった人が、これをタップするように仕向けているわけだ。
リンクをタップすると、正規のInstagramログインページに似せた、ダミーのページが表示される。被害者がニセのログインページに自分の認証情報を入力してしまうと、サイバー犯罪者がアカウントをのっとり、それを使ってさらに詐欺を宣伝する……という手口になっている。
