偽Facebook のセキュリティチェックページを利用したフィッシング詐欺を確認

ソーシャル・ネットワーク・サービス(SNS)「Facebook」 の不朽の人気は、サイバー犯罪者にとって、自身の不正活動を遂行するための魅力的な「エサ」として映っているようです。2013年3月下旬、新たに注目されたフィッシング詐欺が、まさにその例といえるでしょう。

「TrendLabs(トレンドラボ)」は、「TSPY_MINOCDO.A」として検出される不正プログラムを確認。この攻撃の最終目的は、Facebook を閲覧するユーザを、ある偽サイトへと誘導することです。この偽サイトは、Facebook のセキュリティチェック機能の一部であるかのように装い、「Security checks help keep Facebook trustworthy and free of spam(日本語訳:このセキュリティチェックで、Facebook を安心かつスパムのない状態に維持することができます)」というタグラインを掲げています。

この不正プログラムは、感染コンピュータの HOSTファイルを利用することにより、「facebook.com」および「www.facebook.com」へのすべてのトラフィックを偽Facebook のセキュリティチェックページ「http://<省略>ernothing.net/fb」へと誘導します。なお、正規のFacebook にアクセスしているとユーザに思わせるため、この不正なページのアドレスバーには、「http://facebook.com/<省略>nge」と表示されています。

Facebook に早くログインしたいユーザは、「セキュリティチェック」というのが文字通りの価値を持っているものだと考え、この策略の罠にはまってしまう可能性があります。そして、ユーザは結果的に個人情報を入力することとなり、そして自身のクレジットカードアカウントをサイバー犯罪者にさらしてしまうことになります。

図1:偽 Facebook のセキュリティページ
図1:偽Facebook のセキュリティページ

図2:クレジットカード情報を不正なサーバへと送信するパケット
図2:クレジットカード情報を不正なサーバへと送信するパケット

トレンドラボは、さらなる解析により、この不正プログラムが複数のドメイン名を DNSサーバに問い合わせることを確認しています。つまり、この不正プログラムの背後にいる人物が、サーバの機能不全に対する準備を行なっており、情報収集活動を継続するためのバックアップを保有しているということです。

さらに、ソーシャルメディアに関連する他の攻撃で不正リンクを利用したものと違い、この不正プログラムは、コンピュータが起動するたびに実行される実行ファイルであり、感染コンピュータを利用する多くのユーザに重大な脅威をもたらします。

安全を確保し、このような脅威を熟知するためにも、常に念頭に置いておくべきことは、SNSサイトが確認のためにユーザのクレジットカード情報やオンライン銀行の口座情報を要求することは決してない、ということです。なお、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、この脅威からユーザを保護します。Webサイトの危険性評価技術である「Webレピュテーション」技術により、この不正なWebページをホストするドメインをブロックします。また、「ファイルレピュテーション」技術により、関連不正プログラムを検出し、削除します。

参考記事:

  • Malware Phishes With Fake Facebook Security Check Page
     by Anthony Joe Melgarejo (Threat Response Engineer)
  •  翻訳:宮越 ちひろ (Core Technology Marketing, TrendLabs)