2014年9月1日(米国時間)、iPhone など Apple社製品から使用できるクラウドサービス「iCloud」がハッキングされ、100人以上の有名人のプライベート写真が流出した事件で、インターネット上は大騒ぎとなりました。この事例をソーシャルエンジニアリングのエサとして利用しようと意欲的なサイバー犯罪者が現れるのは時間の問題だったでしょう。実際、トレンドマイクロでは、流出した写真を探すユーザを狙った新しい脅威を確認しました。
弊社が最初に確認した脅威は、Twitter上で確認したものです。この脅威は、今回の流出事件の被害者の1人、ジェニファー・ローレンスの名前を含んだハッシュタグに投稿されたツイートでした。問題のツイートには短縮URLが記載されており、ユーザがクリックすると、この問題の有名人の動画を提供するとうたうWebサイトに誘導されます。
 |
 |
ユーザが動画の再生ボタンをクリックすると、動画変換ソフトをダウンロードするWebページに誘導されます。この Webページで実際にダウンロードされるファイルは、「ADW_BRANTALL」として検出されるアドウェアです。
 |
流出した動画をエサに不正プログラムをダウンロードさせる手法のほか、このアドウェアは、ユーザが動画を再生する前に、Facebook のプロフィール上に不正な Webサイトを共有させ、自身を拡散します。この結果、ユーザのウォール上に不正なリンクが張られたスパム投稿が表示され、同じように「ADW_BRANTALL」がダウンロードされることになります(図4)。
 |
当然ながら、どちらの事例とも、ユーザは問題の動画を見ることができません。弊社の解析によると、この脅威の影響を受けた大多数が米国からのユーザで、全体の70%を占めているようです
また弊社は、インターネット上で、流出した写真や動画をファイル名にした不正なファイルや圧縮ファイルを複数確認しました。弊社では、こうしたファイルも問題の画像を探しているユーザを狙ったサイバー犯罪の一部だと考えています。弊社の製品では、これらのファイルは、以下の不正プログラムとして検出されます。
- LNK_DUNIHI. SMIX
- VBS_DUNIHI. IXG
- ADW_DOWNWARE
- BKDR_FYNLOS.SMM
- TROJ_DROPPER.JLGG
「BKDR_FYNLOS.SMM」や「LNK_DUNIHI.SMX」、「VBS_DUBIHI.IXG」といった不正プログラムは、感染した PC のセキュリティを侵害する可能性のあるバックドア活動を実行します。一方、「TROJ_DROPPER.JLGG」は他の不正プログラムを作成するため、さらなる感染被害を受ける可能性があります。
今回のiCloudの流出事例は、サイバー犯罪者があらゆる手法を利用して関心の高いニュースすべてに便乗することをユーザに再認識させた典型的な事例でしょう。あなたが検索サイトで何かを探している時には、すでにそれに便乗した脅威が作られている可能性は非常に高いと思われます。そして、あなたがそれを見つけた瞬間に、あなたを罠にかけようとします。そしてその脅威は、今回取り上げたものだけではないことを心に留めて下さい。
インターネット上のニュースは、常に信頼できるWebサイトから入手するようにして下さい。流出したプライべートな写真や海賊版のソフトウェアといった違法なファイルを検索したり、ダウンロードすることは控えて下さい。セキュリティ対策製品を使用していない場合は、インストールを検討して下さい。ちょっとした興味本位や便利さのために面倒な目にあう必要はありません。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Rika Gregorio
参考記事:
- 「iCloud Hacking Leak Now Being Used As Social Engineering Lure」
by Arabelle Mae Ebora(Fraud Analyst)
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)