話題のトピックにご注意! 今度はエイミー・ワインハウスさんの急死に便乗した攻撃を確認

2011年7月23日(英国時間)、英国女性シンガーソングライター、エイミー・ワインハウス(Amy Winehouse)さんの急死が報じられました。グラミー賞を受賞し人気歌手であった彼女が 27歳という若さで亡くなったという訃報に悲しみの声が広がる中、サイバー犯罪者はこれを「好機」とばかりにオンライン攻撃を仕掛けてきました。

話題となるニュースや出来事には多くの人々が関心を寄せ、さまざまな情報を得ようとすることから、サイバー犯罪者はこうした人々の心理を巧みに利用し、ユーザをだまそうとします。この手口は今や、サイバー犯罪者の常とう手段と化しています。今回の事例でもソーシャル・ネットワーキング・サービス(SNS)「Facebook」への投稿を用いた手口が確認されており、ユーザは、この投稿から偽の動画ページへ誘導され、そこから年齢認証のページへ、そして最終的にはアンケートのページへと誘導されることになります。

「TrendLabs(トレンドラボ)」は、今回の攻撃に利用されるアンケートのページがセキュリティブログ記事「『Google+』の招待状提供を装うアンケート詐欺を確認」で取り上げたものと類似していることを確認しています。ユーザは、こうしたアンケートを用いた詐欺の手口について理解しておくことで、誤って自身が今回のような攻撃に巻き込まれたとしても、Facebook 上の「友達」に注意を呼びかけることも可能です。

■エイミー・ワインハウスさん急死に便乗した攻撃について
今回の「エイミー・ワインハウスさんの死に便乗したアンケート詐欺」の詳細は、次の通りです。

ユーザの Facebook の「ウォール(各ユーザに与えられる『掲示板』のような機能)」に「エイミー・ワインハウスさんの死亡前に撮影された動画を視聴できる」と称するメッセージがリンクとともに投稿されます。ユーザがこのリンクをクリックすると、以下のページに誘導されます。

図1:「エイミー・ワインハウスさんの死亡前に撮影された動画を視聴できる」と称するメッセージの例
図1:「エイミー・ワインハウスさんの死亡前に撮影された動画を視聴できる」と称するメッセージの例

このページに記載されたリンクをクリックすると、偽の動画ページが表示されます。この動画ページに実際に表示されるのはクリック可能な画像で、ユーザが動画を見ようとこの画像をクリックすると、年齢認証のダイアログボックスが表示されます。

図2:年齢認証のダイアログボックス
図2:年齢認証のダイアログボックス

このダイアログボックスをクリックすると、別のダイアログボックスが表示され、この動画ページへのリンクがユーザの Facebook のウォールに投稿されることを通知します。

図3:問題の動画ページへのリンクがユーザのFacebookのウォールに投稿されることを通知するダイアログボックス例
図3:問題の動画ページへのリンクがユーザの Facebook のウォールに投稿されることを通知するダイアログボックス例

その後、「Human Verification」というウィンドウが表示され、ユーザに「Stupid o Genius?」または「Are You and Your Partner Compatible?」のどちらかのアンケートに答えて人間であることを証明するよう促します。

図4:「Human Verification」と称したウィンドウの例
図4:「Human Verification」と称したウィンドウの例

ユーザが「Stupid o Genius?」を選択すると、以下のようなページに誘導されます。

図5:アンケート後に誘導されるWebページの例
図5:アンケート後に誘導されるWebページの例

ユーザがこのアンケートに答えていくと、最後に携帯電話番号を入力して暗証番号を入手するよう求められます。

図6:携帯番号入力を促すWebページの例
図6:携帯番号入力を促すWebページの例

■SEOポイズニング攻撃も確認
トレンドラボは、上記の他にも、エイミー・ワインハウスさんの死に便乗した事例を確認しています。この事例では、検索エンジンで「amy winehouse death」というキーワードを用いて検索すると、検索結果の上位に不正な URL が表示されるよう悪質に操作されていました。脅威研究員Marco Dela Vega は、これらの不正な URL から最終的には偽セキュリティソフト型不正プログラム「FAKEAV」がダウンロードされることを確認しています。ユーザが検索結果に表示されたリンクをクリックすると、偽のスキャンページに誘導され、コンピュータが不正プログラムに感染していると警告されます。そして、この警告に脅かされたユーザは、FAKEAV ファミリをダウンロードさせられてしまうのです。トレンドマイクロ製品では、ダウンロードされるこの FAKEAV を「TROJ_FAKEAV.CLS」として検出します。

■セキュリティ製品以外にも、日頃心掛ける注意点を知っておく必要あり
トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、上述の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、「ファイルレピュテーション」技術により、関連するファイルを検出し削除します。

また、サイバー犯罪者は、ユーザをだまそうと絶えず新たな手口を工夫しているため、SNS を利用するユーザは、以下の記事を参照し、こうした脅威への対策を取ることをお勧めします。

  • セキュリティブログ:2011年上半期、狙われ続ける Facebook
      /archives/4368
  • セキュリティデータベース:ソーシャルメディア関連の脅威とは?
      http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=
      Spam%2c+Scams+and+Other+Social+Media+Threats

    • 参考記事:

     翻訳・編集:橋元 紀美加(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2007年12月度 アプリケーションの脆弱性に関するラウンドアップ
    2. 2016年の脅威予測-「ネット恐喝」に多くの個人・企業ユーザが直面
    3. 2016年10月から継続して確認される巧妙な日本語メールと頒布されるランサムウェアを解析
    4. 2016年個人の三大脅威:転換点を迎えた「モバイルを狙う脅威」