6月中旬、ソーシャルネットワーキングサービス(SNS)大手「Facebook」からの通知メールを装ったスパムメールが確認された。そこにはあたかもマイクロブログサイト「Twitter」に関連しているかのような不正なファイルが添付されていたという。このサイバー犯罪では、最も人気のある二つのSNSをかたっており、双方のユーザーをターゲットにしているようだ。
SNSは我々のコミュニケーションの方法を大きく変えた。しかし、その便利さが災いし、何も知らないユーザーが様々な脅威にさらされてしまう。
TrendLabs(トレンドラボ)は、FacebookやTwitterといった大手SNSを悪用した新たな脅威を確認し、注意を促した。この脅威は、Facebookからの通知メールを装ったスパムメールとしてコンピュータに侵入する。さらにユーザーの興味を引いてメールを開かせるため、アダルト関連の内容を件名に使用している。後者の方は、ソーシャルエンジニアリングでよく使われている手法だ。
メールにはダウンロードを促すメッセージとともに、 “twitter.zip” という圧縮ファイルが添付されている。ダウンロードのため、このZIPファイルを解凍すると、 “twitter.html” というファイルが表示される。このファイルには、「JS_REDIR.AE」として検出される不正JavaScriptが埋め込まれている。このスクリプトが実行されると、ユーザーは以下のURLのサイトに誘導される。
http://<省略>ruba.net/zx.htm
このサイトには、iframeタグが挿入されており、このiframeタグによりさらに以下のサイトに誘導される。
http://<省略>owerlinecoltd.com:8080/index.php?pid=10
そしてこのサイトから、ユーザーはさらに以下のサイトに誘導される。
http://<省略>all.com/
このサイトでは、広告の表示とともに、不正なファイルのダウンロードも行われる。
FacebookやTwitterを悪用するサイバー犯罪は、今回が初めてではない。トレンドラボでは昨年、TwitterのユーザーをFacebookのフィッシングサイトに誘導するという手口も確認している。この手口の場合、まずユーザーは、Twitter内でダイレクトメッセージ(DM)を受信することになる。メッセージ内容は、「あなたの写真が別のサイトに掲載されていましたよ」や「人気のモバイルアプリを無料で入手できますよ」といった巧みな誘い文句で、メッセージ内のリンクからFacebookにログインさせようと促すものだった。こういったリンクを安易にクリックすると、ユーザ^は偽のFacebookログインサイトに誘導され、そこで入力したログイン情報が収集されてしまうというわけだ。
もう一つの例としてトレンドラボでは、Twitterのアカウントを利用するためのコンポーネントを新たに搭載した「KOOBFACE」の亜種を確認している。この場合、感染被害にあったユーザーのアカウントを利用して、「偽のつぶやき」が短縮URLとともに投稿される。他のKOOBFACE関連攻撃と同様、この事例でも投稿されたURLをクリックすると偽のYouTubeサイトへと誘導され、特定の動画を視聴するためと称して “Adobe Flash Player” のダウンロードを促される。これが実は、「WORM_KOOBFACE.DC」として検出されるワームになっている。このワームは感染コンピュータから個人情報を収集し、収集された情報はHTTPポストを介してリモートサイトに送信される。
2010年1月時点でTwitter利用者数は、2009年と比べ1100%も伸びたという。ユーザーがこうしたSNSに費やす時間も増加したようで、米調査会社「Nielsen」が2009年3月に発表した報告によると、インターネット利用時間の11分に1回の割合でユーザーは、SNSやブログサイトを閲覧しているという。
加えて、多数の企業がソーシャルメディアを自社のビジネスに利用し始めている。FacebookやTwitterは、消費者とのつながり、サービスや製品の普及、そして何よりもマーケティングや広告宣伝のためのツールとしても活躍し始めている。さらに、ソーシャルメディアは、ユーザーの消費行動に影響を及ぼすものとしても注目されている。
ソーシャルメディアのかつてない人気の高まりにより、FacebookやTwitterがWebからの攻撃の標的となる頻度も増えてきているのだ。世界中に4億人の登録ユーザーを抱えたFacebookは、単に人気のあるSNSというだけでなく、いわば潜在的な被害者を擁した最大のユーザー集団の一つといってもよいだろう。
