2017 年 1 月 31 日 Marc Laliberte 著

土曜日の朝に、予定されているイベントを確認するために Facebook にログインしたところ、関連性のない何人もの友人が同じ記事を投稿していることに気付きました。

どの投稿にも、つたない英語で書かれた同じテンプレートが使われていて、コメント欄にリンクが表示されていました。私は、研究者としての好奇心から、分析用の仮想マシンを用意して偽の Facebook アカウントにログインし、詳しく調べてみることにしました。

[重要な注意事項：この攻撃のリンクは現在は無効になっていますが、将来的に再び有効になる可能性があります。この記事のスクリーンショットに表示されているリンクにアクセスしないでください。]

リンクをクリックして最初に飛んだ Web ページは、とても簡単なもので、何も表示されませんでした。ところが、バックグラウンドでは JavaScript が使用されていて、ブラウザが別の Web ページにリダイレクトされるようになっていました。ページのソースは以下のとおりです。

この新しい Web ページは、Geni という名前のアプリケーションを自分の公開プロファイルに表示する権限が Facebook から要求されるようになっており、さらに 2 つ目の要求で、自分の記事を自分に代わって投稿する権限をこの同じアプリケーションに許可するよう求めていました。

この両方の権限要求に同意したところ（研究者でない方は、絶対にこのような要求に同意しないでください）、同じバレンタインメッセージが私の偽の Facebook アカウントにも表示されたため、何人もの友人から同じメッセージが次々と表示された謎が解けました。

少しすると、「プレミアムコンテンツ」を提供する Web サイトにブラウザがリダイレクトされて、そのコンテンツを利用するためにアンケートに答えるよう指示されました。このような「アンケートに答えると利用できるようになる」と持ちかけるページは、サイバー犯罪者がマルウェアやフィッシング攻撃でよく使う方法です。偽のアンケートページは多くの場合、ドライブバイダウンロード攻撃をホスティングするものであったり、ログインプロンプトを表示して、フィッシングに利用する認証情報を入力させるものであったりします。

2 回目のリダイレクトでスケアウェアをホスティングする新しい Web ページがすぐに表示されたため、スクリーンショットを撮る位の短い時間しかありませんでした。この Web ページは、一見すると正規の Microsoft の Web サイトのようでしたが、ウイルスに感染したのでコンピュータがロックされたことを通知する、JavaScript の警告ウィンドウが表示されました。そして、この警告には、ある番号に電話して、ウイルス駆除プロセスの手順をエンジニアから教えてもらうように指示されていました。Web ページではその間も、「Call Microsoft Now（今すぐ Microsoft にお電話を）」という音声が繰り返し再生されました。

Web ページのソースコードを分析してみたところ、バックグラウンドでエクスプロイトキットが実行されている証拠は見つからなかったため、このページは初歩的なスケアウェアだったようです。このような攻撃では、実際には存在しない感染を駆除するためのヘルプを受けるために、偽のヘルプデスクに電話をかけるように指示されます。（ヘルプデスクの技術者を名乗る）攻撃者は、タスクマネージャーを開くよう指示し、実行中のサービスは全部ウイルスであると言って、自分に技術的な知識があることをひけらかします。そしてその後に、トロイの木馬である不正ウイルス対策ソフトウェアをインストールするよう指示します。悪質な場合は、その偽のウイルス対策ソフトウェアの代金を要求されることもあります。

攻撃の最初の段階で使用されたアプリケーションである、Geni は、実在する会社のアプリケーションであるらしく、Google の紹介文によれば、「Geni は、イスラエルの民間企業である MyHeritage が所有する、商用系ソーシャルネットワーキングの Web サイト」だということです。ただし、この企業や Web サイトが本当に攻撃に加担していたのか、あるいはまったく無関係なのかについては、不明です。攻撃者がこの会社のアプリケーションを単に不正リンクを拡散する手段として使用していた可能性もあり、あるいは、不正リンクを個人的に追加しつつ、このアプリケーションを宣伝することで紹介料を得ていたのかも知れません。いずれにしても、この攻撃に使用されていた他のほとんどのリンクが 24 時間以内に消滅していました。

この攻撃はいくつかの不正 Web サイトにアクセスさせるだけで終わりのように思えますが、同様の多くの攻撃は、Facebook の認証情報を盗んだり、ブラウザの不正拡張機能をインストールしたり、ランサムウェアを拡散したりします。私自身の友人が何人も犠牲になったことを考えれば、この攻撃が大きな成功を収めたことは明らかです。

この種の攻撃は、ユーザの知識不足につけ込むものであり、今回のバレンタインメッセージの場合は、Geni アプリケーションが自分の代わりに投稿することを許可しなければ、攻撃は成功しませんでした。ソーシャルメディアを利用する場合は、ゲームやアプリケーションに対する権限をむやみに付与することなく、十分に注意する必要があります。多くの場合は、このような権限を許可してもスパムが拡散するだけですが、サイバー攻撃が始まるきっかけになることもあります。

リンク（特に、要求した覚えのないメッセージのリンク）のクリックにも、十分に注意する必要があります。ドライブバイダウンロードやエクスプロイトキットは、リンクをクリックするだけでシステムがマルウェアに感染することが多いため、あらゆる Web ユーザにとって大きな脅威であることに変わりありません。Web ユーザは、ブラウザ、プラグイン、拡張機能に常に最新のセキュリティパッチを適用するようにする必要があります。そうすることで、攻撃の標的になったり、不正 Web ページにアクセスしてしまったりしたとしても、ドライブバイダウンロード攻撃の犠牲になるリスクが少なくなるからです。– Marc Laliberte