Twitter は、多くの人にとって重要なコミュニケーション手段の 1つです。そのため、Twitter がサイバー犯罪者に悪用される媒体になったとしても驚きはありません。トレンドマイクロでは、豪 Deakin大学の研究者と協力して、Twitter を悪用した脅威の規模を調査したリサーチペーパー「An In-Depth Analysis of Abuse on Twitter(英語情報)」を公開しました。
今回の調査を行うにあたり、弊社は、2013年に 2週間に渡って、一般にアクセス可能なつぶやき(ツイート)を収集し解析しました。収集したツイートの多くはリンクが記載されていないため破棄しました。不正なツイートは、たいてい不正なリンクが記載されており、弊社はそうしたツイートに絞ることを選択しました。
最終的に、弊社は合計 5億7千万以上のツイートを収集しました。これらのうち、3300万以上のツイートに不正なコンテンツに誘導するリンクが含まれていました。これは、全体の 5.8% にあたります。不正なコンテンツとは必ずしも不正プログラムである必要はありません。例えば、スパム広告、フィッシング詐欺ページや、その他の脅威へのリンクも含まれます。ツイートを収集した期間は、大量のスパムツイートが出回っていました。
弊社が確認したTwitter を悪用した事例は以下のとおりです。
- スパム
- フィッシング詐欺
- 不正プログラムへのリンク
- アカウントの窃取および凍結
スパムツイートは明確に 2種類に分けられます。1つは従来型のスパムツイートです。ハッシュタグを利用し、重複した内容を何度も投稿し、すぐにスパムと分かるため、簡単に凍結することができます。
2つめは、弊社が「検索可能なスパムツイート」と名付けたものです。検索可能なスパムツイートは、従来型とまったく異なっています。図1 は、検索可能なスパムツイートの例です。
 |
これらのスパムツイートは、ある意味、新聞の広告欄に似ています。検索可能なスパムツイートは、以下のような海賊版や模倣品を宣伝するために利用されます。
- 海賊版のソフトウェア
- 映画の無料ダウンロード
- 電子機器の模倣品
- 宿題の解答
従来型のスパムツイートと異なり、「検索可能なスパムツイート」はハッシュタグを多用しません。これらのスパムツイートはまた、ロシアや東欧諸国と強い関連性があります。「検索可能なスパムツイート」の多くはロシア語で書かれており、またロシアやウクライナのサーバにホストされています。
この脅威は、他の攻撃に比べるとかなり目立たないものになっています。この不正活動に関わった Twitter のアカウントが凍結される確率は、他の不正活動に関わったアカウントより低くなっています。検索可能なスパムツイートは、ユーザがそのツイートやアカウントを報告しないように設計されています。
また、これらのツイート上で宣伝されている Webサイトへのトラフィックの半数は、実際のところロシアからのものではありません。実際にこれらのツイートを見つけたユーザは「必要なもの」に興味があり、ロシア語を理解するために自動翻訳サービスを利用することをいといません。
Twitter のアカウントは、それ自体、サイバー犯罪者にとって価値のある標的です。結果として、ユーザの個人情報を入手しようとするさまざまな詐欺が出回っています。例えば、乗っ取られたアカウントはツイートやダイレクトメッセージ(DM)に友人の名前を挙げ、ユーザに短縮URL をクリックするよう促します。この URL は最終的にユーザをフィッシング詐欺ページに誘導し、ユーザの Twitter のアカウント情報を求めます。
Twitterアカウントへのアクセスを得るもう 1つの方法は、有名なフォロワー獲得をかたる詐欺です。この詐欺は、フォロワーをもっと多く得られるとかたってユーザを誘います。しかし、実際にはユーザの Twitterアカウントへのアクセスを攻撃者に渡すことになります。
トレンドマイクロでは今後、本ブログ上で、Twitter を悪用した事例の地域による違い、この脅威への対策について述べていきます。
なお、今回の研究は、豪政府研究機関 ARC の「Linkage Project:LP120200266」の支援を受けています。
参考記事:
by Jon Oliver (Senior Architect)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)