ネットで「ヒヤっとした話」を集めよう 第17回

対策製品で真贋を判定させるのが吉

フィッシングメールと思い込んで「本物の警告メール」を見逃す失態にヒヤリ

Twitter情報漏えいの実際

　2022年8月5日、Twitterのゼロデイ脆弱性を悪用した情報漏洩が発生。結果、540万以上のユーザーアカウント情報が流出しました。Twitter社も公表している事案です。

　この脆弱性は、すでに2022年1月に実施された同社のバグ報奨金プログラムで発見されていました。発見された脆弱性は、第三者が電話番号かメアドをシステムに送信することによって、どのTwitterアカウントに紐づけられたものか判明するというもの。どうも2021年6月のシステム改修によって発生したバグが理由のようでした。

　Twitter社は、脆弱性が発見されたタイミングで調査し、すぐさま修正を施しました。またその時点では脆弱性が悪用された形跡はありませんでした。

　しかしながら2022年7月21日、その脆弱性が悪用されてTwitterのアカウント情報が複数販売されていることが判明します。それを把握したTwitter社が、情報漏洩に該当するユーザーに通知メールを送る事態となったのです。

　脆弱性を利用して流出したTwitterのアカウント情報には、ユーザー名はもちろん電話番号、メールアドレス、ログイン名やプロフィールアカウントなどなどが含まれています。これは標的を絞り込んだフィッシング攻撃に利用されてしまう脅威です。また、本名を隠してTwitterを利用している場合には、第三者がアカウントを特定することも可能になってしまう可能性もあるそうです。

　Twitter社はこの事態を報告すると同時に、該当する可能性のあるユーザーに対して「2要素認証」によるアカウント保護を推奨しています。今回、投稿者さんが遭遇したフィッシングメール（実際には本物でしたが）は、この通知だったと思われます。

対策製品の導入が安全

　送信者のメアドなどは簡単に偽装できるので、フィッシングメールか否かを見分けるのは困難です。ポイントは、受信者に踏ませようとするURLが偽装されているか否か。たいていのメールソフトでは本文中のURLをクリックする前にマウスポインターを合わせることで、リンク先のURLが画面に表示される機能を搭載しています。それを見てニセモノか否かを判断する必要があります。

　でも、そのURLが本物なのか判別できない……というなら、やはりマカフィー リブセーフに搭載されているような「フィッシング対策機能」を利用するべきでしょう。怪しいリンクを踏んだ瞬間、そのジャンプ先が危険と判断されれば、アラート画面が表示されます。

とっておきの「ヒヤッとした話」を教えてください

　アスキーのYouTubeチャンネル特番「ネットでヒヤッとした話～アスキー×マカフィー」からスピンアウトした、「思わずヒヤッとした、ネットにまつわる怖い話」を紹介するこの連載。

　ご自身あるいはご家族が遭遇した体験談、はたまた友人知人から聞いた話でもOK。純粋（︖）なサイバー攻撃から、ネットで交流する上でのリテラシーにまつわるイザコザまで広くお待ちしています。ご応募はこちらから！