ブックマークIDとPASSが抜かれたぐらいでなんだ?という方の為に
ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口
疑問を抱く方もいるかもしれない。
所詮ブックマークユーザーIDとPASSだという人も居ると思います。
私も思ってましたし。
だから率直に、安易に聞いてみた。
『ブクマ見られるだけだし特に問題ないよね?』
彼はキチンと教えてくれました。
『じゃぁ怖い話してあげるよ』
・・・確かに怖い話を聞けた。
IDとPASSからわれるもの
まず、ソーシャルブックマークサイトにもよりますが、IDとPASSがわれると、最低でもメールアドレスがわれます。
はてなの場合はその他郵便番号と、入力している人なら携帯メールアドレスまでわかります。
さらに抜き取られるのはBuzzurl(バザール)です。
彼は昔バザールにログインして驚いた事がある。
それはECナビというサイトとバザールがユーザーIDとPASSが同じだということでした。
つまり、『お買い物が出来る』事に必要な情報も全て、ブックマークIDとPASSがわかれば抜かれるということですね。
縦長ですが、以下の情報が抜けるそうです。

まぁ・・・完全なる個人情報ですね。
ここでスパマーが喜ぶ理由は、ブックマーク=あなたの人間性を示すもので、あなたのメールアドレス宛に、どんなメールを送れば効果が高いのかがわかるわけです。
普段公開しているブックマークも、あなたのメールアドレスがつくと、価値の高いものに変わるということですね。
ブックマークをハッキングされるとここまでされる
ワンクリック詐欺
あなたのブックマークリストに、そっとワンクリック詐欺サイトをブックマークに追加する手口。
『あれ?こんなのあったっけ?』ポチッでワンクリック詐欺成立です。
トロイの木馬ご案内
ベクターや、窓の杜といったダウンロードサイトの偽サイトを作り上げ、あなたのブックマークにそっと忍ばせておく。
『あれ?こんな便利なのあったっけ?』ポチッでトロイの木馬ダウンロード完了。
インストールするとはれてトロイの木馬インストール完了です。
あなたのメールのドメインをみて攻撃
たとえばあなたがOCNプロバイダを利用しているとして、ふとこんなメールが届いたらどうしますか?
○○○○様
いつもOCNをご利用頂きありがとうございます。
この度、株式会社はてな様より、あなたのメールアドレス、及びユーザー名で2重ログインが確認されたとして、報告がありました。
はてなユーザーID:○○○○
OCNホームページより、あなたのメールの設定をもう一度確認してください。
転送設定や、不振な形跡が有った場合、すぐにご連絡いただけますでしょうか?
なるべく早急な確認をお願いします。
http://www.ocn.ne.jp/
(↑HTML形式で送ってきたメールはこのように表示されていても、全く違うアドレスに飛ばす事が可能です)
NTTコミュニケーションズ
担当:○○○○
ご連絡メールアドレス
mailin@ocnnet.biz
メールに書かれているホームページにいくと、フィッシングサイトという例です。
結構こういうの多いらしいです。
人の心理をたくみに操る事ができるスパマーは沢山いるそうで、プロバイダーから連絡が来ると、まず電話しようとする人は居ないそうです。
また、それ以外のサイトからの勧告を受けましたという内容で表示して、あたかも信憑性のあるような内容でメールをしてきます。
このフィッシングサイトにいって、IDとパスワードを入れれば、要するにプロバイダ情報まで抜かれてしまうという結末に。
これはこわい。
メールの内容は彼いわく、もっと巧みなものに進化しているそうで、この例は2006年の例だそうです。
一つの情報が漏れるとその情報を盾に迫ってくる
彼が言いたいのは、一つのIDとPASSが漏れると、その情報を使って巧妙なメールを配信してくるということです。
『あれ、このメールちゃんとユーザー名とパスワードしってるんだな』という理由で安心してしまう方も多いとか。
ECナビの情報から犬を飼っていることまでわかれば、区役所ですと名乗って電話してくることも無きにしも非ず。
というか・・・
彼の話を聞いてるとネットが怖くなる・・・。
あとがき謝罪
筆者と友人はECナビで買い物をしたことはありません。
そのため、公開した情報に誤りがあったことを深くお詫び申し上げます。
usami@ECナビの中の人です。
ECナビは商品を販売していません。あくまでも商品の販売情報を掲載している情報サイトです。もちろんECナビへの会員登録時には個人情報を登録してもらいますが、決済に必要なクレジットカード番号などはとっておらず、『お買い物が出来る』事に必要な情報も全てというのはちょっとミスリードかと。。。
あとBuzzurlから新規会員登録する際にはメアドだけで登録出来るようになっています。(ただその場合、ECナビのアカウントのポイントとは統合できませんが)
との事です。
完全なミスリードをお詫びいたします。