アカウントの乗っ取りからFacebookの「タグ付」機能を悪用する不正広告手口が再燃

今年 7月前後からFacebook上では、写真の投稿に「友達」をタグ付けすることで不正な広告を拡散させようとする手口が確認されていますが、10月中旬以降、同じ手口による不正広告が再燃しているようです。これまではサングラスの不正広告が主に確認されていましたが、10月に入りブーツを中心としたアパレルに広告の商品も変化しています。しかし、これらの不正広告から誘導される通販サイトはなりすましの偽サイトですのでご注意ください。

図1:Facebook上で確認されている友達のタグ付け機能を悪用した不正広告の例
図1:Facebook上で確認されている友達のタグ付け機能を悪用した不正広告の例
(左)7月以降確認されていたサングラス広告の例(右)10月中旬以降確認されているブーツ広告の例

図2:不正広告から誘導される偽サイトの例
図2:不正広告から誘導される偽サイトの例

■乗っ取りアカウントを使用した不正広告の手口
この不正広告は、他から入手したパスワードで不正ログインを試みる「アカウントリスト攻撃」などの手法を用い、乗っ取ったFacebookアカウントを利用するものと考えられます。不正広告の手口としては、写真にタグ付けされた本人とその友達のタイムラインにその写真の投稿が表示されることを悪用しています。つまりこの不正広告に関して、写真を投稿し友達のタグ付けを行った利用者のアカウントが乗っ取りに遭っている可能性があります。

Facebook上でこの不正広告の存在に言及した投稿を確認したところ、10月22日~11月19日の 4週間で 400件以上の投稿が確認できました。これらの投稿の内容としては、広告に関する注意喚起の内容や自分が広告にタグ付されたというものもありましたが、自身のアカウントから不正広告の投稿と友達のタグ付が行われていたことを示すものも、およそ 180件確認できました。

図3:Facebook上で確認された不正広告関連の投稿の例
図3:Facebook上で確認された不正広告関連の投稿の例
自身のアカウントが乗っ取られ、友達をタグ付してしまっていたことを示す投稿も多い

これらの投稿のうち興味深いものとして、この Facebookでの不正広告以前に、Twitter や LINE など他のソーシャルメディアのアカウントが乗っ取られていたことを示す投稿が 4件以上見られました。これは、1つのオンラインサービスの認証情報が漏れることにより、他のサービスも被害を受けるアカウントリスト攻撃の特徴を示しているものと言えます。

図4:今回の不正広告以前に他のソーシャルメディアアカウントが乗っ取られていたことを示す投稿の例
図4:今回の不正広告以前に他のソーシャルメディアアカウントが乗っ取られていたことを示す投稿の例

また、乗っ取られた 1つのアカウントから、サングラスの不正広告とブーツなどの不正広告の双方が投稿されていたことを示す投稿も確認されました。これは 7月からの一連の不正広告が同一の攻撃者による継続した活動であることの有力な証拠と言えるでしょう。

図5:乗っ取られたアカウントからサングラスとブーツ双方の不正広告が行われていたことを示す投稿の例
図5:乗っ取られたアカウントからサングラスとブーツ双方の不正広告が行われていたことを示す投稿の例

■不正広告から誘導されるサイトの調査
トレンドマイクロでは、11月17日以降に確認した不正広告に記載されている URL のサイトについて調査を行いました。広告上で表示されているサイトは確認できただけで 5種類ありましたが、最終的には 2種類のなりすまし偽サイトへリダイレクトされていることを確認しました。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の統計によれば、これら 2種類の偽サイトには 11月15日~18日の 4日間だけで国内からおよそ 2300件のアクセスが発生しており、相当数のユーザが偽サイトへ誘導されていたことが窺えます。これら 2つの偽サイトには、広告の商品の直営店を名乗る記述があることも確認できました。

図6:リダイレクト先のなりすまし偽サイトで使用されていたWebページのタイトルとメタタグの例
図6:リダイレクト先のなりすまし偽サイトで使用されていたWebページのタイトルとメタタグの例
「日本代理直営店」「通販の正規店」などの文言が確認できる

これらの不正広告に関連する7つのサイトのドメイン情報についても調査を行いました。これらのドメインのうち5つは、11月15日以降に取得されたものであり、最も取得日が古いものでも10月30日と、すべてがつい最近に取得された新しいドメインであることもわかりました。また、これらのドメインの取得者は、ほぼ同時期に20以上のドメインを取得している事実も確認できました。これらのことから、この不正広告および偽サイトの運営者はURLフィルタリングなどの対策を免れるため、活動の直前に新しいドメインを取得して使い捨てていく手法を使用していることが推測されます。

■不正広告への対策
この不正広告はあくまでも偽サイトへ利用者を誘導することが目的であり、タイムラインに表示されたとしてもそれだけで具体的な被害があるものではありません。この不正広告への直接の対処としては以下の2つの観点があります。

  • 自身が不正広告にタグ付けされていた場合
  • 自身が広告にタグ付けされていた場合、自分の友達に不正広告を広めてしまうことになります。Facebook のタグ削除の機能を利用し、不正広告から自身のタグ付けを削除することを推奨します。

  • 自身が不正広告を投稿していた場合
  • アカウントが不正ログインにより乗っ取られている可能性があります。Facebookのヘルプセンターではアカウントが乗っ取られた場合の対処法が案内されていますので、それに従って対処を行うことを推奨します。

不正広告の根本的な原因はアカウントの乗っ取りです。個人情報から類推されやすいパスワードを使用しない、複数サービスで同じパスワードの使い回しをしない、「ログイン承認」機能などサービスの提供するセキュリティ強化方法を積極的に利用する、と言った一般的なセキュリティ向上策が根本的な対策となります。

■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、「偽サイト」へのアクセスをブロックします。

トレンドマイクロのパスワード管理ツール「パスワードマネージャー」を使用することにより、パスワードの複雑性を保つと同時に複数サイトですべて異なるパスワードを使用するなど、パスワード運用における利用者の負担を軽減することができます。

※調査協力:中谷 吉宏(Regional TrendLabs)、金折 聡(Regional TrendLabs)、浦野 晃(シニアスレットリサーチャー)、林 憲明(シニアスレットリサーチャー)