世界中に5億人を超えるユーザーを持つ最大級のSNS「Facebook」。創設者をモデルにした映画が公開されるなど、ますます盛り上がりを見せている。その膨大な利用者数や影響力から、サイバー犯罪者たちが標的にしないはずはない。事実、トレンドマイクロのウイルス解析チーム「TrendLabs」(トレンドラボ)では、2010年下半期だけでも、Facebookを標的にして様々な手口を駆使した事例を数多く確認している。以下で具体例を示そう。

デザイン変更後の絶妙なタイミングで届いたスパムメール

 トレンドラボは2010年12月上旬、Facebookからのお知らせを装ったスパムメール(写真1)を確認した。その数日前、Facebookプロフィールページのデザインが更新されたが、このスパムメールは、まさにそのタイミングを狙って送信された。

 スパムメールには、「ユーザー同士のコンテンツ共有やコミュニケーションをより便利にするため」と称してツールバーのダウンロードを促す内容が記されていたが、このツールバーは偽物であった。メール本文内の「Download Here」(ダウンロードはこちら)というボタンをクリックすると、ユーザーは不正なWebサイトに誘導され、このサイトから“fb.exe”というファイルが自動的にダウンロードされる仕掛けになっていた。このファイルには、複数のコンポーネントが含まれており、その一つが「IRC_ZAPCHAST.HU」(※1)として検出されるコンポーネントである。これは、感染したパソコンをIRC機能(インターネットチャットを実現する技術)によりボットネットの一部として使用されるものであり、「WORM_IRCBOT」ファミリーの不正活動を行う。

写真1●Facebookからのお知らせを装ったスパムメール
写真1●Facebookからのお知らせを装ったスパムメール

 “fb.exe”という、Facebookの略語「fb」を連想させるファイル名だけでなく、スパムメール自体も、見た目は、いかにもFacebookからの正規メールと間違わせるようなつくりになっている(図1)。また、トレンドラボで今回のスパムメールを確認したのは、Facebook運営側からプロフィールページのデザイン変更に関するアナウンスがなされたほんの数日後だった。スパムメールの外観やスパムメール送信のタイミングからして、特段に警戒心の強いユーザーでなければ、このスパムメールを偽物とは疑わないだろう。このような手口を使われては、Facebookのユーザーはコミュニティー内のコミュニケーションにこれまで以上に注意を払わなくてはならなくなってくる。

図1●Facebookからのお知らせを装ったスパムメールによる感染フロー
[画像のクリックで拡大表示]

インターネットバンキングの情報を収集

 同じく12月上旬、トレンドラボではFacebookからの通知メールを装った別のスパムメール(写真2)を確認した。メール内容は、スペルミスや文法的な誤りの多い英文による「あなたのユーザーアカウントが悪用され、他のユーザーへスパム送信が行われている」という注意喚起で、スパム送信を止めるための「FB IPSecure」という無料ツールが添付されていた。もちろん、このツールにそのような機能はなく、正体は「TSPY_ZBOT.XXT」(※2)として検出される不正プログラムである。この不正プログラムは、ユーザー名およびパスワードといった、インターネットバンキングのログイン情報を収集する機能を備えている。手口は、ユーザーがターゲットとする金融機関のWebページにアクセスした際、その通信をフックし、不正にJavaScriptコードを挿入することで、ユーザーが閲覧する画面に偽のID/パスワード入力画面を表示させる。そして、そこに入力された情報を収集するというものである。同様の手口で、2要素認証に使われるデバイスであるセキュリティトークンのワンタイムパスワード情報も収集する。

写真2●Facebookからの通知を装った偽の注意喚起メール
写真2●Facebookからの通知を装った偽の注意喚起メール

写真閲覧を促す偽リンクをFacebookのチャット機能で送信

 2010年11月中旬には、Facebookのチャット機能やその他のインスタントメッセンジャーを介して不正プログラムを拡散させる事例も見つかっている。メッセージ上に「Foto」(Photo[写真]を意味する)という文字とともにリンクが張られているのが特徴である。リンクをクリックすると、ユーザーは別のサイトに誘導され、ワーム「WORM_IRCBOT.PHT」(※3)に感染することになる。このワームは、IRCサーバーに接続して感染したコンピュータをボットネットの一部にする機能を備えている。ボットネットの一部になると、様々なサイバー犯罪に利用されるだけでなく、他の不正プログラムがダウンロードされるなど、さらなる感染被害に見舞われることにもなる。

Facebookのチャット機能を介してフィッシングサイトへ誘導

 2010年9月、トレンドラボはFacebook内のチャット機能にフィッシングサイトへのリンクが張られていたことを確認した。リンクは、以下のURLにユーザーを誘導する仕掛けになっていた。

http://<省略>atingchatnetwork.com/facebook/index.php

 誘導先のサイトは、Facebookのログインページそっくりに作られたフィッシングサイトである(写真3)。Facebookからログアウトしたと勘違いしたユーザーが、誤って再ログインしようとすることで大事なログイン情報が盗まれてしまうことになる。手口自体は、フィッシングサイトを利用した典型例ではあるが、Facebook内のチャット機能に不正リンクが張られていた点がポイントである。「Facebook内のチャットならば安全だ」というユーザー心理を巧妙に突く手口だといえる。

写真3●Facebookのチャット機能で送られたURLから誘導される偽のログインページ
写真3●Facebookのチャット機能で送られたURLから誘導される偽のログインページ

人気サービスに便乗する攻撃は常とう化

 Webからの脅威が猛威を振るう現在、今回紹介したようなFacebook人気に便乗した攻撃は、特に新しい手口というわけではない。Facebookに限らず、人気のあるサービスを騙ってスパムメールなどで不正なファイルを拡散させる手法は、既にサイバー犯罪者の常とう手段となっている。スパムメールのメッセージ内容も、どのようなユーザーを標的にするかで巧みに使い分けられている場合がある。

 こういったスパム攻撃は、今後も継続が予測され、何かの拍子に終息することは考え難い。ユーザー側でしっかりと自衛する必要がある。例えば、よく知られたサイトから届いたメールでも、言葉使いが不自然でないか、文法的な間違いはないか、画像の質が悪くないかなどを目視する。そして、少しでも不審な点があれば、メール内のリンクは絶対にクリックしないことである。可能であれば、一切の疑わしいメールは直ちに削除することが原則だ。スパムメールや他の不正サイトへの誘導手段は、先の例のように、セキュリティ上の問題を装ってユーザーに平常心を失わせるなど、心理の隙をつくものである。ユーザーの警戒心が予防には肝心であり、メールを見て即座にクリックするなどのアクションはとらず、疑問な点がありながらも無視できない内容であれば周囲の人や情報源(金融機関などであれば明確になっている連絡先)にオンライン以外の手法で裏づけを取るなどの慎重さが求められる。

参考
●今回の脅威に関するウイルス情報
※1 「IRC_ZAPCHAST.HU」ウイルス情報
※2 「TSPY_ZBOT.XXT」ウイルス情報
※3 「WORM_IRCBOT.PHT」ウイルス情報


Copyrights (C) 2011 Trend Micro Inc. All rights reserved.

本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。

◆このコラムでは、トレンドマイクロのウイルス解析・サポートセンターであるフィリピンのトレンドラボの研究者が、最近のセキュリティインシデントについて解説します。記事はすべて新たに書き下ろしたものです。