Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

クラファンサイトでフィッシング - サービス内メッセージ機能を悪用

マクアケは、同社が運営する購入支援型クラウドファンディングサービス「Makuake」のサイト内でフィッシング攻撃が発生しているとして注意喚起を行った。攻撃者は同サービス内のメッセージを悪用していたという。

第三者が同サービスの窓口になりすまし、同社とは無関係のフィッシングサイトへ誘導するメッセージを、同サービスのメッセージ機能を通じて送信していることが判明したもの。複数の手口を用いて同社窓口や会員を装っていた。

フィッシングメッセージを送信するため、攻撃者が会員アカウントを新規に作成していることが判明。同社の公式窓口を装ったアカウント名やアイコン画像を設定して、メッセージを送信していた。

さらに同社以外から入手したアカウント情報を用いてパスワードリスト攻撃を行い、ログインに成功した既存会員のアカウントを不正利用するケースを確認。アカウント名やアイコン画像を変更して公式窓口を偽装するケースも発生している。

同社では攻撃に悪用されたアカウントを停止。送信されたメッセージを非表示にした。メッセージ機能においてURLを含むメッセージの送信を一部制限するなど対策を講じている。

利用者に対して、同サービスのメッセージ機能を通じて本人確認や個人情報の入力を求めることはないと説明。今後も手口を変えながらフィッシング攻撃が展開される可能性もあるとし、注意を呼びかけている。

(Security NEXT - 2026/07/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

転職サイトのスマホアプリにPWリスト攻撃 - キャリアデザインセンター
「ミドルの転職」にPWリスト攻撃、不正ログインが発生
学生の複数アカウントに海外から不正アクセス - 千葉大
パスワードリスト攻撃と見られるログイン試行を確認 - WOWOW
ポケモングッズ通販に不正ログイン - 会員情報の改ざんも
約700件のアカウントで不正ログイン被害、ポイント不正利用も - PinT
「ぐるなび」で不正ログイン - 対象会員のPWリセットを実施
配達予定通知など行う佐川急便の会員制サービスにPWリスト攻撃
自治体向け電子申請システムにPWリスト攻撃 - 約400人に影響か
「毎日新聞デジタル」にPW攻撃 - 個人情報の閲覧痕跡なし