トレンドマイクロは2020年6月以降、一般に「インフルエンサー」と呼ばれるネット上の有名人のFacebookページが侵害される事例が増加していることを観測しました。これらの事例について調査したところ、過去に乗っ取られたものとみられる偽のFacebookアカウントにおいて、他の利用者をフィッシングサイトへ誘導する以下のような投稿が行われていたことを確認しました。
他の利用者がこのメッセージ内のURLリンクをクリックした場合、以下の図4に示すようなFacebookのログインページを偽装したフィッシングサイトへと誘導されます。偽アカウントを利用する攻撃者は、このようにして誘導したアカウント所有者または管理者から詐取した認証情報を販売するか、あるいは別のフィッシング攻撃を実施するための踏み台アカウントとして利用するものと考えられます。フォロワー数の多いアカウントほど標的にされているようですが、弊社の最新の分析では、1日に平均3つのアカウントが新たに侵害されています。これまでに攻撃を受けているのは、台湾、インド、オーストラリア、カナダ、およびフィリピンの個人アカウントやアカウントページを確認しています。トレンドマイクロでは、既にこれらの分析結果をFacebookに報告しています。Facebookからは、報告されたアカウントを保護するための措置を講じた、との回答を受けています。
■フィッシング攻撃により乗っ取られるアカウントが増加
トレンドマイクロは、同じアカウント名かつ、Facebookの公式アカウントらしく見えるプロフィール写真を使用する偽装Facebookアカウントを推定120〜180個確認しました。ただし、これらのアカウント名には「ə」、「ı」、あるいは「ɾ」など、見た目上はアルファベットにも見える発音記号などの非ASCII文字が含まれていました。
- Prıvacy PoIicy
- Fecebook and PrIvacy
- Fəcebook System Corporation
- Fəcebook Term Of Services Register Center Team
- Fəcebook Sociəl Reconfirm Center Invitation
- Fəcebook Servıce Corporation 01
- Reconfirm Your Accounts
- Re-confiɾm Facəbook
これらの偽アカウントは、「あなたのページは偽装または詐欺の疑いがあるとして、他のユーザによりプラットフォームに報告されました」などと主張する前掲図1のような警告メッセージを自身の偽装ページ上に投稿します。この警告メッセージには、アカウントを認証するために外部リンク先の指示に従うよう誘導する手順も含まれています。
確認ボタンを選択するとユーザは、Facebookを偽装した通知画面およびフィッシングサイトである偽のログインページにリダイレクトされます。明確に危険と判断できる点としては、すべての偽装ページに一貫して見られる文法エラーがあります。
誘導された利用者がユーザ名とパスワードを入力してログインすると、攻撃者は入力された認証情報を窃取してアカウントを乗っ取ります。そして、乗っ取ったアカウントを別の偽アカウントとして使用します。プロフィール写真およびアカウント名を利用者の誤解を招きやすいもっともらしいものに変更し、Facebookの個人用URL(バニティURL)も同じ名前に設定します。
Facebookのポリシーに準拠し、アカウント名が同一であっても、ユーザ名は一意である必要があります。そのためサイバー犯罪者は、ユーザ名とアカウント名を完全に同じになるようにするため、乗っ取ったアカウントに使用される単語を類似するキーワードで再度変更します。しかし、これらのサイバー犯罪者はある問題に直面する可能性があります。乗っ取ったアカウントの数が増加することで、事実上、ユーザ名の並べ替えや選択に使用できる単語の選択肢が少なくなります。そして弊社は、いくつかの乗っ取られたアカウントがユーザ名として「アカウント名-一意のID」の形式を使用していることを確認しました。一意のID部分に使用される文字は、アカウントの作成時にFacebookによって割り当てられるものです。この形式に従うことで、同じアカウント名を他に乗っ取ったアカウントに再度使用できるようになります。
正当なアカウント所有者は、偽の投稿が攻撃者により作成され拡散しているのを目にしてから間もなく自身のアカウントが乗っ取られたことに気付きます。自身のアカウントが乗っ取られた場合、所有者はまず、アカウントのパスワードを変更し、攻撃者によるアカウントへの不正アクセスを阻止した上で、偽のコンテンツの削除やプロフィール写真の変更をすることができます。ただし、アカウントに登録された所有者名が変更された場合、元の名前に戻すのは困難です。この手続きにはFacebookからの手動での確認および指定された一連の基準に準拠させる必要があります。このプロセスにはかなりの時間を要することになるため、Facebookからは、調査結果を待つのではなく新たにFacebookアカウントを作成するよう促される場合があります。
このアクティビティを継続的に監視する中で、これらのアカウントページや偽のコンテンツがそれぞれのフォロワーによって定期的に訪問・閲覧されていることを考えると、今後ますます懸念が高まることが予想されます。
加えて、他の国々のインターネット上でも報告されているように、より多くの著名人がこれらの影響を受けています。そのうち、いくつかのレポートによれば、標的とされた一部著名人のアカウントは取り戻すことができなかった、あるいはさらに悪いことに、乗っ取ったサイバー犯罪者によって転売されてしまったとされています。
弊社は、フィッシングサイトのログインページに利用された外部リンクを確認し、キーワード「notify-07-22」を用いてプラットフォームの検索機能に使用しました。「notify-」は投稿内で共通して利用されたフィッシングサイトのURLの一部であり、残りの「07-22」は警告メッセージが投稿された日付を示しています。検索結果から投稿の1つを選択すると、そこには、誰がその通知を投稿したかが表示されます。
■不審なアカウントを見つける方法
商用、コミュニティ、パーソナリティ、ブランド、あるいは製品やサービスのアカウントページにおいて、これらのアカウントが正規のものかどうかをユーザやアカウント所有者が判断する際、注意すべき4つの確認点を以下に示します。
ユーザ名:正規のユーザ名は、アカウント名と同じである場合がほとんどです。偽アカウントの場合、ユーザ名とアカウント名における双方の関係性が低いことがあります。
概要:このセクションには、アカウントの所有者に関する基本的な情報が提供されていることがあります。ただし侵害されたアカウントの場合、インターネット上で一般に公開されている情報と比較しても疑わしく思われる情報が入力されていることがあります。
ページの透明性:このセクションには、ページが作成された日付や登録時の元の名前など、ページ内で行われた変更履歴が表示されます。
アカウントの写真:アカウント内で確認できる写真は、アクティビティ履歴に反映されている可能性があります。通常、乗っ取られたアカウントには、乗っ取ったサイバー犯罪者がプロフィール画像を変更するために使用する1枚のFacebook用プロフィール写真のみがアップロードされます。
さらに正規のFacebookページには、アカウントが正式にFacebookに所属していることを示すために、それぞれのアカウント名の横に承認バッジが付与されています。
■結論
Facebookのアクティブユーザや各管理者は、それぞれのアカウントで名前が変更されたり、偽のコンテンツがタイムライン上に投稿されたりといった侵害の被害に遭った場合、すぐに気づくことでしょう。そのため攻撃者は、ユーザに気付かれる前にアカウント名の変更やコンテンツの投稿を迅速に行わなければなりません。
さらに、外出規制やテレワークの実践により人々が物理的に距離を取っている現在の状況を考えると、ユーザおよび商用ブランドは、人々とのつながりを維持するためにソーシャルメディアのプラットフォームに依存する可能性が高くなります。攻撃を受けてパニックに陥ったユーザが偽のFacebookからの通知を受け取った場合、通知上の警告に従ってしまうことは容易に想像できます。これらの攻撃の背後にいるサイバー犯罪者は、個人情報を窃取するだけでなく、ユーザの個人用メッセージ上の情報を入手する可能性もあります。
プラットフォームの広告サービスを定期的に利用するブランドにとって、クレジットカード情報の使用、誤った情報を提示する可能性、あるいはブランドのデータやフォロワーへ容易にアクセスできる利用環境は、ビジネスに脅威をもたらす場合があります。
加えて、これらのソーシャルエンジニアリングの手法を考えると、今後は同じ攻撃手法を別のソーシャルメディアに適用してくる可能性があります。日々新たなアカウントが侵害された場合、結果として、これらの脅威がどこから生じたのか、また、特定の標的が誰なのかを追跡することがより困難となる可能性があります。影響力のあるページのアカウント名を変更することで、攻撃者はかなりの数のフォロワーにすぐにアクセスできるようになります。これはフォロワーが、偽のニュースなど不正コンテンツを拡散させるための対象となりうることを示唆します。場合によってはフォロワーを経由して、より広い範囲に不正コンテンツが拡散する可能性もあります。トレンドマイクロは、これらの脅威が別に利用可能な不正活動の侵入経路として利用されないよう、引き続き追跡します。
アカウントが侵害された疑いのあるFacebookユーザはこちらにアクセスして、段階的なプロセスと修正方法に関するアドバイスを得ることができます。
ユーザはこれらのベストプラクティスと推奨事項を念頭に置くことで、これらの脅威から自身のアカウントを保護することができます。
- ページが報告された場合、プラットフォームのレビュー担当者は、投稿やコンテンツ、ページなどがコミュニティ規定に違反していないかどうかを確認します。レビュー担当者がユーザに連絡する場合、プライベートに配慮した手段を介して内密に行われるため、これらのやり取りはタイムライン上には投稿されません
- ソーシャルメディアのプラットフォームは、商業用ページ上の潜在的な機密財務情報を理由に、これらの商業用ページの問い合わせや要求に迅速に対応します。自身のビジネスページがこれらの脅威の影響を受ける場合はただちに報告し、プラットフォームからのフィードバックをすぐに要求しましょう
- プラットフォームは、内部業務プロセスや通知のために外部リンク(ドメイン)を使用することはありません。受信したメッセージや投稿に外部リンクが含まれている場合は、すぐに送信元ページに関する情報をプラットフォームに報告しましょう
- ソーシャルメディアのアカウント内で2要素認証(2FA)が利用できる場合は都度有効化しましょう
- 不正なWebサイトを検出してブロック可能な多層防御システムをインストールして有効化しましょう
■トレンドマイクロの対策
今回確認されたフィッシングサイトは、トレンドマイクロ製品のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Webレピュテーション(WRS)」技術により、アクセスをブロックします。特に個人用モバイル端末向け対策製品「ウイルスバスターモバイル」ではFacebookアプリから不正URLにアクセスした場合もWRS技術によりブロック可能です。
参考記事:
記事構成:岡本 勝之(セキュリティエバンジェリスト)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)