英Sophosは24日、Twitterアカウントを盗みとろうとするフィッシング攻撃で送信されてくるダイレクトメッセージ(DM)について、 「君の名前でググってみたら、面白いものが見つかった……」(原文は英語)で始まる新たな文面の事例を報告した。 DMでは、その面白いものを保存してあるとしてリンクをクリックさせ、偽のTwitterサイトに誘導。 Twitterのセッションがタイムアウトしたものと勘違いしたユーザーが、自分のユーザー名とパスワードを入力してしまうことを狙っている。 これに万一ひっかかってしまった場合は、攻撃者によってTwitterアカウントに侵入され、同様のDMの拡散に悪用されるという。 さらに、同じユーザー名・パスワードの組み合わせをTwitter以外のオンラインサービスで使い回している場合は、それらのアカウントにも 侵入されることが想定される。 ただし、ひっかかってしまったユーザーに対しては、パスワードを変更するだけで済ませてしまってはいけないと、Sophosの技術コンサルタント であるGraham Cluley氏は強調する。 パスワードについて真剣に見直すいい機会でもあるとし、強固なパスワードの作成方法の例を紹介している。 具体的には、辞書に載っているような推測されやすい単語は避けることが重要だと説明。 自分で任意の一文を用意し、各単語の頭文字だけをつなげれば、覚えておくことが可能な反面、一見すると意味のない文字列を作り出せる方法を紹介している。 さらに一部の単語については、「for」の「f」を数字の「4」に、「and」の「a」は「&」や「+」へ置き換えるなどして、アルファベットと数字、 記号が入り交じったパスワードに仕上げる。 「E」を「3」に置き換えるルールも有効だという。例えば、「Fred and Wilma sat down for a dinner of eggs and ham.」という文章から、 「F+Wsd4adoe&h」という文字列を作り出せるわけだ。 http://internet.watch.impress.co.jp/docs/news/20111025_486214.html
