Symantec Security Response Weblog
Protecting Privacy on Social Networks」より
June 9、2010 Posted by Samir Patil

 ソーシャルネットワーキングサービス(SNS)は、共通の趣味を持っていたり、同じような情報や活動に関心があったりする人々を結びつけ、交流の場を設けることが主目的のオンラインサービスである。フィッシング攻撃を仕掛ける連中は、ソーシャルエンジニアリング的な手法でこうした人間関係につけ込んでくる。当社(米シマンテック)が先ごろ発見しただましの手口は、あるSNSサイトの「グループ」機能を悪用しようとするものだった(対SNSサイト攻撃の最近の状況については、「Users of Social Networking Websites Face Malware and Phishing Attacks(マルウエアとフィッシング攻撃にさらされるSNSサイトのユーザー)」を参照してほしい)。

 グループ機能について問題なのは、参加者に友人を誘うよう強いるグループが存在することだ。興味のないグループへの招待メッセージを受け取ることは、グループの参加者にとっても、その友人にとっても不愉快な行為となる。グループのなかには、「友人の招待を忘れないで下さい。招待しないと利用できません」といった注文をつけて招待を強制するところもある。経験の浅いユーザーがこのように脅されると、相手がそのグループに関心を持つかどうかなど気にすることなく、友人全員に招待メッセージを送ってしまいかねない。そうした例の一つを以下に掲載した。

 強制的な招待制度と偽の優待サービスを組み合わせるグループもある。以下のスクリーンショットの場合、表示されたリンクをクリックすると、「当サイトのユーザーが実在の人物であることを確かめるため」との理由でIQテストを受けるよう求めるWebページにリダイレクトされる。この要求に応じると、今度は様々な個人情報の入力が必要なIQテスト用ページへリダイレクトされてしまう。

 そのほかには、友人を招待することを何らかの報酬に結びつけるため、以下のようにスポンサーサイトのアクセスを条件とする事例も見られる。

 このスクリーンショットには、矛盾した指示が並んでいる。例えばこのWebページには、上部の3分の1までに「20人招待するごとに100万ドル相当の別荘が手に入る」というメッセージが4個もある。ところが2番目の指示には、「(ユーザーの)友人の90.0%以上を選ぶ」ことが条件で、そうしないと(意味はよく分からないが)「システムに認識されない」ため何も受け取れないそうだ。そのほかにも、商品を受け取る手続きは「次の簡単な4段階のステップに従う」だけとあるが、実際の説明は2段階だ。しかも同じ間違いが2カ所ある。さらに、事務所の所在地が「New York City!」と感嘆符付きで記載されていることも明らかにおかしい。