TwitterやFacebookといったソーシャルネットワークサービス(SNS)の出現は、これまでのインターネットライフを変えたと言っても過言ではない。以前は、多くの人にとって、Webサイトの閲覧、電子メールによるコミュニケーションがインターネットの中心だった。ところがいまや、ネットサーフィンもコミュニケーションもSNSを軸とするスタイルが主流となっている。このことは、サイバー犯罪者の戦略にも影響を与えており、SNSのアカウントを狙った攻撃、SNS経由のマルウェア感染などが増えているのだ。
フィッシングサイト・攻撃サイトに誘導する書き込みに注意
TwitterやFacebookなどSNSを利用したサイバー攻撃が増えている。典型的な攻撃パターンは、SNS利用者のタイムライン上に、攻撃者が用意したWebサイトに誘導するメッセージを表示させるというもの。そのメッセージに記されたリンクをうっかりクリックすると、利用者はアカウント情報や個人情報を入力させられるフィッシングサイトなどへ誘導されるおそれがある。
さらには、だまされて偽アプリケーションをダウンロードさせられてしまうこともある。攻撃パターンには、細かいバリエーションがあるが、最終的には、誘導先で情報をだまし取られたり、マルウェアに感染させるものが多い。
いずれの場合もSNSのタイムラインに何らかの誘導メッセージや書き込みを行い、攻撃サイトに誘い込むことが基本となる。SNSの場合、PCだけでなくスマートフォンなどモバイルデバイスで利用することが多い。攻撃者にしてみれば、特定のOSやアプリケーションのようなプラットフォームに依存した攻撃よりも、効率よく攻撃サイトに誘導できるわけだ。
誘導の手口は4つのパターンに分類される
タイムラインに表示される誘導コメントには、おもに次の4つのパターンがある。
このうち、広告としてタイムラインに流れてくるものは、商品の安売りや店舗のクーポンなどの情報が多い。興味を持ち、詳しい情報を見ようと思ってリンクをクリックすると、マルウェアに感染させられてしまう。あるいはクーポンを入手するため偽のWebサイトに誘導され、個人情報などをだまし取られてしまう。もちろん情報やクーポンはすべて偽物だ。
大きな事件や事故、スキャンダルがあった場合、関連の書き込みで誘導するものもある。「事件の裏情報」「犯人の写真」「事故現場」のようなキーワードで標的の興味を誘うものだが、これらのリンク先にも危険が潜む。とにかく人目をひくようにするため「雪男捕獲」「宇宙人のミイラを発見」のような荒唐無稽な書き込みさえある。
Twitter 、Facebookといった大手のSNSサイトでは、企業や著名人の公式アカウントに関する規約を持っており、簡単になりすましはできないが、ID名やユーザーアイコンで偽装されたアカウントから、書き込みが流れてくることもある。
アカウントを乗っ取り、当人になりすましてコメントが書き込まれることもある。大企業やタレント、知り合いからの書き込みだと信じてしまい、リンクをクリックすると被害に遭うことになる。もちろん友人のアカウントが、乗っ取られるケースも多々あり、信用できる相手の書き込みであっても油断できないのが現状だ。
SNS経由で拡散しているマルウェアだが、それに感染してしまうと、さまざまなリスクが想定される。SNSで拡散した古参マルウェアの「Koobface」を例にとっても、その脅威は幅広い。外部から命令を受けるボットとして動作するほか、通信の傍受や情報の窃取、不正サイトへの誘導、ダウンローダーとしてさらなるマルウェアの感染を引き起こすなど、多くの機能を備えていた。
それだけではない。SNSを経由するマルウェアの怖さは、感染した端末からSNSを通じてさらに感染を拡大していくことにある。SNSをビジネスで利用し、同僚や取引先の知人など、仕事関係の多くの人たちと繋がっている人も多いだろう。ソーシャルエンジニアリングによって、感染を拡大するマルウェアを決して甘く見ることはできない。
こうして拡大したマルウェアによって、SNS上の情報やPC内部から窃取され、情報が悪用されてしまうおそれもある。攻撃者が、企業や組織の内部情報を探ったり、それらの情報を使って関係者になりすまして巧妙な「標的型攻撃」を仕掛けてきたりといった可能性も否定できない。
不審な書き込みのリンクはクリックしないこと
SNS経由でサイバー攻撃の被害に遭わないためには、不審なメッセージや書き込みのリンクをむやみにクリックしないことだ。
SNSの場合、短縮URLが多用されるため、PCでもリンク先のURLが確認しにくい。アカウントや書き込み内容に注意する必要がある。基本的なことだが、ネット上の情報の信頼性、信ぴょう性は自分で確認する必要がある。うまい話、得な情報、「え?」と思うような情報はまず疑うという癖をSNSでもつけるしかない。
Webサイトでアカウント情報、パスワード、クレジットカード情報など個人情報を入力する場合は、なるべくPCか汎用Webブラウザーで行うようにし、スマートフォンのアプリからの入力は避ける。とくにAndroid端末では、信頼できる企業の公式アプリでなければ利用しないようにする。Webブラウザーからは、アクセスしたSNSサイトが、正規に発行されたSSLの証明書を用いて、HTTPSによる暗号化通信が行われているかも、アドレスバーから確認する習慣を身につけたい。そうすれば、フィッシングサイトなどで情報を入力してしまうミスを減らすことができる。
とはいえ、大量の書き込みを見ていれば、誰でも誤ってクリックしてしまうリスクがある。そのような被害を防ぐ機能がセキュリティ対策製品には用意されている。たとえば、ESET製品(ESET V6.0 以降)であれば、SNS上の不審な書き込みやコメントをチェックしてくれる「ESET Social Media Scanner(ソーシャルメディアスキャナー)」という機能が搭載されている。
不審コメントや不審なURLを見落とした場合も、セキュリティ対策ソフトがブロックし、被害の防止につながるというわけだ。従業員にSNSの利用を許可していたり、SNSで企業の公式アカウントを運営しているならば、このようなソリューションの導入を検討するとよいだろう。またESETでは、マルウェアの感染チェックや、問題あるメッセージを友人に送っていないかチェックできるオンラインスキャナー「ESET Online Scanner for Facebook」を無料で提供しているので活用してみてほしい。
アカウントの乗っ取りに対してできること
SNS経由の攻撃では、「アカウントの乗っ取り」も深刻な問題だ。アカウントが乗っ取られれば、自らの情報が漏えいするのはもちろん、フィードを受け取っている友人や関係者に対する攻撃の踏み台にもなりかねない。乗っ取る方法は、パスワードリスト攻撃やフィッシングなどが考えられるが、SNSならではの仕組みを利用した方法もある。
例えば、Facebookには「信頼できる連絡先」という機能がある。この機能を悪用することで、他人のアカウントを乗っ取ることも可能だ。
同機能は、本来パスワードを忘れてしまい、ログインできなくなったとき、友人などへ支援を頼むものだ。そこで攻撃者は、自分のダミーアカウントを標的の「信頼できる連絡先」に登録してもらうように依頼する。具体的には、友人や知人のふりをして友達申請を行い、「自分の信頼できる連絡先にあなたを登録したので、あなたも自分のIDを登録してください。」などとだます。そして「信頼できる連絡先」に登録されれば、パスワードトラブルを解消するように見せかけ、パスワードを再設定し、そのアカウントを乗っ取ってしまうわけだ。
アカウントの乗っ取りは、各ユーザーがセキュリティの設定などである程度防ぐことができる。まず、前述の「信頼できる連絡先」は原則として利用しない。
また新しい端末や普段使わない端末・Webブラウザーからのログインに関しては、かならずSMSなどでリクエストコードを送信してもらう追加認証の設定を有効にしておこう。こうすれば、仮に知らない間にアカウント情報が漏れていても、不正ログインを防ぐことができる。さらにログインの通知機能を「ON」にしておけば、身に覚えのないログイン通知やリクエストコードが届いたことをきっかけに乗っ取りへ気付くことができる。
SNSが仕事や生活に当たり前のように使われるようになっている。そうなると、攻撃者も当たり前のようにSNSを利用してくる。「ソーシャルなつながりだから安全」という過信は禁物だ。
