Googleアカウントを狙った、「ニセログインサイト」が確認されました。セキュリティ企業のシマンテックが、こちらのブログ記事で報告しています。

個人情報を盗むため、有名サイトに似せた「ニセサイト」は他にも多数確認されています。しかし、今回見つかった「ニセGoogleログインサイト」は、その中でも極めて完成度が高く、見分けることが難しくなっていました。

では、具体的にどのような仕組みになっているのでしょうか。少し見てみましょう。
　

ほぼ完ぺきな画面

まず、ニセログインサイトの見た目についてですが、ぱっと見全く本物と見分けがつかないように作られています。

これを見て、「ニセサイトである」と判断するのはほぼ不可能でしょう。

Googleの中にある

しかし、どんなニセサイトも、URLという偽装不可能な部分があります。そっくりにすることはできても、全く同じにはできません。

ところが、今回見つかったニセサイトは、この問題すらクリアしてしまいました。URLも、Googleそのものなのです。

というのも、この「ニセログインサイト」は、Googleドライブの中にファイルとして保存されています。そのため、アドレスがGoogleドライブそのまま。

Googleドライブにアクセスしてこの画面が出ることは、全く違和感がありません。そのため、ニセサイトにアクセスしていることに、極めて気が付きにくいのです。

木を隠すなら森の中、とはよく言ったものですね。Googleのニセサイトを隠すならGoogleドライブの中...でしょうか。

入力後も気づきにくい

もし気付かずにメールアドレスとパスワードを入力してしまっても、ニセサイトであったとすぐに気がつけばまだ大丈夫です。パスワードを変更すれば、乗っ取られる心配はほぼありません。

しかし、ニセサイトの作者は、その点もしっかりとカバーしていました。ここでIDとパスワードを入力すると、本物のGoogleドライブが開くように作っていたのです。

そのため、「IDとパスワードをニセサイトに入力した」ということ自体にも、気づくことが難しくなっています。これは、本当によく考えて作られているとしか言いようがありません。すごいぜ犯人...。

「二重認証」を使おう

今回のニセログインサイトは、完成度が高すぎます。何気なく使っていたら、まず気づくのはムリでしょう。

とりあえずできることといえば、リンクを開いてログインページが出てきたら注意する...。ぐらいでしょうか。

しかし、一番安全な方法は、「Google二重認証」（詳しくはこちら）を使うことです。これさえあれば、アドレスとパスワードが盗まれても、乗っ取られる可能性が極めて低くなります。

筆者は使用していますので、皆さんもぜひお試しください。

巧妙なフィッシング詐欺の標的になった Google Docs ユーザー[シマンテック via INTERNET Watch]

（コンタケ）