パスワードを盗まずにアカウントを乗っ取る、新型フィッシングの恐ろしすぎる手口は、本当に怖い手口である。偽サイトに誘導してパスワードを盗むというのが従来の手法だったが、この手口はそうではない。マイクロソフトのOffice365の正規のサイトにログインさせるが、そのURLの後ろの方に、余分なパラメータがあり、それによって不正なアプリをインストールさせるという手法らしい。
　その機能は、ユーザーの利便性を考えてのことらしいが、これを逆手に取れた形だ。まあ、アプリをインストールしますか、というダイアログが出て行くるので、そこをキャンセルすればいいのだが、マイクロソフトのドメインのURLには入って出てくるダイアログだと、ついYESを押してしまうだろう。
　まあ、教訓は、メールのリンクは使わない、怪しいサイトは見ないということだろう。結局、入り口で防御するしか他はない気がする。
　そういえば、先日、appleと称するところから、アカウントロックしないために、ログインしてくれというメールが来ていた。どう考えてもフィッシングメールだ。