|
2011年に入り、日本でも注目され始めたソーシャル・ネットワーキング・サービス(SNS)「Facebook」。同SNSサイトの統計ページによると、世界的に7.5億人以上のアクティブユーザが存在し、その内、半数が毎日ログインしているようです。日本でも、2011年7月11日時点で380万人のユーザが存在し、着実にその数を増やしています。
トレンドマイクロは、今年初め、「2010年を振り返る - 2)使用には要注意! 最も悪用されやすいデバイス/ツールとは?」を発表し、その中で、「2010年に最も危険だったSNS」として、Facebookを挙げました。世界最大のSNSとも言われるFacebookの人気はサイバー犯罪者の「格好の標的」となっており、アンケートを装った金銭目的の詐欺から「KOOBFACE」の拡散など、様々な攻撃が仕掛けられたことがその理由でした。 |
Facebookは、2010年同様、いまだサイバー犯罪者の標的となっているのでしょうか。2011年上半期に確認された攻撃を振り返ってみます。
<INDEX>
■2011年上半期、Facebookユーザを標的にした攻撃事例をタイプ別に振り返る
■2011年上半期のFacebook関連の脅威をまとめる
■どのような対策をすればいい?
■2011年上半期、Facebookユーザを標的にした攻撃事例をタイプ別に振り返る
2011年上半期で確認されたFacebookに関連する脅威として、「クリックジャック攻撃」・「偽Facebookページの利用」・「不正スクリプトの利用」のような3つのタイプが挙げられます。
ユーザが興味を持つ出来事やニュースを利用して、「ウォール(Facebookの各ユーザに与えられる『掲示板』のような機能)」にメッセージを投稿。そのメッセージに含まれているリンクをクリックすることで、自動的にユーザの「友達」のウォールに同じ不正なメッセージが投稿され、感染を拡大していきます。この手口自体は、典型的なソーシャルエンジニアリングの手法であり、Facebook関連の攻撃でも常とう手段と化しており、目新しいわけではありません。ただし、この手口が2011年上半期も引き続き確認されていることから、サイバー犯罪者にとっていまだ有効であることが伺えます。
例1)『過去に利用されたソーシャルエンジニアリングの手口、再び確認される』
Malware Blog:Miley Cyrus, Justin Bieber Facebook Spam Reemerges(英語情報)
過去に確認されたソーシャルエンジニアリングの手法が再利用された攻撃事例を確認。この攻撃事例では、米国有名ポップシンガーMiley CyrusやJustin Bieberを連想させる “miley” や “bieber” などの言葉を含むドメインによるWebサイトが設けられていました。また、「This Guy Took A Picture Of His Face Every Day For 8 Years」などのメッセージが投稿され、上述の言葉を含むWebサイトへのリンクが記載されており、ユーザを動画サイト「YouTube」に似せたWebページに誘導します。こういった手口は、「KOOBFACE」を操るサイバー犯罪者たちによる攻撃でよく見られました。
 |
|
「KOOBFACE」関連する攻撃でよく利用されていた |
Facebookでは、ユーザが自身のコンテンツをまとめたページや自身のファンなどを対象にした「Facebookページ」を作成することができます。サイバー犯罪者がこうした機能を見逃すことはなく、Facebookに関連する偽のWebページを作成し、フィッシング攻撃やスパムメール用の投稿といった不正活動に悪用するのです
例2)『「Facebook Security」からの送信を装ったスパムメール。フィッシングサイトに誘導』
Malware Blog:Facebook Security Spoofed, Used for Phishing(英語情報)
「Facebook Security」は、ユーザにわかりやすいセキュリティ情報を提供するための正式なページです。この攻撃事例では、この「Facebook Security」から送信されたように装ったスパムメールが発端となって、ユーザはフィッシングサイトに誘導されました。そして誘導先のWebサイトで「アカウントの更新が必要」と警告され、その指示に従い誤って個人情報を入力した場合、入力した情報はサイバー犯罪者に送信され、不正に利用されることとなります。
 |
|
|
例3)『「Japanese Tsunami RAW Tidal Wave Footage!(日本で起きた津波の未編集映像!)」という Faceboo偽ページを確認』
セキュリティブログ:東北地方太平洋沖地震に便乗したSEOポイズニングを確認。「FAKEAV」へと誘導
サイバー犯罪者は、世間で話題になっているニュースであればその内容に関係なく、自分たちの犯罪活動に利用します。2011年3月の東日本大震災では情報収集・交換の手段として、TwitterとともにFacebookも活用されましたが、サイバー犯罪者は、こうした悲劇的な状況下でも、貪欲に「金のなる木」を狙っていました。
この攻撃事例では、「Japanese Tsunami RAW Tidal Wave Footage!(日本で起きた津波の未編集映像!)」というタイトルが付けられたページを閲覧すると不正なスクリプトにより、ユーザは偽の動画ページへと誘導されます。この偽動画ページでは、クリック可能な画像が表示され、誤ってクリックしたユーザは、最終的に携帯番号入力を求められるページへと誘導されるのです。また、この不正なスクリプトは、上述の不正なページに対して「Like(いいね!)」ボタンをクリックしたと見なして、被害者であるユーザの「ウォール(Facebookの各ユーザに与えられる『掲示板』のような機能)」にこの不正なページへのリンクを自動的に表示します。こうして、Facebook上で感染を拡大していきます。
「動画を視聴するため、以下のスクリプトをブラウザのアドレスバーに貼り付ける」といった指示で、不正スクリプトを利用する手口は、2011年上半期の間、何度か確認された手口です。この不正なスクリプトが実行されると、ユーザは、自身のFacebookアカウントが乗っ取られ、スパムメッセージ拡散に加担することとなります。
例4)『「Facebook」にストーカー追跡ツール登場。インストールすると、スパム送信の加担者に!』
Facebook上では様々な人達とコミュニケーションを楽しむことができる一方、多くの個人情報が公開されるようになってきている現在、多くのユーザにとって、個人のプライバシーがどのようにも守られているのかが一つの懸念事項となっています。こういったユーザ心理を突いた攻撃が確認されました。
この攻撃事例では、「profile view(プロフィールの閲覧)」や「creepers(ストーカー)」といった、ストーカー行為を連想させるような言葉を含んだドメインによるWebサイトが設けられ、自分の「ストーカー」を突き止めるツール提供を装っていました。「TrendLabs(トレンドラボ)」による検証の結果、JavaScriptが有効になっていればどのブラウザでもこのストーカー追跡ツールが動作することが確認されました。
 |
|
|
■2011年上半期のFacebook関連の脅威をまとめる
2011年上半期に確認されたFacebook関連の脅威事例を振り返ると、Facebookは、2010年に引き続き、サイバー犯罪者にとっていまだ「格好の標的」であり、次々と攻撃が仕掛けられていることがわかります。一方、利用される手口自体は、一貫してシンプルと言えるでしょう。それは一言で言えば、
「ユーザが興味をもつ話題の悪用」
という手口に集約できます。具体的には、動画視聴やストーカー追跡ツールといった異なる「罠」でユーザに攻撃を仕掛けます。こういった罠にひっかかると、金銭絡みのサイバー犯罪に巻き込まれたり、アカウント情報が収集されることとなります。
トレンドマイクロの上席研究員David Sanchoは、Facebook関連の脅威に関して次のように説明します。
「SNSのアカウント情報は、サイバー犯罪者にとって非常に利用価値が高いものなのです。なぜなら、一旦、SNSのアカウントにログインできれば、乗っ取られたユーザの『友達』のメールアドレスが入手できるだけでなく、『友達リスト』を介して不正なリンクを送信したり、これら『友達』の個人情報さえも入手することができるからです。実際、個人情報の中でも “SNSのアカウント情報” は高値がつけられる傾向があるのです」
■どのような対策をすればいい?
ユーザは、以下の各点を念頭においてSNSを利用することをお勧めします。
- 身元不明な送信者からのメッセージ内に含まれるリンクをクリックしない。特に、短縮URLの場合、短縮URLのリンク先を確認するURLプレビューツールなどを利用してから使用すること
- 面識のある人のみ「友人リスト」に追加すること
- SNSを始める前に「プライバシー」をよく読んでおき、利用の際にプライバシー設定を確認すること(Facebookでは、ヘッダーにある[アカウント]-[プライバシー設定])
- SNSのログイン用パスワードは、英数字・記号や、大文字小文字、長い文字数などを駆使して、「破られにくいパスワード」を作成すること
- 自身のプロフィール情報(特に「基本データ」)公開に際しては、「オンライン上で公開している情報は誰もが自由に入手できる状態になっている」ということを念頭におき、十分に注意すること
- Facebookの「リスト」機能や「グループ」機能を活用して、「各リストあるいはグループが自身のどの情報にアクセスできるか」を把握しておくこと
- セキュアな接続「https」を有効にすること(ヘッダーにある[アカウント設定]-[アカウントのセキュリティ]-[セキュアな接続(https)]のチェックボックスをチェック)
参考:『A Guide to Threat on Social Media』(英語情報)より
Facebook関連の脅威に対しても、トレンドマイクロの製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、このような攻撃に関連する不正なサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。