米国Twitterは10月28日、ユーザー・アカウントの入手を目的とした新手のフィッシング詐欺を確認したとして、ユーザーらに注意を呼びかけた。

　この日Twitterは、スパム・メッセージに関するTweetにこう記した。「本日、新手のフィッシング攻撃を確認した。Twitterのログイン・ページにアクセスするよう求める不審なダイレクト・メッセージを受け取ったら、絶対に指示に従わないでほしい」

偽のログイン・ページ（クルーリー氏のブログより）

　英国に本拠を置くSophosのコンサルタント、グラハム・クルーリー（Graham Cluley）氏によると、このダイレクト・メッセージには、「hi. this you on here?」というメッセージと、Twitterのログイン・ページに似せた偽サイトへのリンクが書かれている。

　このリンクから偽のTwitterログイン・ページに入り、ユーザー名とパスワードを入力すると、NetMeg99と名乗る人物の空のブログ・ページに遷移するようになっている。このページにはいかなるタイプの攻撃コードも入っていないが、信用することはできないとクルーリー氏は注意を促す。

　「少なくとも現時点では、コンピュータ・ウイルスを広める試みというよりも、単純なフィッシング攻撃のように見える」（クルーリー氏）

　こうしたダイレクト・メッセージを送ることができるのは、Twitterに加入しているユーザーだけだ。そのため、ほかのタイプのスパムよりもユーザーが信じてしまう可能性が高い。また、一度ユーザーをだますことに成功すれば、犠牲者の連絡先全部にダイレクト・メッセージを送信し、さらにフィッシング詐欺を繰り返すことも可能になる。

　昨年以降、Twitterを舞台にしたフィッシング詐欺が相次いでいる。クルーリー氏によると、ハッキングされたTwitterのアカウントが、さまざまな攻撃を行うための重要な起点になるからだという。Twitterユーザーのおよそ3分の1が同じパスワードを使って他のサイトを利用していることから、犯罪者が同じログイン情報を使ってGmailやYahoo!などのサービスにアクセスを試みるわけだ。

　「フィッシング詐欺に引っかかってしまった場合は、Twitterのパスワードだけではなく、他のすべてのWebサイトでもパスワードを変更したほうがよい」とクルーリー氏はアドバイスする。

　ダイレクト・メッセージを使った攻撃はFacebookでも急増中だ。セキュリティ研究者によると、膨大な数の偽パスワード変更メッセージがスパム・ボットネットから送り出されているという。

　この種のメッセージに共通するのは、新しいパスワードが入っていると思わせる添付ファイルが付属していることだ。こうしたファイルを不用意に開くと、Bredolabと呼ばれるトロイの木馬プログラムが起動して、好ましからざるソフトがユーザーのPCにインストールされてしまうという。