「DiscordのDMで受け取った画像をクリックするとアカウントを乗っ取られる」という情報について

himarho

はじめに

 結論からすると普段の無駄に危機感を煽るだけのチェーンメールと大差ありませんでした.重大な脆弱性があればTwitterで話題になる前に大手セキュリティ関連のメディアから発表がありますよね!

結論

 「画像クリックで情報を抜き取られる」という事案は,実際のところ「画像からフィッシング詐欺のサイトに遷移し,パスワードを自ら入力することで情報を抜き取られる」従来型のフィッシング詐欺と同等です.これまで通りの注意を続けましょう.

  • パスワード入力の前にサイトが本当に公式サイトかどうか確認しよう!

  • 怪しいサイトでは情報入力を控えよう!

  • 怪しいリンクを踏まないようにしよう!

  • パスワードマネージャを活用しよう! (人間だと本物と見分けがつきづらいURIのサイト回避)

説明

 2022年3月から4月にかけて,以下のようなツイートを発見しました.

Discordで新たな詐欺の手口が流行っています。
ペイロードと呼ばれるプログラムが組み込まれた画像をクリックするだけで即座にアカウントが乗っ取られます。

DMで届いた画像は絶対にクリックしないこと
同様にネタバレと表示されている画像を開く時も注意が必要
#NFT #scam #拡散希望

https://twitter.com/xnc0b2/status/1513687329848045569

 内容としては3月ごろから拡散されていたものでしたが,日本語ツイートで大きく拡散されたのはこのツイートが初のようでした.画像に悪意あるスクリプトを混ぜ込み,意図しない挙動を引き起こすことは不可能ではないので,この情報を見たときはかなり警戒しました.実物を見られたわけでもないので,実際に悪意あるスクリプトが混ぜ込んであるのかどうかなどの確認のしようがなかったのです.

 しかし,続けてこのようなツイートを見つけたことで問題はある程度解決します.このツイートはスレッドで連なっているうちの一部なので,全体については各々に確認していただくとしますが,まとめると,画像による乗っ取りとされたものは,これまで十分に被害と注意喚起がなされてきた事案と同じものでした,

 さて,このスレッドや関連ツイートを参照したところ,情報が拡散した画像クリックにより情報が抜き取られる,Discordアカウントが乗っ取られるとする事案については,「画像をクリックするとフィッシングサイトへ遷移し,Discordのアカウント情報などを入力することで情報を抜き取られる,これまでの対応で十分回避可能なフィッシング詐欺」であると判断できます. 事例報告が少なく,確定できない状況ではありますが,関連ツイートを見る限りではこう判断して差し支えないでしょう.さらに踏み込んで,徒に不安を煽るやや悪質な注意喚起とも捉えられます.ただし,画像からフィッシングサイトへ遷移する際,Discordのスパムリンク警告が出ていないという話も聞きますので,何かしらのDiscordが対策していない技術やブラックリストに入っていないサイトを介している可能性があるため,引き続き注意が必要です.

 なお,「画像に悪意あるスクリプトを埋め込む,Discordクライアントやブラウザの致命的脆弱性を悪用した攻撃」は技術的に不可能と言い切れず,存在を完全には否定できませんが,それはゼロデイ攻撃であり対応が困難です. ゼロデイ脆弱性について考える場合,セキュリティ上絶対に何も問題が起こらないと言ってしまうことは不可能なので,一般的にそのリスクを許容して利用しつつ,大手セキュリティ系メディアから発表があったら直ちに対応するような姿勢が大事です.

おわりに

 今回は未知の不具合でもなんでもない可能性が高かったので安心しました.技術的に起こりうる可能性が低くない「未知の不具合」の情報は拡散されると不安に駆られます.しかし,状況を疑いながら注意深く情報を収集し,ファクトチェックを行うこと,そしてなにより大手メディアの発表を注視することが,不適切な情報拡散を防ぐためにも,自分の身を守るためにも大事だと考えます.

それでは,流言飛語に惑わされず楽しいDiscordライフを!

>2022/4/20:作成
>2022/7/3 03:15:公開

参考文献

この記事にはありません.

脚注

この記事にはありません.

この記事が気に入ったらサポートをしてみませんか?