Video Screencast Help
Security Response

偽の Facebook アプリでマルウェアが使われるフィッシング詐欺

Created: 10 Oct 2013 06:19:11 GMT • Updated: 07 Nov 2013 03:14:47 GMT • Translations available: English
Avdhoot Patil's picture
0 0 Votes
Login to vote
寄稿: Daniel Regalado Arias
 
フィッシング詐欺師は、フィッシングの餌に目新しさを加えるために偽のアプリケーションを導入することがよくあります。フィッシング詐欺で使われている、ある新しい偽アプリを調べてみることにしましょう。この事例でも詐欺師はログイン情報を盗み出そうとしていましたが、データ窃盗の手段として、フィッシングの餌だけではなくユーザーの個人情報を収集するマルウェアも使われていました。フィッシングサイトは Facebook のログインページに偽装しており、無料の Web ホスティングサイトをホストとして利用していました。
 
figure1_0.png
図 1: Facebook ログインページの外観と同じように見せかけているフィッシングサイト
 

サイトでは、このアプリケーションを使えば自分のプロフィールページにアクセスしたユーザーのリストを閲覧できると謳っています。アプリを起動するには、ソフトウェアをダウンロードする方法と、ユーザーのログイン情報を入力して Facebook にログインする方法の 2 つがあると説明されていますが、アプリはもちろん偽であり、ダウンロードするソフトウェアにはマルウェアが仕掛けられています。フィッシングページのメッセージで推奨されているのは、ソフトウェアをダウンロードする方法です。謳い文句によると、誰かが Facebook のプロフィールにアクセスするたびに通知が送られてくることになっています。ダウンロードボタンをクリックすると、ファイルダウンロードのプロンプトが表示されます。このファイルには悪質なコンテンツが含まれており、シマンテックはこれを Infostealer として検出します。一方、ユーザーのログイン情報を入力した場合には、フィッシングサイトから正規の Facebook にリダイレクトします。

 

シマンテックはこのマルウェアを解析し、以下のように動作することを突き止めました。

  1. マルウェアは 2 つの実行可能ファイルで構成され、どちらも同じ処理を実行する。
  2. ファイルはレジストリの run キーに追加され、再起動のたびに実行される。
  3. マルウェアはキーロガーを仕掛け、被害者の入力をすべて追跡しようとする。
  4. 次に、www.google.com に ping を送ってインターネット接続があるかどうかを確認する。接続がある場合、マルウェアは収集したすべての情報を攻撃の電子メールアドレスに送信する。
  5. シマンテックが確認したところ、このアドレスは 3 カ月前から無効になっているため、マルウェアは現在、攻撃者に更新情報を送信できない状態である。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするとき、アドレスバーの URL を確認し、間違いなく目的の Web サイトのアドレスであることを確かめる。
  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL 証明書で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する総合的なセキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。