オンライン・コミュニケーションの増加とともに、人々の暮らしを結ぶ関係も、いっそう親密なものになってきました。インターネットは、こうしたユーザ同士の関係をつくり出し、なおかつ維持する上で様々な手段を提供してきましたが、その中でも特に、ユーザの誰もが簡単に行える手段として重宝されるのが、いわゆる「ソーシャル・メディア・サイト」です。ただ残念なことに、ソーシャル・メディア・サイトでは、その使いやすさのゆえ多くのユーザがより長く過ごすようになり、サイバー犯罪者たちにとっての格好の標的として、オンライン上の脅威がもたらされる場所ともなっています。

というのも、こうしたソーシャル・メディア・サイトでは、常連ユーザを巧みに利用することで、サイバー犯罪者は、自分たちの方からユーザへの接近を図ることができるからです。その意味でも、スパムメールやオンライン詐欺、その他の攻撃において、ソーシャル・メディア・サイトが格好の標的になるのも当然だといえます。また一口にソーシャル・メディア・サイトといっても、ユーザ同士でのコンテツ作成や共有の方法には、様々な種類があります。ごく短い140文字の近況報告から、リンク、画像、動画などといった様々なコンテンツを掲載し、ユーザ同士で共有することも可能です。もちろん、特定のユーザに私的なメッセージやダイレクトメッセージを送信することも可能です。こうした機能を駆使すれば、サイバー犯罪者も、手間ひまをかけずに攻撃を実行することができるわけです。

ソーシャルメディア関連は、どのようにして拡散していくのでしょうか?

ソーシャルメディア関連の脅威として、まず最も頻繁に利用されているサイトは、「Facebook」や「Twitter」です。この2つのサイトは、数百万にも及ぶ膨大の数のユーザを有し、その人気から、双方とも、サイバー犯罪たちが不正活動を実行する上で、いまや格好のソーシャル・メディア・サイトとなっています。

通常、ソーシャルメディア関連の脅威は、ユーザがソーシャル・ネットワーキング・サイトにログインした際にもたらされます。ユーザがログインしてサイト内のメンバーのプロフィールや関連のソーシャル・メディア・サイトを閲覧している際に、不正URLなどの不審な掲示物に遭遇します。そして何も知らずに誤ってクリックすると、不正なWebサイトへと誘導されることとなります。誘導先のサイトは、不正プログラムがダウンロードされるサイトや、フィッシングサイト、スパム活動を誘発させるサイトなどです。

ただし、こういったソーシャルメディア関連の脅威も、単にソーシャル・ネットワーキング・サイト内だけに限定されるわけでもありません。いわゆる「世間一般のソーシャルメディアへの関心」という現象自体につけ込み、サイバー犯罪者も、あの手この手で繰り返し不正活動を企ててきています。たとえば、正規のソーシャル・メディア・サイトからの通知メールを装ったスパムメールの送信などは、「世間一般のソーシャルメディアへの関心」を利用したソーシャルエンジニアリングの典型的な手口の一例といえるでしょう。

ユーザは、どのような攻撃に遭遇しますか?

冒頭でも述べたように、ユーザは、ソーシャルメディアの利用に際し、特にユーザ同士で共有するコンテンツの掲示を行う上で、いつかのオプションを選ぶことができます。そして残念なことには、サイバー犯罪者も、そうした様々なオプションに応じて巧みに手口を使い分け、ソーシャル・メディア・サイト上で不正活動を実行しています。

Facebookを利用した攻撃
  • 「Like(いいね!)」クリックジャック攻撃: ユーザが関心を示しそうなポストを“エサ”としてサイバー犯罪者が仕掛け、ユーザがそのポストをクリックしても、意図している結果が得られず、「乗っ取られた別の不正クリック」に伴う被害をうけるという手法です。これらの手口の発想自体は、それほど複雑なものではありません。いわば典型的なソーシャルエンジニアリングの手法でもあり、各シーズンに関連したイベント、セレブリティのゴシップ記事、地震や台風といった自然災害などを“エサ”として仕掛けるのが一般的です。

    ユーザがこれらのポストをクリックすると、何も知らずに攻撃に加担してしまうことになります。クリックすることで、不正スクリプトにより自動的にユーザの「友達」の「Wall(ウォール)」に同じようなポスト(リンクや画像や動画など)掲示されてしまうからです。こういった手口で、特によく使われるのが、ユーザのプロフィールページからユーザが何も知らない間にFacebook内の特定のページに対して「いいね!」ボタンをクリックさせるという手法です。また場合によっては、「スパム送信」されたポストにより、最終的にユーザは特定ページで年齢認証などの設問への回答を促され、安易に回答してしまうと、金銭絡みのサイバー犯罪の被害を受けることになります。

  • 偽アプリケーション:Facebookでは、ユーザ同士でオンラインゲームをしたり、プロフィールに追加機能を施したり、その他、各種アプリケーションを駆使した様々な活動を楽しむことができます。オープンプラットフォームとなっているので、事実上、誰もが自由にアプリケーションを開発して、Facebook上に提供することができ、なおつかそれらのアプリケーションをユーザの誰もが自由に利用することができます。むろん、このような機会をサイバー犯罪者が利用しないわけがありません。サイバー犯罪者たちも、様々な偽アプリケーションを作成し、それらは、スパム活動用のポストやフィッシング攻撃などといった不正活動に利用されます。

  • チャット機能を介した攻撃:Facebookには、ビルトインでチャット機能が備わっており、これを利用すれば、ユーザ同士で気軽にリアルタイムのチャットを楽しむことができます。そしてこういったチャットにサイバー犯罪者が介入してくる可能性もあります。過去の攻撃としては、チャットメッセージを介して不正プログラムを撒き散らしたり、フィッシング活動用のアプリケーションを広めたりするという事例も確認されています。
Twitterを利用した攻撃
  • スパムツィート:Twitterには140字という字数制限がありますが、サイバー犯罪者たちは、こういった制限を逆手にとって、短いメッセージだからこそリンクを送信せざるを得ないような効果的なツィートを工夫しています。たとえば、無料の商品引換券や割引券求人広告減量成功の体験談など、短いがゆえにユーザが衝動的にクリックしてしまうような工夫が施されています。また驚いたことに、サイバー犯罪者向けにこういったスパムツィートを簡単に作成できるツールキットまでもが出まわっているようです。

  • 不正プログラムのダウンロード: Twitterは、スパムツィートの送信というスパム活動のみならず、不正プログラムがダウンロードされるサイトへ誘導するためのリンクを拡散させるためにも利用されます。この種の事例は、これまでにもいくつか確認されており、特にSEOポイズニングを利用して「FAKEAV」やその他のバックドア関連のアプリケーションを拡散させる事例が特筆に値するでしょう。また、直接ツィートを送信して自身を拡散させる「Twitterワーム」や、WindowsとMac OSの両方に感染することのできる不正プログラムなども確認されています。こういったソーシャルメディア関連の不正プログラムの中でも、現在でも有名なものは、やはり、FacebookとTwitterの双方を標的にして感染活動を行う「KOOBFACE」でしょう。「動画関連のポストを掲示し、ユーザを偽Youtubeページに誘導し、そこから不正なファイルがダウンロードされる」という巧妙かつ最近人気のソーシャルエンジニアリングの手口を利用するからです。またSEOポイズニングの手口も用いているようです。この場合は、Twitter上で人気のトピックなどを巧みに利用してSEOポイズニングのキーワードを選ぶようです。

  • Twitterボット:スパム・ツィートを送信したり、不正プログラムの拡散を企てたりといった活動にとどまらず、サイバー犯罪者たちは、ボットネットのゾンビPCを管理・運営するためにも、Twitterを駆使しているようです。たとえば、「WORM_TWITBOT.A」に感染したコンピュータは、「Mehika Twitter」というボットネットのゾンビPCとなってしまい、このボットネットのボットマスターにコントロールされることになります。しかもこの場合、ボットマスターは、Twitterのアカウントからコマンドを送信するだけでのコントロールが可能となります。もちろん、このようないわゆるマイクロブログのサイトをコントロールに使用することには、メリットもデメリットもあるでしょうが、従来のようなC&Cサーバを使用するかわりに、このようなソーシャル・メディア・サイトを駆使するという点は、非常に興味深い傾向であるといえます。

これらのソーシャルメディア関連の攻撃は、ユーザにどのような影響を及ぼしますか?

スパム活動による被害をうけたり、フィッシング攻撃に見舞われたり、不正プログラムに感染したりと、ソーシャルメディア関連の攻撃でも、通常のサイバー犯罪に伴う様々な影響をうけますが、特に大きな課題となるのが、個人情報をどのように保護するかという点です。ソーシャルメディア自体、その究極の目的は、いわば「自分のプライベートな情報をできるかぎり他人にアクセス可能にさせる」ということであり、「ユーザ同士の私的なコミュニケーションを楽しむ」ということだからです。

こうした中、インターネット上で個人情報が自由に入手できるため、特定の個人を狙った標的型攻撃などのサイバー犯罪が急増してきたともいえます。他方、「ソーシャルメディア関連のアカウント情報は、それがサイバー犯罪者に盗まれたところで、何か大きなサイバー犯罪に利用されるようなことはない」などといった誤った見解も流布しているようです。ここで多くのユーザが見過ごしているのは、サイバー犯罪者は、ソーシャルメディア関連のアカウント情報を入手できれば、それを手がかりにしていくらでも他のもっと重要な金銭に絡むようなアカウント情報にアクセスできるという点です。それはビジネス関連の情報でも同様です。「LinkedIn」などのサイトではユーザの就労関連の情報などに自由にアクセスできますが、これを手がかりにしていくらでもサイバー犯罪を企てることは可能です。実際、ソーシャル・メディア・サイトの情報を駆使すれば、各企業の社員の勤務態度や行動規範の調査なども簡単に行えることが報告されています。こうした行為も、多くのユーザが考えている以上に容易なことなのでしょう。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Eメールレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。

上席研究員のRyan Floresは、以下のようにコメントしています。
「『KOOBFACE』は本当に何でも知っています。この不正プログラムは、ユーザがFacebookやMySpace、Twitterなどのプロフィールページに掲載した情報を入手する機能を備えているわけです。こういったソーシャル・ネットワーキング・サイトなどのプロフィールページには、住所やメールアドレスや電話番号といったコンタクト情報、趣味やお気に入りといった関心事、大学やその他の所属団体の情報、そして勤務先や職位、場合によっては給料といった情報まで記載されています。その意味では、まさしくこの不正プログラムは『何でも知っている』と言えるわけで、この点、われわれは十分に注意する必要があります。」

上席研究員のRanieri Romeraは、以下のようにコメントしています。
「実際、ソーシャル・ネットワーキング・サイトは、いまや数千から数百万に及ぶユーザプロフィールのページを有してており、その中からサイバー犯罪者が利用している不審なプロフィールページを特定するなど、彼ら自身も特定化されるのを避けるため工夫を凝らしている中、本当に至難の業だと言ってもいいでしょう。」

脅威研究員のMarco Dela Vegaは、以下のようにコメントしています。
「ソーシャル・メディア・サイトにおいても、サイト内やメッセージ内容に明らかに不審な文法上のエラーなどが確認された場合、まさしくフィッシング攻撃に見られる典型的な傾向でもありますが、閲覧しているサイトは、正規ではないといえるはずであり、十分に注意する必要があります。」

上席研究員のJamz Yanezaは、以下のようにコメントしています。
「今回のような情報漏えいに関する脅威は、『ユーザ自身がオンライン上でのどのように振舞うべきか』という観点からも捉えるべきです。Facebookを利用しているかどうかに関わらず、どのようなソーシャル・ネットワーキング・サイトであれ、この種の脅威に無頓着なユーザは、個人情報をうっかり流出させてしまうようなミスを犯すわけですから。」

上席研究員のDavid Sanchoは、以下のようにコメントしています。
「サイバー犯罪者にとって、ソーシャル・ネットワーキング・サイトのアカウント情報は、その他のアカウント情報よりも利用価値の高いものであるようです。ひとたび、そのアカウントでソーシャル・ネットワーキング・サイトにログインできれば、『友達リスト』からメールアドレスを入手できるだけでなく、そういった『友達リスト』のネットワークを使って不正なリンクを送りつけたり、「友達」の個人情報さえ入手することができるからです。個人情報の中でも、『ソーシャル・ネットワーキング・サイトのアカウント情報』に高値が付けられるのも当然のことでしょう。」

コンピュータを攻撃から守るにはどうすればいいのですか?

Webサイトの閲覧やEメールの利用といった際に留意すべき基本的な注意事項は、すでに何度も述べられていますが、こうした注意事項は、ソーシャルメディア関連の脅威に対しても有効です。特に注意すべきは、ソーシャルメディアの有名な正規サイトからの通知メールを装って送られてくる「偽通知メール」です。またソーシャル・メディア・サイト内のユーザ・プロフィールページやその他のページを閲覧する際も、「これらのページは必ずしも安全というわけではない」と常に留意しておくことも重要です。「ソーシャル・メディア・サイト内のページだから比較的安全だ」というは確かにその通りかもしれませんが、そのような認識につけ込んで不正活動を企むサイバー犯罪者たちが、まさしく「ソーシャル・メディア・サイトの影に潜んで犯罪の機会を待ち構えている」ということは、決して忘れるべきではないでしょう。

さらにユーザ側としては、個人情報の保護という点でできるかぎりの努力をするべきでしょう。「オンラインに掲示した情報は、もやは誰もが勝手に自由に入手できる状態になっている」という認識をもっておくことです。この意味で、プライベートアカウントに情報を掲示する際は、できるかぎりの注意を払うべきです。また同じ意味で、ソーシャル・メディア・サイト内でのプライベートメッセージやチャットを利用する際も、やりとりの中での仕事上の重要情報などに言及するのは避けるべきです。もし利用しているソーシャルメディアのアカウントがハッキングに見舞われたら、そういった情報も一緒に流出してしまうことになります。

こういった情報漏えいのリスクを避けるためにも、ユーザ側は、自身が登録しているソーシャル・メディア・サイトにどのようなセキュリティ設定が用意されているかをしっかりと理解しておくことです。たとえば、Facebookの場合、リスト機能を利用し、そのリストに属しているユーザには制限された情報のみを閲覧させるといったコントロールを施すことも可能です。そしてFacebookおよびTwitterの双方とも、HTTP通信の設定を有効化することです。こうすることで、サイト上でユーザが行うすべての通信が暗号化されるので、より安全性を確保することができます。