Twitterフィッシング詐欺の手口

やられた! まんまと引っかかった。
私(@rikunora)から、2/21日深夜、怪しげな英語のメッセージの入った Twitter DM を受け取った方、フィッシング詐欺です!
すぐに破棄して下さい、ごめんなさい。
引っかかったのは、以下に書いてある通りのフィッシング詐欺でした。
* 開くな危険!Did you see this tweet about you!?という内容のTwitterフィッシングサイトへ誘導するスパムDMが発見されました
>> http://twitterspam.info/
もしうっかりクリックされた方、対処法は以下の通り。すぐにパスワードを変更しましょう。
* Twitterフィッシングサイトにパスワードを入力した時の対処方法
>> http://twitterspam.info/35
以下、私がまんまと引っかかった、フィッシング詐欺の手口をさらします。

1.最初のきっかけは、Twitter上の友人から送られてきたダイレクトメッセージです。
私は、DMが来たらメールとして受信する設定にしていたので、次のようなメールを受け取りました。

Title: 友人さん (@****) があなたへ Twitter からダイレクトメッセージを送信しました!

                                                                                                                                                              • -

友人さん (@****) からあなた (@rikunora) に Feb 21, 12:31 PM に送られたダイレクトメッセージ

"Did you see this tweet about you!? http://t.co/*****
"

ここで、メール内にある URLをうっかりクリックしてしてしまったのが問題でした。
なぜ、こんな怪しげな URLをクリックしたのか。
それは、この友人が実際に会ったこともある、信頼できる人だったからです。
「まあ、この人から送られてきたのだから、大丈夫だろう」という思いが先に立ちました。
英語のメッセージというのがすごく怪しいのですが、
「モバイル端末か何かで、日本語を打つのがめんどうだったのかもしれない」
などという勝手な思い込みで、あまり深く考えずにクリックしました。

2.URLにある t.co というのは、Twitterが用いている短縮URLです。
つまり、t.co をクリックすると、実際のURLにジャンプします。
その実際のURLというのは、、、
  www.tvvitteri.com
というものでした。
なんか、twitter.com にそっくり。タチの悪い偽ブランド品みたいです。
そして、クリックした先には、、、

こんな画面が出てきます。
この画面は本物のTwitterではなく、偽のログイン画面なのです!
本物そっくり、というか、おそらく本物のTwitter画面をダウンロードして加工したものだと思われます。
実際、画面の下の方にあるリンク、About ·Help ·Blog ・・・という箇所は、本物のTwitterへのリンクが張られています。
[Sign in] ボタンと、右上の [Join Today] の箇所だけが、偽のURLに接続されています。
日本人から見て、最も不可解なのはページが英語版になっているというところでしょうか。
もし1度でも日本語でTwitterを使った人であれば、たいていの場合、日本語のログイン画面になっているはずです。
芸が細かいところは、このページが「Your session has timed out, please re-login.」、
つまり「ログイン時間切れ」のページになっていることです。
突然このページが表示された人にとっては、
 「あれ、ログイン時間が切れたのかな? まあ、いいや。また入り直そう。」
といったことになるわけです。

3.偽のログインページで、本物のTwitterのID,パスワードを入力すると・・・
・・・まんまとパスワードが抜き取られるわけです!
パスワードを抜き取った偽物ログインページは、その後、何食わぬ顔で本物のTwitterにユーザーを送り込んで、仕事終了。
その後、ユーザーは異常に気付かず、普通にTwitterを使うことになります。

4.試しに偽のログインページで、でたらめなID,パスワードを入力したら、どうなるか。

こんなページになりました。これは本物のTwitterのページ(日本語)です。
でも、よく見ると、通常のログイン失敗画面と違って「リクエスト・トークンがありません」というメッセージになっていますね。
本物のパスワード間違い画面は、こうです。

このことから、この「偽物Twitter」の仕組みをうかがい知ることができます。
偽物Twitterは、Twitterのアプリ連係機能を使って、裏側で本物Twitterと連携しているのです。
おそらく、パスワードを抜き取ったら、さっさと本物に処理を引き渡して、自分はおさらばするのでしょう。

5.さて、まんまとID,パスワードを抜き取った偽物は、その後どうするか。
その日の深夜2:00〜3:00にかけて、抜き取ったID(つまり私のID)から、フォローしている人に対して一斉にダイレクトメッセージが送信されました。
こうしてこの偽Twitterは広がっていたのです。
送信時間が深夜であるところが、また注意深い設定だと思いませんか。
つまりこの偽Twitterを仕掛けた相手は、利用者が日本(あるいは東アジア)だということが分かっている、ということでしょう。

6.翌日になって、何人かのフォロワーの方が、変なDMが届いていることを通知してくれました。
私はこれで異常に気が付きました。ありがとうございます、そして、すいません。
その後、パスワードを変更したところ、異常事態は無くなっています。
幸い、設定等が変わっている様子はありませんでした。
あと、TwitterのDMは削除できるので、全て削除しました。

7.さて、この偽Twitterを仕掛けた犯人は、何が目的だったのでしょう。
落ち着いて考えてみると、ただこれだけでは金銭的な利益にはならないと思うのです。
考えられるのは、
 (1) 入手したIDを使って、その後、本物のスパムをばらまく。
 (2) 連携認証を使っている、他のアプリを乗っ取る。
 (3) ID,パスワードを名簿業者に売る。
 (4) ただの愉快犯。
ここで1つ思いつくのは
 (5) 別のサービスでも、同じID,パスワードを使い回している人が多い。
ということ。
Twitterと同じID,パスワードを、他のオンラインショップ等で使い回していませんか?
もし同じパスワードを使い回していたら、すぐに変えましょう。

8.ところで、なぜ私はこれほど詳しくフィッシング詐欺が調べられたのでしょうか。
実はその翌日になって、再び別の人から例のダイレクトメッセージが届いたのです!
今回の記事内容は、この2回目のメッセージを詳しく調べたものなのです。

別の友人さん (@****) からあなた (@rikunora) に Feb 23, 2:13 PM に送られたダイレクトメッセージ

"Did you see this bad tweet about you!? http://t.co/****
"

先日のものと、英文メッセージが少しだけ異なっています。
そして、今度の飛び先は、
  www.ltvvltter.com
というURLでした。
やはり、本物のTwitterに一見そっくりです。
つまり、この相手は1日でURLを変えてきているのです!
現在、本物のTwitterは、偽物Twitterについて対策を打っています。
試しに短縮URL http://t.co/***** から昨日の偽物Twitterにアクセスしようとすると、こんな警告画面が出てきます。

これは、偽物と判明した(あるいは通告された)URLに対して、本物のTwitterが表示している警告画面です。
この画面が出てくれば、さすがに「怪しいぞ?!」と気付くでしょう。
しかし、この警告画面が出てくるのは、本物が偽物に気付いた後なのです。
実際、私が偽のメッセージを受け取った直後には、この警告画面は出ていませんでした。
本物のTwitterが偽物に対応するまでには、どうしても半日程度の時間がかかってしまいます。
偽物は、次々とURLを変えて、本物の対応が追いつかないうちに、新たな被害者を獲得している、ということだったのです。

9.2回目のメッセージから、私は偽物のログイン画面をキャプチャすることに成功しました。
さらに、2回目のドメインのトップページを表示してみたところ・・・

phpinfo画面が出てきました。
phpinfo画面というのは、PHPという言語を用いているサーバの状況表示画面です。
さっそくこれもキャプチャしました。
(ただし、このphpinfo画面の内容が正しいという保証はどこにもありません。適当な目くらましの可能性もあります。)
偽物のログイン画面と、phpinfo画面を、Chromeブラウザでダウンロードしたものを、参考のため以下にZip圧縮して置いておきます
>> http://brownian.motion.ne.jp/memo/FakeTwitterLogin.zip
※注意! 当然ながら、この偽物ログインページ内にあるURLに対して不用意にアクセスしないで下さい!

10.今回、私はこのTwitterフィッシング詐欺に、少なからぬショックを受けました。
このフィッシング詐欺を踏んだときに、私が何をしていたかというと・・・
情報セキュリティのまとめ資料を作成していたのです!
なんと、資料に書いてある通りではないか。。。俺って、ほんとバカ?!
知識の無為をいうものを思い知らされた。

11.さらに後日(2/26)になって、Twitterから、以下のようなメールが届いた。
Twitterは、あなたのアカウント ( @rikunora ) のパスワードをリセットしました。」

rikunoraさん、こんにちは。

Twitterと関係ないサービスやウェブサイトによって、あなたのアカウントが乗っ取られている危険性が高いと判断いたしました。他の人がこのアカウントへアクセスしてしまうことを防ぐため、あなたのアカウントのパスワードをリセットしました。

お手数ですが、新しいパスワードを設定してください。以下のリンクで新しいパスワードを選択できます。

https://twitter.com/account/password_reset?****

もちろん、パスワード再送信ページから新しいパスワードをリクエストすることもできます: https://twitter.com/account/resend_password

以前使ったことのあるパスワードは避け、安全性の高いパスワード (例えば、文字や数字、記号を組み合わせたもの) を使用してください。

注意事項:

  • Always check that your browser's address bar is on a https://twitter.com website before entering your password. Phishing sites often look just like Twitter, so check the URL before entering your login information!
  • 「フォロワーをたくさん増やせます」というようなウェブサイトやサービスの利用は控えてください。気づかないうちにスパムDMやスパムツイートを送って、あなたのアカウントに損害を与えることがあります。
  • 連携アプリの一覧ページhttps://twitter.com/settings/applicationsで許可した連携アプリを確認してください。許可した覚えのないアプリケーションが表示されている場合は、「許可を取り消す」ボタンをクリックしてください。

詳しくは、ハッキングまたはアカウントが乗っ取られてしまった場合についてのヘルプページ https://support.twitter.com/articles/31796 を参照してください。

今度は本物のメールでした。クリック先は、以下のようなパスワード変更画面となっていました。

本物の見分け方:
・メールの場合・・・ヘッダを調べて、確かに twitter.comから来たものであることを確認。
 今回送られてきたメールには DomainKey-Signature、DKIM-Signature が付いていたので、信頼性は高い。
 (もっとも、たとえtwitterから来たメールであっても、乗っ取られたアカウントから来たものはダメ)
・WEBページの場合・・・URL が https://twitter.com であることを確認。
 さらに、URLの横に出ている鍵マークをクリックして、証明書が確かにTwitterのものであることを確認する。