インターネット上での大きな人気も、反面そのために悪質な活動を行うサイバー犯罪に便乗されるという代償を伴うとも言えます。その代表例が、不正プログラムの拡散に利用されるソーシャル・ネットワーキング・サービス(SNS)でしょう。「TrendLabs(トレンドラボ)」は、2012年12月初旬、写真共有サイト「Instagram」の人気に便乗および悪用する「Facebook」でのクリックジャック攻撃を確認。この攻撃により、ユーザは不正な Webサイトに誘導されることとなります。
ユーザは、Facebook 上の連絡先の誰かが投稿した写真にタグ付けされることによってこの脅威に遭遇します。この投稿には、Facebook上のプロフィールを誰が訪問したか、どの程度の頻度で訪問したかユーザが知ることができると記載されています。また、この投稿は Instagram を介して投稿された写真も含んでいます。
トレンドラボは、“Recent Profile Views”(図1参照)で利用されている写真と名前は、他の攻撃でも繰り返し利用されていることを確認しています。
 |
|
|
ユーザは、リンクを誤ってクリックすると、認証コードを生成方法について説明するページへと誘導されます。ページに誘導されると、実際は、Facebook アプリの Instagram であるポップアップウィンドウを表示し、ユーザに「Go to App」ボタンをクリックするよう求めます。このウィンドウは、Facebook のホームページのように見えるページへユーザを誘導します。
 |
|
|
 |
|
|
図4 が示すとおり、アドレスバーが正規の Facebook のホームページとは異なっています。そして、ユーザは、特定のダイアログボックス内の不正な URL(ユーザ毎に異なる)をコピーおよびペーストして、「continue(続く)」をクリックするように促されます。
 |
|
|
ユーザがこうした手順を完了すると、Facebook専用 Instagram および上述の “Recent Profile Views” の投稿を両方用いて、アルバム「Instagram Photos」が作成されます。また、アルバムは、拡散活動を担う不正なリンクも含んでいます。
このアルバムに含まれたリンクは、感染したユーザの位置情報も確認します。インド在住の感染ユーザは、Eメールでの定期購読を求める Web広告やオンライン取引サイトへ誘導されます。一方、フィリピンやパキスタン、エジプト、ミャンマーに在住の感染ユーザは、ストーカー追跡ツールの作成者が購読を求めるこのツールへ誘導します。
また、このリンクは、Webサイト「<省略>pps.info/post.php」および「<省略>new.blogspot.in」へも誘導する場合もあります。これらの Webページ上で問われる質問事項のいずれかに回答すると、ユーザを Facebook専用アプリ「Social Buzz App」に誘導します。
トレンドラボでの解析の結果、これらスパムメッセージの投稿は、Instagram上ではなく、Facebook上のみで確認されています。このように、感染したユーザの Instagram のアカウントを持っているかどうかかかわらず、画像が Facebook上にアップロードされることとなります。加えて、アルバム「Instagram Photos」がすでに存在している場合、このアルバム内にスパム化した画像が投稿されます(図5参照)。また、トレンドラボでは、モバイル端末や「https」のようなセキュアな接続においてもこの攻撃が機能することを確認しています。
 |
|
|
Fraud Analyst の Paul Pajares は、この脅威の拡散方法を確認するため、コピーおよびペーストされるこのリンクを確認しました。この Webサイトによると、このリンクは今までのところ世界中で 825,545 のクリックを集め、ほとんどがフィリピンおよびインドからでした。このリンクは、アカウント「maygup88」に帰属しており、このアカウントはブロック済みである他の 130 のドメインにも関与しています。
Facebook上のこの種の脅威は、過去数カ月、通常ではオンラインゲーム「ディアブロ3」や iPad といった人気ブランド名に便乗して、形を変えて仕掛けられてきました。また、この種の脅威は、「Pinterest」や「Tumblr」といった SNS にさえ拡大しました。つまり、「ユーザは、いまだにこのような詐欺に引っ掛かってしまう」ということのみが伺えます。この点を考慮に入れ、ユーザは、リンクや投稿が正規かを再確認するといった予防策を講じることをお勧めします。また、連絡先の誰かがリンクを投稿したからと言って、そのリンクが安全であることは意味していないということに留意してください。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、この脅威から守られており、関連するWebサイトへのアクセスもブロックします。
参考記事:
by Ruby Santos (Fraud Analyst)
翻訳:太田 真理(Core Technology Marketing, TrendLabs)