9千万件以上の「いいね!」はまやかし。偽 “Adobe Flash Player” のプラグインをもたらす

4月12日のブログ記事では、「Facebook Profile Viewer」を利用した新たな攻撃手法について取り上げました。「TrendLabs(トレンドラボ)」では、さらに、ソーシャル・ネットワーキング・サービス(SNS)「Facebook」を利用し、”Adobe Flash Player” のプラグインを偽装し、不正プログラムをダウンロードさせる攻撃を確認しました。我々は、特定のページヘと誘導する大量のフィードに注目。9千万以上のユーザが誘導先のページを「Like(いいね!)」と言っているようです。そのため、ユーザのなかには、この膨大な「いいね!」の数につられて、そのページを閲覧してしまう人もいるかもしれません。「いいね!」の数が多いということは、そのページの人気が非常に高いことも意味しており、これによりこのページが正規のもので、安全であるとユーザに思わせることになると考えられます。

図1:特定のページへと誘導する大量の投稿
図1:特定のページへと誘導する大量の投稿

しかしトレンドラボは、図1にある 9千万を超える「いいね!」の数が、まったくの偽りであり、単なるソーシャルエンジニアリングの手口であることを確認しました。通常「いいね!」ボタンが押されると、親指を立てているマークも共に表示されますが、図1には確認できません。ユーザが誤って問題のページを閲覧すると、以下のサイトへと誘導されることとなります。

図2:ユーザは、偽
図2:ユーザは、偽 “Adobe Flash Player” のプラグインを組み込むサイトへと誘導されることとなる

一見すると、このページは、Adobe Flash Player のプラグインを組み込んでいるように見えます。しかしこのプラグインは、トレンドマイクロの製品では、「TROJ_FAKEADB.US」として検出されます。ユーザが “Google Chrome” 上でプラグインをダウンロードして、図2のような Web ページが開いている場合、自動的にそのページが閉じられ、Chrome の拡張機能ファイルがダウンロードされます。この拡張機能ファイルは、「TROJ_EXTADB.US」として検出されます。

「TROJ_EXTADB.US」は、インストールされると、感染ユーザのアカウントを利用して、同様のメッセージを大量に投稿します。さらにこのとき、そのメッセージに Facebook 上の「友達」をタグ付けします。またこの不正プログラムは、特定の URL から情報を送受信することも確認されています。なおトレンドラボは、今回の事例に関連するすべての URL へのアクセスをブロックしています。

SNS は、友人や同僚、家族との連絡手段として、不可欠な部分を担っています。SNS は便利ではありますが、その裏ではサイバー犯罪者や不正活動を企てる攻撃者たちが、自身の攻撃のために、SNSを悪用しています。ユーザのクレジットカード情報を収集するような脅威からありきたりな詐欺行為に至るまで、ユーザは常に SNS で利用するアカウント情報を慎重に扱う必要があります。そして Facebook 上の連絡先に含まれている人物や友人から投稿されたものであっても、リンクをクリックするときは、細心の注意を払ってください。また、ソーシャルエンジニアリングの手口を知ることも自身の身を守るためには有効です。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

  • Fake Page With “90 Million Likes” Leads to Fake Adobe Flash
     by Arabelle Mae Ebora (Fraud Analyst)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)