トレンドマイクロでは 5月中旬ころから、ソーシャルメディア上の投稿やメッセージなどからモバイルユーザを不審なサイトへ誘導する一連の手口を確認しています。同様の手口による誘導は現在も続いており、注意が必要です。一例として、トレンドマイクロが 6月中に確認した事例では、iPhone で誘導先の URL にアクセスした場合、数回の転送処理ののち、以下のような「当選メッセージ」が表示されます。
図1:iPhone など iOSデバイスでアクセスした場合に表示されるメッセージ例
■iOSユーザの個人情報を狙う「当選詐欺」
転送先の URL は ”facebook.com”の文字列をドメイン名に含んでおり、正規Facebookサイトからの表示であるものと利用者に勘違いさせることを狙っているようです。トレンドマイクロのクラウド型セキュリティ技術基盤である 「Trend Micro Smart Protection Network」の統計によれば、5月1日から本稿執筆時点の 7月9日までに全世界から 2万5千件以上のアクセスを集めており、特に誘導手口が目立ち始めた 6月以降にアクセスが急増しています。
図2:誘導先サイト「facebook.com-todayswin<略>」への全世界からのアクセス数推移
アクセス時に表示される「お使いの Apple 携帯電話が ~ 選出されました!」というメッセージ表示は、迷惑メールではよく見る手口の 1つである「当選詐欺」の Webバージョンと言えます。「Apple 携帯電話」という表現など、見た人をちょっと不安にさせる部分もこのメッセージには含まれていますが、「当選」した利用者がメッセージの[OK]を押すと、当選した賞品を請求するページが表示されます。最終的に賞品を受け取るための名目でユーザに個人情報を入力させ、詐取することが目的のようです。iOS デバイスを利用しているユーザは、当然 Apple 製品にも興味が高いことを利用した手口と言えます
図3:「当選サイト」の表示例
図4:「当選サイト」の表示例
■Android 利用者を誘導する虚偽の「ウイルス検出」
そして、興味深いことに、これらの誘導手口ではアクセスしたモバイルデバイスの OS によって表示させるメッセージを使い分けているようです。転送処理の間にアクセスしたデバイスを判断するスクリプトを含むサイトを経由させ、アクセス元に合わせたサイトへ転送する手法を使用していました。これは攻撃者が明確にモバイルユーザに狙いを定めていることを示す、特徴的な事実と言えます。
図5:転送途中のサイト上にあったアクセスしたデバイスを判定するためのスクリプト例
このスクリプトにより Android OS からのアクセスと判定された場合、表示されるメッセージは当選詐欺とは全く異なり、ユーザは自身の使用するデバイスが「致命的なトロイの木馬ウイルス」に感染しているなどと告げられます。この場合、アクセスしたユーザは最終的に正規アプリマーケットである Google Play 上の特定のセキュリティアプリに誘導されます。これは正規アプリのアフィリエイトプログラムを利用し、金銭利益を得ることが目的と思われ、Android ユーザでは不正アプリなどセキュリティ上の不安を持っていることを利用する手口と言えます。
図6:Android OS でアクセスした場合に表示されるメッセージ例
■不審URL へ誘導する Facebook での手口
これらの不審なメッセージ表示に関するトレンドマイクロへの問い合わせ内容からは、音楽サイトや動画サイトの紹介を偽装する Facebook上の投稿や LINE メッセージによる誘導、また、不正広告による誘導が推測されます。実際にトレンドマイクロでは、7月に入って Facebook上での投稿からの誘導ケースを確認しています。
図7:不審なURLへ誘導するFacebook上での投稿例
この投稿は一見、無害な動画へのリンクをシェアしているだけに見えます。モバイルアプリ上ではリンク先の URL を事前に確認することができません。そして、リンク先を示すと思われる文字列は YOUTUBE.COM となっており、画像上のアイコンと相まって、アクセス前に不審なサイトへの誘導と気づく利用者は少ないでしょう。また、投稿を多くの人の目に触れさせるための拡散手法として、以前のブログ記事でも紹介している Facebook のタグ付機能の悪用が使われています。投稿者の友人をすべて投稿にタグ付けすることにより、多くの Facebook ユーザの目に触れさせる手口です。
■被害に遭わないために
このようなユーザを誘導する手口の怖いところは、実際にアクセスするまでどのような被害を受けるかわからないことです。これまでに確認した事例では、情報詐取やアフィリエイト誘導などを確認しましたが、当然、不正アプリ頒布など、より危険な攻撃を実施することも攻撃者の思惑次第で可能です。モバイル利用者はこのような誘導の手口を知り、モバイル端末からのインターネットアクセス時における危険を認識することで、ネット上の危険から身を守ることができます。
■トレンドマイクロのソリューション
今回の記事で触れた不正サイトについてはトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Webレピュテーション(WRS)」技術により、アクセスブロックに対応しています。また、モバイル環境での総合セキュリティ対策として、個人利用者向け「ウイルスバスターモバイル」、法人利用者向け「Trend Micro Mobile Security」において WRS技術による不正サイトのアクセスブロックに対応しています。
※リサーチ協力:林憲明(シニアスレットリサーチャー)、六宮智悟(Regional Trend Labs)、木村仁美(Regional Trend Labs)