ソーシャルメディアサイトでは、追悼メッセージを悪用した詐欺が増え続けています。最近も、ジャッキー・チェン、モーガン・フリーマン、ウィル・スミス、キアヌ・リーブス、リアーナといった有名人が死亡したという詐欺がありましたが、これはほんの一例にすぎません。こういった人騒がせなメッセージには、たいてい動画へのリンクも含まれています。ユーザーが動画を見ようとすると、餌となるメッセージを家族や友人と手動で共有するように仕向けられ、詐欺の拡散に加担させられてしまいます。投稿を共有しても、謳われていた動画を見ることはできません。代わりに、広告サイトにリダイレクトされ、アンケートに答えるよう求められるだけです。この広告とアンケートが詐欺師の収益源となっています。悪質なブラウザ拡張機能やアプリケーションをダウンロードするよう求める亜種もあります。この手の詐欺は目新しいものではありませんが、儲けにつながる限り途絶えることはないでしょう。
図 1. ソーシャルメディアサイトで共有されている偽動画詐欺
最近、一部の詐欺で頻繁に利用されているのは、自動車事故で亡くなったポール・ウォーカーさんとロジャー・ロダスさんです。話の大筋は間違っていませんが、詐欺師はこの悲劇的な事故を悪用して、事故の未公開映像が写っていると称した動画を広めようとしています。悪質な Facebook アプリケーションを使うことに特化して、詐欺の拡散を図る詐欺グループもあります。詐欺師は IP アドレスから地理情報を調べる簡単な JavaScript を利用してユーザーの位置を特定し、その地域に対応するサイトにブラウザをリダイレクトします。こうしたあからさまな動作も、最近では珍しくありません。リダイレクト先は悪質な Facebook アプリケーション、リモートでホストされた詐欺サイト、あるいはフィッシングサイトです。幸い、以下の例に挙げたフィッシング Web サイトは、あまり出来がよくなく、ブラウザによってはレイアウトが崩れてしまいます。
図 2. レイアウトが崩れた偽の Facebook ログインページ
リダイレクトされるときに、悪質な URL に関する Facebook の警告が表示されないこともあるので注意が必要です。ユーザーが Facebook の投稿にあるリンクをクリックすると、ブラウザは転送スクリプトにリダイレクトされます。Facebook が転送先の URL を不審と判断した場合には警告が表示され、ユーザーはその情報を基に投稿をスパムとして報告することができます。Web ページは警告の下にある iframe で表示されるため、ごくまれに、詐欺師が自動的にユーザーを新しいサイトへリダイレクトできる可能性もあります。そのため、悪質な Facebook アプリケーションのページに移動する前にユーザーが警告メッセージを目にするのは、1 秒にも満たない一瞬だけです。また、最終ページに行き着くまでに何度もリダイレクトが繰り返される場合もあります。
図 3. リンクのリダイレクト警告
ユーザーが悪質なアプリケーションをインストールしようとすると、ユーザーのデータを読み取ってタイムラインに投稿する許可が求められます。詐欺師の最大の目的は、被害者に知られないうちにユーザーの Facebook アカウントからメッセージを投稿し、この詐欺に騙される人を増やすことです。アプリケーションのインストールが終わると、詐欺メッセージがユーザーのタイムラインに投稿され、アンケート詐欺の Web ページにリダイレクトされます。
1 時間に数百人ものユーザーがいずれかのリンクをクリックしており、実際にアプリケーションをインストールした人もいます。言うまでもなく、Facebook は悪質なリンクを遮断し、悪質なアプリケーションをできるだけ早く削除することに尽力していますが、厄介なのは、犯人がスクリプトを自動化していることです。解析した各ドメインは、悪質な Facebook アプリケーションのコピーを 2,000 以上もホストしています。それぞれ名前が少しずつ異なっているため、あるアプリケーションが遮断されたら、詐欺師は悪質なリンクを変更するだけです。
図 4. 許可を求める詐欺アプリケーション
いつものことですが、インターネットを利用する場合は、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
- ソーシャルメディアサイトで衝撃的な話を読んだときは用心し、疑ってかかる。
- 信頼できないサイトからプラグインやツールをインストールしない。
- コンテンツにアクセスするためのアンケートについては、回答する前に再考する。
- ソーシャルアプリケーションをインストールするときは、要求される許可が本当に必要かどうかを確認する。
シマンテック製品をお使いのお客様は、さまざまな IPS シグネチャと URL 評価遮断サービスによって、この手の攻撃から保護されています。
Facebook で何らかの詐欺を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この手の詐欺への対策を講じており、新しい脅威が登場するたびに遮断し、削除しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。