ソーシャル・ネットワーキングを使いこなし攻撃する「KOOBFACE」

2009.11.18

　人気のソーシャル・ネットワーキング・サイト（SNS）であるTwitterは，以前から不正プログラム「KOOBFACE」ファミリの標的にされてきた。ただ，「WORM_KOOBFACE.V」が登場したことでTwitterを狙う脅威は，新たな段階に達した。これまで「KOOBFACE」の亜種は，一つの「つぶやき」（Tweet）を使って感染を広げた。しかし「WORM_KOOBFACE.V」がもたらした最新の攻撃では，少なくとも40の異なるメッセージが同時に使われ，ユーザーは，さらに大きな感染の脅威にさらされた。

Twitter経由で感染する「KOOBFACE」

　「KOOBFACE」はTwitterを利用して感染を拡げてきている。このこと自体に意外性はない。「KOOBFACE」はユーザーへの感染経路として他のSNS，例えば「Facebook」，「MySpace」，「Hi5」，「Bebo」，「Tagged」，「Friendster」なども利用してきた。ただ，これはSNSの人気に便乗することが目的だったからである。やがてTwitter人気が高まり，世界中から4450万（2009年6月）の会員を獲得するようになると，このSNSはサイバー犯罪者にとって格好の標的となった。

　Twitterを使った「KOOBFACE」の攻撃事例は，以下の通りである。

・2009年6月25日
　トレンドマイクロのシニアウイルス解析者Jonell Baltazarは，「KOOBFACE」ファミリーに新たな亜種が追加されたことを確認した。この亜種により，「KOOBFACE」によるTwitter攻撃が初めて行われた。この事例ではTwitterの複数のアカウントが使われ，不正URLを含む「つぶやき」が作成された。これらの不正URLをクリックすると「WORM_KOOBFACE.DC」をダウンロードすることになる。「つぶやき」内のメッセージとURLは，「KOOBFACE」のコマンド&コントロール・センター（C&C）ドメインによって作成された。ユーザーの好奇心を高めるために，マイケル・ジャクソンの訃報のような話題性のあるニュースが「つぶやき」のトピックに用いられた。

図1●「KOOBFACE」による「つぶやき」のサンプル

・7月9日
トレンドマイクロのウイルス解析チームは，Twitterにおける「KOOBFACE」の活動が活発化したことを確認した。この攻撃では，関連不正プログラムは複数の不正URLを利用した。感染拡大を憂慮したTwitterは，一時的に感染したアカウントを閉鎖する事態に陥った。

・8月5日
Twitterの運営者は不正プログラムによる攻撃をかわす試みとして，Twitterに投稿されたURLのフィルタリングを実施した。

・8月17日
「KOOBFACE」のC&Cドメインは，スパム活動のコマンドを大量に発信し，「KOOBFACE」に感染しているコンピュータを使って様々なメッセージと不正URLを送信した。このスパム活動により，Twitterの運営者によるURLフィルタリングの作業が困難になった。今回取り上げた最新の亜種「WORM_KOOBFACE.V」は，この時ばら撒かれた。

「WORM_KOOBFACE.V」：被害報告が相次いだ新タイプのTwitter攻撃

　「WORM_KOOBFACE.V」は，それまでの「KOOBFACE」のお決まりの手口をそのまま使わなかった。通常は，おなじみの「My home video ：）」というメッセージが繰り返し使われるが，今回は少なくとも40の異なる「つぶやき」がこのスパム活動のために作成された。ただ，大量送信された「つぶやき」に不正URLが添付された点は従来の手口と同じである。「つぶやき」に組み込まれたURLは，偽のFacebookページにユーザーをリダイレクトする。その後ユーザーは，実行ファイル“setup.exe”をインストールするよう促されるが，このファイルは実際は「WORM_KOOBFACE.V」である。

　実行されると，このワームは自身がWindows起動時に自動実行されるようレジストリ値を追加する。また“Windows”フォルダ内に自身のコピーを作成し，感染したユーザーのインターネット閲覧履歴のクッキーを検索する。その後ワームは，監視対象であるTwitterにユーザーがログインするかどうか確認する。ログインが確認されると，ワームはログインしているユーザーのTwitterセッションを利用する。確認されない場合，ユーザーがTwitterにログインするのを待つ。

　ワームはTwitterのセッションを乗っ取ると，「つぶやき」を作成し，ユーザーの連絡先に送信を始める。「つぶやき」には，「Congratulations! You are on hidden camera!」（おめでとう！　隠しカメラに撮られてるよ！）や「Congratulations! You are on news!」（おめでとう！　ニュースになってるね！），「Congratulations! You are on TV!」（おめでとう！　テレビに出てるよ！）などがある。感染したユーザーが送信する「つぶやき」には，このワームのコピーを勝手にダウンロードする不正なリンク先を含む。このため連絡先のユーザーがURLをクリックすればするほど，感染が拡がることになる。

図2●「WORM_KOOBFACE.V」の感染フロー

[画像のクリックで拡大表示]

　トレンドマイクロのシニアウイルス解析者Joey Costoyaは，異なった複数の「つぶやき」が同時に使用された理由を，ユーザーが「つぶやき」を見てスパムかどうか判断できないようにするためと考えている。Twitterのフィルタリング機能では，「My home video ：）」というメッセージしかブロックされないため，このような手口でフィルタリング機能も通過できることになる。

　「KOOBFACE」が成功したのは，ソーシャル・エンジニアリング手法によるところが大きいと言える。「KOOBFACE」は興味深い「つぶやき」を次々と作成するばかりではなく，SNSに一般的に見られる「友達だから信用できる」といった雰囲気をうまく利用するのだ。

「KOOBFACE」による攻撃への対策

　Twitterの絶大な人気はサイバー犯罪者の目に止まり，不正プログラム攻撃に始まって，スパム，最近確認された分散型サービス拒否（DDoS）攻撃にいたるまで，様々な不正活動を引き起こした。このような現状への対応策として，Twitterは，URLフィルタリング機能を採用した。ユーザが不正リンクをクリックし，感染することがないようにするためである。

　Twitterはセキュリティ対策を軽視することなく，URLフィルタリングによるセキュリティ機能の強化に乗り出した。ただ残念なことに，セキュリティ対策はTwitterの本分ではない。TwitterのURLフィルタリング機能は，セキュリティの脅威を警告するには十分だが，ユーザーを実際に脅威から守るには十分とは言えない。結局，ユーザーは自分のコンピュータを守るための自己防衛策が必要となる。

　Webサイトを閲覧する際に細心の注意を払うことがコンピュータを守ることになる。「KOOBFACE」がこれまでに使ったソーシャル・エンジニアリングの様々な手口を知っておくことも大切だ。たとえ知人から送信された「つぶやき」であっても，少しでも疑問に思うことがあれば，決してリンクをクリックしない方がよい。どうしてもクリックしなければならない時は，少なくとも，不正URLを効果的にブロックし，不正プログラムの実行を防ぐことができるウイルス対策ソフトのような仕組みは欠かせない。

参考：
・Baltazar Jonell（2009年6月25日），TrendLabs Malware Blog，“Koobface Tweets.”
・Flores Ryan（2009年7月9日），TrendLabs Malware Blog，“Koobface Increases Twitter Activity.”
・Caraig Det（2009年8月5日），TrendLabs Malware Blog，“Twitter Filters Tweets.”
・Caraig Det（2009年8月11日），TrendLabs Malware Blog，“Twitter: Target of a Not-so-Normal DDoS Attack?”
・Costoya Joey（2009年8月11日），TrendLabs Malware Blog，“Koobface Ramps Up Its Twitter Campaign.”
・トレンドマイクロウィルスデータベース「WORM_KOOBFACE.V」
・トレンドマイクロウィルスデータベース「"WORM_KOOBFACE.DC」"WORM_KOOBFACE.DC
・Baltazar Jonell，Joey Costoya and Flores Ryan（2009年8月），The Real Face of KOOBFACE：The Largest 2.0 Botnet Explained.