最近はブログやニュースサイトでブクマボタンなんかが付いてるのをよく見かけるが、それを悪用したフィッシング手法があるらしい。へぇ。ブクマに限らずいろんなWebサービス連携に悪用される可能性を秘めてるので、パスワード入力時はちゃんとURLを確認するぜというITリテラシを持った方々もご注意を。
高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
要約すると、外部サイトからブクマしようとするとログイン画面が出て、このサイトは本物。URLも間違いない。ログイン後に自動ジャンプするページが偽サイトで、パスワード間違いの再入力を求める。ここで再度URLを確認せずに、ユーザーの意識は正しくパスワードを入力することに集中してしまうのが人情という巧妙な手口。
この問題はログイン後に自動ジャンプするページをチェックしない正規サービス側の脆弱性が問題なのだけど、本質的にはブクマに限らずいろんなWebサービスに応用が可能だし、星の数ほどあるWebサービスすべての実装が正しいことなど期待できないので、自分の身は自分で守りましょう。パスワードの再入力画面も含めて、パスワード入力時は毎回URLをチェックすること。