Twitterを悪用した事例の研究:Part 2

Twitter を悪用した事例の研究:Part 1」では、Twitter 上に存在する脅威について調査したトレンドマイクロのリサーチペーパー「An In-Depth Analysis of Abuse on Twitter(英語情報)」を紹介し、弊社が確認したさまざまな不正なつぶやき(ツイート)について説明しました。今回は、こうした脅威の規模と範囲について取り上げます。

■不正なプログラムに誘導するツイート
不正なツイートには、フィッシング詐欺ツイート、短縮URLが記載されたツイート、従来のスパムツイートなどがあります。Twitter から不正な URL に誘導するリンクを最も多くクリックしたのは、全体としては米国のユーザです。しかし、あるカテゴリーでは、違った結果となります。弊社では、中近東のユーザを狙う不正プログラムの出現を確認しました。サウジアラビアやエジプト、スーダンのユーザが、不正プログラムに誘導する、ツイート上のリンクを最も多くクリックしています。このカテゴリーでは、米国は第4位です。

図1:不正プログラムに誘導するツイートをクリックしたユーザの国別割合
図1:不正プログラムに誘導するツイートをクリックしたユーザの国別割合

■Twitter を利用したフィッシング詐欺
Twitter を利用したフィッシング詐欺は、多くのユーザによく知られている脅威です。実際、アカウントが乗っ取られたという苦情は頻繁に聞きます。これは、多くの場合、フィッシング詐欺の攻撃を受けたことにより起きた可能性があります。

Twitter を利用したフィッシング詐欺は、その策略がより効果的になるように Twitter の機能を利用します。例えば、ある日 Alice のアカウントがフィッシング詐欺により乗っ取られたとします。翌日、Alice のアカウントはフィッシング詐欺に関するメッセージを以下のようなツイートで友人の Bob に送信する可能性があります。

@Bob lol this entry by you is cool 短縮_<不正なドメイン>/123465

Bob がこのツイート上の URL をクリックすると、Twitter のセッションがログアウトしたというメッセージが表示されます。そのため、彼はもう一度ログインすることになります。Bob がユーザ名とパスワードを入力すると、そのアカウントも乗っ取られます。こうして乗っ取られた Bob のアカウントは、さらに彼の友人たちにメッセージを送るのです。

このようなフィッシング詐欺の手法は、セキュリティ専門家が検出するのを回避するのに特に効果的です。この手法によく見られる特徴は以下のとおりです。

  • 短縮 URL 作成ツールを利用
  • エクスプロイトキットが利用するような、複雑な感染連鎖を利用
  • 乗っ取ったアカウントからリンクが記載されたツイートをユーザに送信

セキュリティ専門家が使用する主なツールは、ハニーポットや「仮想環境(サンドボックス)」、Webレピュテーションなどです。しかし、こうした技術が効果的でない理由がいくつかあります。

  • フィッシング詐欺のメッセージは正規のユーザ間で送受信されるため、ハニーポットで入手しにくい。
  • この手法はユーザをだまして個人情報を提供させるため、サンドボックスは効果的でない。
  • 短縮URL および複雑な感染連鎖により、Webレピュテーション技術の使用効果が薄い。

図2:感染連鎖の例
図2:感染連鎖の例

2014年3月1日~6月1日、弊社は 3カ月間に渡って Twitter を狙う主なフィッシング詐欺を調査しました。多い日には、2万以上のアカウントからリンクが記載されたツイートが送信され、1万3千以上の 固有URL に誘導しました。

しかし 6月以降、Twitter は大々的なフィッシング詐欺の取り締まりを行い、フィッシング詐欺に関与するツイートの量は大幅に減少しました。この詐欺の被害にあったユーザのおよそ半数が米国のユーザでした。

図3:フィッシング詐欺の被害にあったユーザの国別割合
図3:フィッシング詐欺の被害にあったユーザの国別割合

■検索可能なスパムツイート
Twitter上には、不審なサービスを提供するツイートが数多くあり、その多くが著作権の侵害に当ります。弊社が「検索可能なスパムツイート」と名付けたツイートは、通常ロシア語で書かれており、無料の映画や海賊版のソフトウェア、ゲームなどを宣伝するものです。ソーシャルメディアを利用した攻撃は、しばしば特定のユーザに向けて特別に行なわれます。そう考えると、ロシア語で書かれた検索可能なスパムツイートに、ロシア国外から多くのユーザがアクセスしたのは少し意外なことです。

これらのスパムツイートは違法商品を宣伝していると考えられます。ロシアのアンダーグラウンドの評判は、ロシア国外のユーザにこうした広告への信頼性も与えたかもしれません。

図4:ロシア語で書かれたツイートへのトラフィックの割合
図4:ロシア語で書かれたツイートへのトラフィックの割合

これら攻撃のなかには、Twitter によって簡単に検出され、アカウントが凍結されたものもあります。弊社は、調査期間中に、スパムツイートの送信活動に関わった 17 の集団を確認しました。Twitter はこれらの集団に関連する約 3万4千のアカウントを凍結し、一部の集団では制御下にあったアカウントの 90% が凍結されました。

本リサーチペーパーでは、他の事例も取り上げていますが、今回の事例だけでも、不正なツイートが Twitter上に存在することを十分示すことができました。しかし、どんなソーシャルネットワークもサイバー犯罪者によって悪用される可能性があり、Webサイト上の不正なコンテンツに対処しなければなりません。Part3 では、こうした脅威を減らすためにできることを取り上げます。

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

Related posts:

  1. Twitterを悪用した事例の研究 Part 1
  2. 「Facebook Chat」の認証を装うスパム投稿を確認
  3. iCloud流出に便乗、不審なつぶやきなどを確認
  4. Chrome拡張機能のセキュリティ対策を回避する不正プログラムを確認