最終更新日:2007.06.13
webmaster@kototone.jp
こととねは、クリエイティブ・コモンズ・ライセンス(表示 - 継承 2.1 日本)の下でライセンスされています。
私の利用している写真共有サイトFlickrにおいて、フィッシングが問題になっているというというのはユーザーにおいてはもはや知られた話で、というのもログインして自分のホームを開いてみると、PLEASE READ THIS IMPORTANT SECURITY NOTICE.なんていう文言が、おどろおどろしく赤字の太字で掲載されて、そのリンクをば開いてみれば、Flockrはダウンロード用のフォトパッケージを作成したり、またログイン中のユーザーに対して再度パスワードを要求することはないから気をつけろみたいなことが書いてあります。一見してFlickrと思えるページであっても、まずはブラウザアドレス欄のドメインを確認するようにという案内です。
これ、つまりFlickrのブランドを利用して、マルウェアをダウンロードさせたりあるいはユーザーIDとパスワードを盗んだりしようとしている連中がいるってことですよね。特に後者に関しては、フィッシングといわれる類いの行為で、そして今回私が遭遇したのもまさにこうしたケースでした。
私はFlickrに写真をアップロードするのに、Flickrの提供するアップデートツールを使っているのですが、つまりいちいちブラウザでページを開くことなく、まとめてその日撮った写真を公開しているわけです。けれどこのツールには不都合もあって、それは写真の回転に関しては未対応であるという点です。なので、後からFlickrにログインして写真のローテートをしてやらないといけない。そして、この作業中に事件は起こったのです。
公開したての写真のひとつに、コメントがついていたのです。その文言は**
Golden Flickr Award. ** Click Here
という非常にシンプルなもの。で、このClick Hereというのがリンクテキストになっていて、ここをクリックすると、プライベートフォトがどうたらこうたらという表示、そして再ログインが要求されるのです。
ここで私はこれが問題のあるページとは思わず、あれ、なぜログインしてたのに再ログインが求められるのだろう、セッションでも切れたのかな程度にしか思わず、セッションが切れるということはクッキーが渡せないってことだろう、ということはドメインが変わったのかと思ってURIを確認。そうしたらそこにはIPアドレスが記載されて、見覚えのあるwww.flickr.comではないのです。あ、おかしいと思った私は、IPアドレスを削除して、Flickrのドメインを入力、そしてエンター。同じページが表示されたらそれでよし、もしそうでなかったらフィッシングであろうと思ったのです。
そうしたら、ドンピシャ。こりゃフィッシングです。なのでClick Hereを再度確認したら、最近はやりのURIリダイレクトサービスが出てきました。これなにかといいますと、長くて覚えにくいURIを人に伝える場合に利用するものなんですが、こうしたサービスを、悪意あるページへの踏み台として利用しているんですね。いやあ、こりゃああくどいねえ。
発見したら報告しなければなりません。なので、Flickrのページ下部にあるリンクからアビューズ報告のフォームにいきまして、そうしたらちゃんとフィッシングに関するカテゴリが用意されているんですね。なので、必要事項を簡潔にまとめて、自分の写真に対するコメントがどうやらフィッシングサイトに誘導する目的のものらしいことを説明、リダイレクト用のURIとフィッシングページのURIを添えて、またこのコメントをポストしたユーザー名とコメント全文も引用し、加えてこのユーザーがフィッシングの被害者である可能性を示唆、悪意あるコメントは削除済みですというコメントもつけて送りました。
正直、同様の報告は他からもあがっていたのではないかと思うのですが、というのもこのコメントを書いている最中に、すでにフィッシングページへのアクセスができなくなっていたからなのですが、Flickr当局がなんらかの対処をしたとしか思えないんですね。サーバ管理者に連絡を入れたかなんかでしょうか。とにかく今回の件に関しては、被害が無用に広がることはもうないと思います。
フィッシングが問題になっているのは以前から聞き及んでいたところですが、しかし自分がそれに巻き込まれるとは思っていませんでした。仮に私がYahoo !のIDをとられたところで、被る損害といえばFlickrくらいしかないわけであるのですが、けどそれで被害は充分以上でしょう。いや、でもしかし危なかった。もし今日の私が注意深くなかったら、引っかかっていたかも知れないと思わせる事例であって、今後も気をつけておかないといけないなと改めて思い直させる事案でありました。
なので、この記事を読まれた方も是非ご注意なされますよう。Flickrに限らず、あらゆるサービスにおいて起こりうるのがフィッシングです。どうぞお気をつけください。