オンラインセキュリティ会社のシマンテックはGoogle Docsを騙ったフィッシング詐欺に注意するよう、ブログで呼びかけました。
GoogleやYahoo!を装ったフィッシング詐欺は今まで山ほどありましたが、今回はかなり凶悪です。フィッシング詐欺かどうかを見抜くには、SSLという証明書を見るのが一番です。例えば、Amazonのログインを行うURLを見ると、https://から始まるようになっています。これはSSLサーバー証明書によって、安全が保証されたものです。
フィッシング詐欺を行っているサイトの多くは、こうしたSSLが発行されておらず、ログイン画面はhttp://という通常のURLになっています。
今回のGoogle Docsユーザーを狙ったフィッシング詐欺のログイン画面はGoogleドライブで作成されており、SSLの証明書が発行された形のログイン画面に見せかけているのです。見かけもGoogle Docsのログイン画面と酷似しており、URLを見ない限りは見抜くことが非常に難しくなっています。
上が偽のログイン画面、下が本物ログイン画面です。簡単には見抜けませんよね。
(偽のログイン画面、シマンテックから転載)
(本物のログイン画面)
シマンテックは、このフィッシングのメールの件名は「Document」と簡潔な一単語で、これも引っかかりやすさを増長していると言います。Google Docsからのドキュメント共有メールは、このような形で送られてきます。
- 送信者 : 共有した人の名前(Google Docs)
- 件名 : 共有されたファイルの名前(共有元のメールアドレス)
- 内容 : アイテムを共有したのでお知らせします 共有されたファイルの名前 Google ドライブ
Googleのログイン情報はGoogle PlayやGoogle Walletなどに結びついており、アプリを購入したりオンライン決済を行うことができるため、フィッシング詐欺を行う者にとっては非常に”美味しい情報”です。メールやURLに不審な点があったら、開かないようにしましょう。
ちなみにシマンテックは、このフィッシング行為をブロックできるとのことです。
(Photo: Fish Population Monitoring by USFWS Mountain-Prairie)