ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口
2007年04月06日 公開
これはひっかかった・・・
先日、WEBセキュリティの会社に勤める友人と会った。
私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの?何に気をつけたらいい?と聞いてみたんです。
彼の話は面白い話でいっぱいだった。
例えばYouTubeの上のような画像。
この中心の再生ボタンを押すと、ウィルスのダウンロードが始まるプログラムも見せてもらったが、これはかなり引っかかる・・・。
もう一つ、私がひっかかりそうなものとして『Bボタンフィッシング』を教えてくれた。
Bボタンフィッシングとは何?
記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。
何気なく私はそれを利用したりしている。
↑これのこと
彼がサンプルとして作ってくれた物を試してみた。
Bボタンをクリックすると次の画面が出てくる。
『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
すると次の画面へ飛ぶ。
ここで、ブックマークの追加を押すと、実際にきちんとブックマークが出来るところがまた恐ろしい。
見事な流れにフィッシングに気づかなかった
よくよくはてなの画面を見るとURLが全然違う画面が一つだけある。
それはログイン画面だ。
ログイン画面に入力した内容を、サーバーにあるテキストファイルに書き込むプログラムが仕込まれている。
ホスト名、IPアドレス、ブックマークした時間。
サーバーには、このログインIDとPASSを保存するログファイルがあり、ここに書き込まれる。
そのあとの仕組みもいやらしい
はてなブックマークする画面というのは次のアドレスだ。
http://b.hatena.ne.jp/entry/http://ここにブックマークする記事のURL
これでブックマーク直前の画面にいく。
だから偽ログインが終わったあと、上のアドレスのブックマークURLにジャンプすると、きちんとはてなでブックマークが出来るのです。
ちょっとややこしい話になるかもしれないけど
簡単にばれないような細工もある。
例えば、偽アドレス
http://nisemono90.com/89.html
という記事をブックマークしようと、偽ブックマークボタンを押すと、偽ログイン画面が出て、入力を求められる。
ログインして本物のはてなページへ飛ぶと、次のアドレスをブックマークしようとしている。
http://nisemono90.com/demo.html
つまり、はてなに登録するURLは、正常なフィッシングの仕掛けのない記事を使い、フィッシングするページはブックマークされないようにするシステムだ。
一応、ネタ用に作ってくれたものなので、このシステムは既に削除されていることをあらかじめご了承ください。
これはもしかしたら私も引っかかるかもしれないなと感じ、悪用厳禁で、自己防衛のために覚えておいていただければなと。
あとがきつけたし
朝方書いた記事で時間がなかったため、ブックマークIDを使うとどんなことをされるのかも聞いていたのですが書ききれませんでした。
続きは2007年4月6日中にアップいたしますので、どうかご勘弁くださいますようおねがいします。
さらにつけたし
続きをアップしました