May 09, 2008

メッセで送られてきたURLを踏んで、その先の何を入れて良いかわからないサイトにもかかわらず、メッセと同じID,passを入力してしまう人が結構いる。

これが普段慎重なタイプでも結構やってしまったりするから驚きだ。

・信頼できる人からのURLで、お勧めの情報なのか？と踏んでしまう。
・もう自分が登録したサービスのことを覚えてなくて、ついつい入力してしまう。

どうやって入力した情報から、他のメッセンジャーリストにURLが送られてしまうのか？がよくわからないのだが、MSN Messengerにサーバ側でログインしてコンタクトリストを取得して、そこに対して送ってるのだろうか？

それともメッセ自体を動かすウイルス？

後者ならウイルス対策ソフトでブロックされるハズだから、限りなくソーシャルハッキングに近い前者なのだろう。

きっと、この仕掛けのポイントは、ユーザーが使っているID,passがあらゆるサービスで同じものになっているということではないだろうか。

思うに、このトラップを踏んだ人がやらなきゃいけないのは、メッセ自体のパスワードを変えることだけじゃなくて、

「このトラップで入力したID,passが使われているサイトのパスワードを全部変える」

べきじゃないのかと思うのだが、どうなのだろう？！
少なくとも海外のメガサービスは注意すべきのような。

実際何が起きてるのかわからないのですが。

OpenIDの普及まで考えてみると、結局、同じID,passを入力しているんなら、一か所を修正すればすべてに反映されるシングルサインオンのソリューションは有利だと思う。

もちろん、シングルサインオンが故にID,Passを気軽に入力しやすくなって、トラップにひっかかる可能性も高くなるのかもしれない。ただ、ブラックリストを作ってブラウザがいくら警告しても踏んでしまう人はいると思うし、別にID,passをサイトごとにバラバラに入力してる現状でも、OpenIDに近い状態にあるからこそ、こういうトラップが有効なのでは？！と考えるとあくまでも、ユーザー側の慣れや意識の方にボトルネックがあるのは今後も変わらないだろう。

追記：
あ、ずばりメッセのID,passを求める画面だったのね。

hagylog | メッセのフィッシングにご注意(～～.fri3ndp1x.info)

英語の説明を読めなかった自分は勝ち組(w

で、このことを数時間、うっすらもやもやと考えてたんだけど、

OpenIDだと「ユーザー登録」が不要になるので、いろんなサービスにそのままログインするアクションになるから、踏むケースは今以上に増えそうな気がした。

##ちなみに、このメッセが僕に送られてきた時にどう思ったか？というと、「あれ、宛先間違えてメッセ送ってきたのかな？！」だった。いの一番に怪しいと思ったわけではない。それだけ、この手口は強力だと思う。