Facebook 上の詐欺で確認された Blowfish

連休が週末と重なるときの常ですが、7 月 4 日の独立記念日まで続いたこの週末にも、実に多くの詐欺行為が Facebook を通じて拡散されました。定番のクリックジャックやデマ、フィッシング攻撃に加え、このタイプの攻撃の進化が近いことを思わせる、ある特定の詐欺が見つかっています。

いつものように、この詐欺もワナとなるメッセージで始まりますが、今回話題とされているのは元恋人の必見ビデオと称するものです。ワナとして使われる話題はどれも今までに使い古されたものばかりですが、残念ながらそれに引っかかる人が後を絶たないことは注目に値します。

[Video] - This is what Happend to his Ex Girl Friend!（[ビデオ] - 元カノの身にいったい何が起きたのか!）
vidoea[削除済み].blogspot.com
Play Video! She was Hurting for days, and could not walk!（今すぐ再生! 彼女は何日も苦しんでいて、歩くことさえできませんでした!）

goo.gl リンクをクリックすると、リモートサイトにリダイレクトされます。このリンク先に関する Google の統計ページによると、およそ 15,000 人がこのリンクをクリックしたことになります。もちろん、複数のリンクが関係しているので、この数字はこの詐欺に引っかかった可能性のある被害者の概算平均にすぎません。

最初のページは単なるリダイレクト用ページで、Facebook のメタタグを設定したうえで、top.location.href を伴う簡単な JavaScript を使って別のドメインにリダイレクトしています。このページには、おなじみの「年齢認証」の仕掛けが表示され、［Jaa］ボタンを 2 度押すように要求されます。［Jaa］ボタンとは、フィンランド語で［Share（共有）］ボタンを意味しています。このページは、単に以下のようなロケールパラメータを使って、Facebook ウィンドウの国別言語をフィンランド語に設定しているだけです。

/sharer.php?locale=fi_FI

この仕掛けは、ドイツ語圏のほうが有効に機能するでしょう。というのも、ドイツ語であれば「Ja」は「はい」を意味し、この場面にいっそうふさわしいからです。この詐欺のドイツ語版がまだ登場していないのが不思議なくらいです。とは言っても、詐欺の本文に書かれた英語がけっして流暢なわけではないことを考えると、作成者がドイツ語でこの詐欺を拡散することまで考えなかったのも、無理はないのかもしれません。

普通ならここでクリックジャックが使われ、「再生」ボタンに非表示のフレームが重なっているところです。クリックジャックの目的は、何も知らないユーザーに［共有］ボタンをクリックさせ、詐欺を拡散することにありますが、今回の場合、クリックジャックは使われていませんでした。「再生」ボタンをクリックすると通常のウィンドウが生成され、リンクを共有するにはそこでボタンをクリックしなければなりません。したがって、今回のケースではクリックジャックを仕掛けるまでもなく、ただのクリックで十分なのです。

ここまでであれば、この詐欺には特別な点も目新しい特徴もなかったのですが、バックエンドで動作する JavaScript を解析したところ、以下の点に気付きました。

/*
 OoPs! g00d luck.n00B. xD
*/
function Blowfish(k){...

最初は、何らかの暗号化を実装しそこねたものとも考えましたが、詳しく調べてみると、S ボックスが何重にも組み合わされており、これは実際に強力な暗号処理であることが判明しました。さらに何分後かには、この詐欺の作成者が Google コード上にある HTML 暗号化機能からパブリックコードを利用して、ペイロードをまず AES 256 で暗号化し、続いて Blowfish で暗号化していることもわかりました。2 回目のループでは、SVN リポジトリにあるオンライン JavaScript ファイルにも直接リンクしています。

[http://]html-encrypter.googlecode.com/svn/trunk/hea2[削除済み]

このようにすると、不明瞭化されたスクリプトは、署名を検索する一部のネットワークセキュリティツールをすり抜けることができます。ただし、クライアント側で解読が必要になるので、解析ツールや高度なブラウザ保護ソリューションがあれば撃退も困難ではありません。

この詐欺の残りの部分はごく単純です。リンクがユーザーによって共有されると、アンケートページにリダイレクトされ、少し経ってから関連するビデオが表示されます。次に、1 週間当たり 8 ユーロという携帯回線契約サービスの広告が示されます。

Facebook で何らかの詐欺行為を発見した場合には、すぐに報告することをお勧めします。Facebook のセキュリティチームは現在、この詐欺への対策を講じており、新しいバージョンが出現するたびに遮断し、削除しているところです。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。