"Facebook Messenger" の偽インストーラ、バックドア型マルウェアの脅威をもたらす。
投稿日: 2011年4月20日
ソーシャル・ネットワーキング・サイト(SNS)は、友人や家族とのとつながりを築いたり、情報を共有したりするための場として、一般に好まれています。ところがサイバー犯罪者は、この事実につけ込み、こうしたソーシャルメディアのユーザに対して、攻撃を仕掛けます。ソーシャルメディアを利用した攻撃はまったく新しいものではなく、かねてから確認されており、依然として続いています。
こうした中、「TrendLabs(トレンドラボ)」のエンジニアは、2011年4月中旬、世界最大級のSNS「Facebook」のユーザを脅かす事例を確認しています。
このマルウェアは、どのようにしてコンピュータに侵入しますか?
不正なファイル “FacebookMessengerSetup.exe” は、Facebookからの通知メールを装ったスパムメールを介してコンピュータに侵入します。トレンドマイクロ製品では、この不正なファイルを「BKDR_QUEJOB.EVL」として検出します。「BKDR_QUEJOB.EVL」へ誘導する偽の通知メールには、メール内のリンクをクリックして特定のメッセージを見るよう記されています。ユーザが誤ってこのリンクをクリックしてしまうと、アプリケーションの偽インストーラが自動的にダウンロードされることとなります。
このマルウェアが、ユーザのコンピュータ上で実行されると、どうなりますか?
コンピュータに侵入した「BKDR_QUEJOB.EVL」は、実行されると、TCPポート1098番を開き、攻撃者からのコマンドを待機します。これらのコマンドには、マルウェア自身の更新や他の不正なファイルのダウンロードおよび実行、そして、特定のプロセスの起動などが含まれています。また、このバックドア型マルウェアは、リモートサーバ「 <省略>.<省略>.216.50」にアクセスし、リクエストを送信したり、攻撃者からのコマンドを受信したりします。この結果、感染コンピュータのセキュリティが侵害されることとなります。さらに、このマルウェアは、侵入したコンピュータにインストールされているセキュリティ製品の情報を収集し、収集した情報をEメールを利用してSMTPサーバ 「smtp.<省略>il.ru」 へと送信します。またこの他、感染コンピュータのオペレーションシステム(OS)のバージョンを確認し、収集した情報を上記のSMTPサーバへと送信します。
この種の攻撃は、新しいものですか?
いいえ。トレンドラボでは、これまでに、Facebookの高い人気に便乗した攻撃を複数確認しています。最近の事例では、2011年4月中旬、「あなたのFacebookのパスワードは安全ではありません」と通知するスパムメールを確認しています。このメールの本文には、「アカウントの安全性を確保するためにパスワードが変更されており、そのパスワードは添付ファイルに含まれています」と記され、ユーザにこの添付ファイルを開くよう促します。もちろん、このファイルは、記されているようなものではなく、「TROJ_DOFOIL.VI」として検出されるマルウェアです。2月下旬には、偽「ストーカー追跡ツール」を確認しました。この偽ツールを用いて、Facebook上で「誰が自分のプロフィールを最も多く閲覧しているか、また、何回閲覧しているか」といった、自分の「ストーカー」を突き止めることができるとされていましたが、このツールのインストール手順に従うと、ユーザのFacebookアカウントが乗っ取られることとなりました。このインストール手順で利用される不正なスクリプトは、「HTML_FBSPAM.ASM」として検出されます。3月中旬には、「Facebook Credits(Facebook ポイント)」という仮想通貨利用のサービス機能を利用した攻撃を確認しています。まずユーザのもとに、「Facebookポイントを増やすことができる」とうたうメッセージが届きます。ユーザがメッセージの指示に従うと、気づかないうちにFacebook ポイントの増やし方を教えます」というような内容のイベントが作成され、Facebook上のユーザの友達をこのイベントに招待します。そしてこのイベントに興味を持ったユーザの友達が、記載されている不正なリンクをクリックすると、医薬品に関する広告サイトへと誘導されてしまいます。また、2010年12月上旬には、「IRC_ZAPCHAST.HU」として検出される偽のFacebookツールバーを確認しています。この偽ツールバーは、「ユーザー同士のコンテンツ共有やコミュニケーションをより便利にすることができる」と称していました。
このマルウェアは、どのような影響をユーザに与えますか?
「BKDR_QUEJOB.EVL」は、”Facebook Messenger” と呼ばれるアプリケーションのインストーラを装い、コンピュータに侵入します。そしてユーザが、誤ってこのバックドア型マルウェアを実行することにより、不正リモートユーザは、感染コンピュータ上でコマンドを実行することが可能になります。
Facebook関連の攻撃がNoteworthy(要注意)とされる理由は何でしょうか?
サイバー犯罪者は、しばしばソーシャル・ネットワーキング・サイト「Facebook」やマイクロブログサイト「Twitter」のようなソーシャル・メディア・サイトの人気に便乗し、被害者となるユーザをおびき寄せます。ソーシャル・メディア・サイトは膨大な数のユーザを有し、その数は増加し続けています。この人気が、より多くのサイバー犯罪を招き入れていると考えられます。また、ユーザは、「ソーシャルメディアサイト内のページだから比較的安全だろう」と認識する傾向にあります。サイバー犯罪者は、こうした認識に乗じてユーザをだまし、不正なリンクをクリックさせるのです。
冒頭でも述べたように、Facebookを利用した攻撃は、もはや珍しいものではありませんが、これらの攻撃を受けたユーザは、コンピュータのマルウェア感染や個人情報の漏えいといった大きなリスクにさらされることとなります。実際、ユーザが入力したソーシャル・メディア・サイトのログイン情報や他の個人情報は、サイバー犯罪者の手に渡ってしまいます。
ソーシャルメディアおける脅威についての詳しい情報は「ソーシャルメディア関連の脅威とは?」をご参照ください。
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。
上席研究員のDavid Sanchoは、以下のようにコメントしています。
「Facebookは、サイバー犯罪者にとって、攻撃を仕掛けるのに好都合な場所となっています。オープンプラットフォームとなっているので、事実上、誰もが自由にアプリケーションを開発して、Facebook上に提供することができ、なおつかそれらのアプリケーションをユーザの誰もが自由に利用することができます。これが、ユーザの『ソーシャルメディアサイト内のページだから比較的安全だろう』という認識傾向とあいまって、サイバー犯罪者にとって『不正なリンクを拡散させる格好の場』となっているのです。これを踏まえ、『不正リンクは、今日におけるWebバージョンの不正ファイル』ということを留意しておく必要があります。つまり、不正リンクをクリックすると、不正ファイルを実行するのと同様に、マルウェアに感染することになるのです。」
ユーザは、どのようにしてこのマルウェアの実行を防ぐことができますか?
たとえ身に覚えのある送信元からのものであっても、不審なメールには注意してください。また、最新の脅威状況を常に把握しておくこともまた、有効な対策となります。日ごろから脅威を認識し警戒することにより、情報漏えいやコンピュータのウイルス感染といったリスクを避けることができます。
こうした中、「TrendLabs(トレンドラボ)」のエンジニアは、2011年4月中旬、世界最大級のSNS「Facebook」のユーザを脅かす事例を確認しています。
このマルウェアは、どのようにしてコンピュータに侵入しますか?
不正なファイル “FacebookMessengerSetup.exe” は、Facebookからの通知メールを装ったスパムメールを介してコンピュータに侵入します。トレンドマイクロ製品では、この不正なファイルを「BKDR_QUEJOB.EVL」として検出します。「BKDR_QUEJOB.EVL」へ誘導する偽の通知メールには、メール内のリンクをクリックして特定のメッセージを見るよう記されています。ユーザが誤ってこのリンクをクリックしてしまうと、アプリケーションの偽インストーラが自動的にダウンロードされることとなります。
(図:Facebookからの通知メールを装ったスパムメール)
このマルウェアが、ユーザのコンピュータ上で実行されると、どうなりますか?
コンピュータに侵入した「BKDR_QUEJOB.EVL」は、実行されると、TCPポート1098番を開き、攻撃者からのコマンドを待機します。これらのコマンドには、マルウェア自身の更新や他の不正なファイルのダウンロードおよび実行、そして、特定のプロセスの起動などが含まれています。また、このバックドア型マルウェアは、リモートサーバ「 <省略>.<省略>.216.50」にアクセスし、リクエストを送信したり、攻撃者からのコマンドを受信したりします。この結果、感染コンピュータのセキュリティが侵害されることとなります。さらに、このマルウェアは、侵入したコンピュータにインストールされているセキュリティ製品の情報を収集し、収集した情報をEメールを利用してSMTPサーバ 「smtp.<省略>il.ru」 へと送信します。またこの他、感染コンピュータのオペレーションシステム(OS)のバージョンを確認し、収集した情報を上記のSMTPサーバへと送信します。
この種の攻撃は、新しいものですか?
いいえ。トレンドラボでは、これまでに、Facebookの高い人気に便乗した攻撃を複数確認しています。最近の事例では、2011年4月中旬、「あなたのFacebookのパスワードは安全ではありません」と通知するスパムメールを確認しています。このメールの本文には、「アカウントの安全性を確保するためにパスワードが変更されており、そのパスワードは添付ファイルに含まれています」と記され、ユーザにこの添付ファイルを開くよう促します。もちろん、このファイルは、記されているようなものではなく、「TROJ_DOFOIL.VI」として検出されるマルウェアです。2月下旬には、偽「ストーカー追跡ツール」を確認しました。この偽ツールを用いて、Facebook上で「誰が自分のプロフィールを最も多く閲覧しているか、また、何回閲覧しているか」といった、自分の「ストーカー」を突き止めることができるとされていましたが、このツールのインストール手順に従うと、ユーザのFacebookアカウントが乗っ取られることとなりました。このインストール手順で利用される不正なスクリプトは、「HTML_FBSPAM.ASM」として検出されます。3月中旬には、「Facebook Credits(Facebook ポイント)」という仮想通貨利用のサービス機能を利用した攻撃を確認しています。まずユーザのもとに、「Facebookポイントを増やすことができる」とうたうメッセージが届きます。ユーザがメッセージの指示に従うと、気づかないうちにFacebook ポイントの増やし方を教えます」というような内容のイベントが作成され、Facebook上のユーザの友達をこのイベントに招待します。そしてこのイベントに興味を持ったユーザの友達が、記載されている不正なリンクをクリックすると、医薬品に関する広告サイトへと誘導されてしまいます。また、2010年12月上旬には、「IRC_ZAPCHAST.HU」として検出される偽のFacebookツールバーを確認しています。この偽ツールバーは、「ユーザー同士のコンテンツ共有やコミュニケーションをより便利にすることができる」と称していました。
このマルウェアは、どのような影響をユーザに与えますか?
「BKDR_QUEJOB.EVL」は、”Facebook Messenger” と呼ばれるアプリケーションのインストーラを装い、コンピュータに侵入します。そしてユーザが、誤ってこのバックドア型マルウェアを実行することにより、不正リモートユーザは、感染コンピュータ上でコマンドを実行することが可能になります。
Facebook関連の攻撃がNoteworthy(要注意)とされる理由は何でしょうか?
サイバー犯罪者は、しばしばソーシャル・ネットワーキング・サイト「Facebook」やマイクロブログサイト「Twitter」のようなソーシャル・メディア・サイトの人気に便乗し、被害者となるユーザをおびき寄せます。ソーシャル・メディア・サイトは膨大な数のユーザを有し、その数は増加し続けています。この人気が、より多くのサイバー犯罪を招き入れていると考えられます。また、ユーザは、「ソーシャルメディアサイト内のページだから比較的安全だろう」と認識する傾向にあります。サイバー犯罪者は、こうした認識に乗じてユーザをだまし、不正なリンクをクリックさせるのです。
冒頭でも述べたように、Facebookを利用した攻撃は、もはや珍しいものではありませんが、これらの攻撃を受けたユーザは、コンピュータのマルウェア感染や個人情報の漏えいといった大きなリスクにさらされることとなります。実際、ユーザが入力したソーシャル・メディア・サイトのログイン情報や他の個人情報は、サイバー犯罪者の手に渡ってしまいます。
ソーシャルメディアおける脅威についての詳しい情報は「ソーシャルメディア関連の脅威とは?」をご参照ください。
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。
上席研究員のDavid Sanchoは、以下のようにコメントしています。
「Facebookは、サイバー犯罪者にとって、攻撃を仕掛けるのに好都合な場所となっています。オープンプラットフォームとなっているので、事実上、誰もが自由にアプリケーションを開発して、Facebook上に提供することができ、なおつかそれらのアプリケーションをユーザの誰もが自由に利用することができます。これが、ユーザの『ソーシャルメディアサイト内のページだから比較的安全だろう』という認識傾向とあいまって、サイバー犯罪者にとって『不正なリンクを拡散させる格好の場』となっているのです。これを踏まえ、『不正リンクは、今日におけるWebバージョンの不正ファイル』ということを留意しておく必要があります。つまり、不正リンクをクリックすると、不正ファイルを実行するのと同様に、マルウェアに感染することになるのです。」
ユーザは、どのようにしてこのマルウェアの実行を防ぐことができますか?
たとえ身に覚えのある送信元からのものであっても、不審なメールには注意してください。また、最新の脅威状況を常に把握しておくこともまた、有効な対策となります。日ごろから脅威を認識し警戒することにより、情報漏えいやコンピュータのウイルス感染といったリスクを避けることができます。