文法や言葉遣いを確認すると、偽の警告だと気付きやすい
問題の警告を装った偽メッセージは、メールで届いた。当然ながら、本物のXからではない。「『あなたのページ』でXコミュニティガイドラインに関するコンテンツが違反している(A content regarding X Community Guidelines has been breached on you page)」と主張する文面となっており、最初の危険信号は即座に見て取れる。文法を見ればよい。プロの組織からの正式なサポート連絡が、こうした誤りを犯すことはあり得ない。
率直に言って、AIで作成されたフィッシングキャンペーンの時代に、これほど出来の悪い、お粗末な作りのゴミのような文章がいまだ送られていることに、私はかなり驚いている。
「対応する」ボタンを押してしまうと、不安を煽る説明とともにパスワード入力を要求される
ただし、こうした「攻撃の自白」ともいえる文面や、送信元アドレスがX.comドメインをなりすますための稚拙な試みであることも見落としてしまった場合、「対応が必要だ」という主張に不安を煽られるかもしれない。「この結果に異議がある場合は、さらなる審査を求めるリクエストを提出できます」と書かれた文面を受け取り、大きな「対応する」ボタンを押してしまうのだ。そうなると、話は一気にそれらしくなる。コンテンツ違反を説明するページが表示され、違反内容には次のものが含まれると説明される。
・著作権で保護された素材の無断使用
・透かしおよびクレジット表記の削除または改変
・適切な許可なしでの保護コンテンツの配布
どれも非常に不安をかき立てる内容で、正直なところ信じてしまいそうでもある。さらに、「24時間以内に対応しない場合、すべてのコンテンツ、フォロワー、アカウント履歴を含め、アカウントは永久停止となる」との警告が続く。
もちろん「対応」にはアカウント保有者であることの確認が必要であり、そのためにはパスワード入力が求められる。入力してしまうと、攻撃者に盗まれてしまう。いわば、“アウト”だ。
Xは、偽のメールの削除と添付ファイルを開かないことを推奨
Xのヘルプセンターは、「(偽のメールを受け取った場合は)そのメールを受信箱から削除してください。決して添付ファイルを開かないでください」と推奨している。そしてリンクもクリックしてはならない。Xは「Xが、添付ファイルの付いたメールや、利用者にパスワードを要求するメールを送信することはありません」としている。
パスキーを使うよう設定し予防する
これに付け加えるなら、パスワードではなくXのパスキーを使うよう切り替えるべきだ。そうすれば、こうしたパスワード収集型の攻撃に対する追加の安全性が得られる。Xでパスキーを設定し利用する方法はこちらで確認できる。
