Twitterアカウント盗難被害者に向け、Sophosがパスワードの作り方を指南

　英Sophosは24日、Twitterアカウントを盗みとろうとするフィッシング攻撃で送信されてくるダイレクトメッセージ（DM）について、「君の名前でググってみたら、面白いものが見つかった……」（原文は英語）で始まる新たな文面の事例を報告した。DMでは、その面白いものを保存してあるとしてリンクをクリックさせ、偽のTwitterサイトに誘導。Twitterのセッションがタイムアウトしたものと勘違いしたユーザーが、自分のユーザー名とパスワードを入力してしまうことを狙っている。

　これに万一ひっかかってしまった場合は、攻撃者によってTwitterアカウントに侵入され、同様のDMの拡散に悪用されるという。さらに、同じユーザー名・パスワードの組み合わせをTwitter以外のオンラインサービスで使い回している場合は、それらのアカウントにも侵入されることが想定される。

　ただし、ひっかかってしまったユーザーに対しては、パスワードを変更するだけで済ませてしまってはいけないと、Sophosの技術コンサルタントであるGraham Cluley氏は強調する。パスワードについて真剣に見直すいい機会でもあるとし、強固なパスワードの作成方法の例を紹介している。

　具体的には、辞書に載っているような推測されやすい単語は避けることが重要だと説明。自分で任意の一文を用意し、各単語の頭文字だけをつなげれば、覚えておくことが可能な反面、一見すると意味のない文字列を作り出せる方法を紹介している。さらに一部の単語については、「for」の「f」を数字の「4」に、「and」の「a」は「&」や「+」へ置き換えるなどして、アルファベットと数字、記号が入り交じったパスワードに仕上げる。「E」を「3」に置き換えるルールも有効だという。例えば、「Fred and Wilma sat down for a dinner of eggs and ham.」という文章から、「F+Wsd4adoe&h」という文字列を作り出せるわけだ。

パスワード作成法を動画で紹介する、Sophos技術コンサルタントのGraham Cluley氏

　いかにも相手の関心を引きそうなメッセージをTwitterで送ってフィッシングサイトのリンクをクリックさせる手口は、もう何度も確認されており、Sophosではその文面として「君の面白い写真を見つけた」「君に関するひどいブログを見つけた」「この動画では君はやせて見えるね」（いずれも原文は英語）といったものを報告済み。注意を呼び掛けるとともに、上記パスワードの作成方法を紹介していた。Twitterアカウントを狙う攻撃が相次いでいることから、今回、あらためて紹介しているかたちだ。

【追記 2011/10/26 11:00】
　なお、パスワードの変更を機に推測されにくい文字列に見直すことは大切だが、あくまでもこれはパスワード設定にあたっての一般的な注意点であり、フィッシング攻撃への直接的な自衛策ではないことに留意する必要がある。

　特に今回のTwitterでのフィッシング事例のように、SNSの知人のアカウントを悪用してメッセージを送信することで、相手の警戒心のすきを突いてフィッシングサイトに誘導する手口も多発しているということを十分に認識し、注意深く対処する必要がある。

　また、強固なパスワード文字列を設定したとしても、複数のサービスで同一のパスワード文字列を使い回すことが危険であることも、あらためて認識しておく必要がある。