スパムやマルウェア、フィッシング攻撃を拡散する目的でソーシャルネットワークの人気を悪用するという手口が、最近ではすっかり一般的になりました。ソーシャルネットワークを介したスパム攻撃は、2011 年 4 月から 6 月の間に劇的に増加しています。この期間にシマンテックが監視し解析したソーシャルネットワーク経由のスパム攻撃では、Facebook、Twitter、YouTube の 3 つのソーシャルネットワークサイトが特に多く利用されていました。
トレンド
以下のグラフは、4 月 1 日から 6 月 15 日にかけてソーシャルネットワーク経由で確認されたスパム量の突出を示したものです。
上のグラフには明らかに特徴的なパターンがあります。それは、あるソーシャルネットワークサイトで攻撃の数が急増すると、その直後に急激に減少し、その後で今度は別のソーシャルネットワークサイトに増加が見られるという、ちょうど循環を後追いしているようなパターンです。まず Facebook で攻撃数の急増があり、それが急減しました。Facebook で攻撃数が減少するとともに、Twitter で攻撃数が増加し、また徐々に減少していくと、今度は YouTube で攻撃の増加が始まりました。各ソーシャルネットワークサイトに対するスパム攻撃の平均的な存続期間は、15 ~ 20 日間です。
次のグラフは、これらのスパム攻撃が占める比率を表しています。Facebook のテンプレートを利用したスパムが、この期間のソーシャルネットワークスパム全量のうち 40% を占めています。
図 1: ソーシャルネットワークスパムの総量に対する比率
スパムの大部分は、ボットネットから送信されています。送信元の IP アドレスを解析したところ(以下の図2)、ソーシャルネットワークスパムの 53% は送信元が米国内でした。ヨーロッパ各国からの送信量は、合計で 19% を占めています。これらの IP アドレスのほとんどは、スパムに関係していることから、レピュテーション(評価)ベースの技術を利用してブラックリストに登録されています。ボットによる攻撃のほか、乗っ取られたユーザーアカウントや、スパマーが作成した偽のソーシャルネットワークアカウントから送信されたスパムサンプルも確認されています。
図 2. ソーシャルネットワークスパム攻撃の地理的な送信元
スパムサンプル
ソーシャルネットワークスパムは、ソーシャルネットワークサイトから送信される正規のメール通知テンプレートを悪用します。メッセージには、未読のメッセージがある、保留中の招待があるなどと書かれ、偽のリンクが掲載されています。偽のリンクをクリックしてリダイレクトされる Web サイトでは、悪質なバイナリファイルが強制的にダウンロードされたり、安価な強精剤や模造品が宣伝されたりします。また、偽のカジノサイトへの誘導やオンラインの出会い系サイトの宣伝などもみられます。
該当するスパムメッセージの例を以下に示します。
このケースで多用されている件名は、以下のとおりです。
件名: Hi, you have notifications pending(こんにちは。保留中の通知があります)
件名: Oops.. You have notifications pending(保留中の通知があります)
件名: Hi, You have 1 new direct message(こんにちは。1 通のダイレクトメッセージがあります)
件名: You have 2 direct message on Twitter!(Twitter で 2 通のダイレクトメッセージが届いています!)
件名: YouTube Administration sent you a message: Your video has been approved(YouTube 管理者からのメッセージ: あなたのビデオが承認されました)
件名: YouTube Administration sent you a message: Your video on the TOP of YouTube(YouTube 管理者からのメッセージ: あなたのビデオが YouTube の上位に入りました)
件名: Direct message from [removed]([削除済み]からのダイレクトメッセージ)
件名: Warning: Your inbox is full, message not accepted(警告: 受信ボックスがいっぱいです。メッセージを受信できません)
件名: [removed] sent you a message on Facebook...([削除済み] から Facebook でメッセージが届いています)
言うまでもなく、どのソーシャルネットワークサイトもこれらのスパム攻撃とは無関係です。ソーシャルネットワークは、ユーザーアカウントが悪用されるこのような攻撃や偽造行為からユーザーを保護するために、さまざまな対策を講じています。たとえば、Facebook では、2011 年 5 月にクリックジャックと自己実行型クロスサイトスクリプティング(XSS)に対する防御策を採用しました(詳しくは、Facebook のセキュリティページを参照してください)。
どのソーシャルネットワークも膨大な数のユーザーを擁し、日々成長を続けています。このことが、「おいしいビジネス」としてスパマーたちに狙われ続ける理由と考えられます。
----------------
備考: このブログの寄稿者である Sujay Kulkarni 氏と Christopher Mendes 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。