セキュリティ最前線 (2010年8月17日)
IM、短縮URL、SNSを組み合わせた攻撃
~犯罪者もネットの流行に便乗~
インターネットのさまざまなサービスは、われわれの生活を便利で豊かなものにするとともに、時間と労力を節約してくれます。ところが、今日の脅威の現状を見ると、この「利便性」は、非常に高くついてしまっているといわざるを得ません。インターネットの利点は、そのままサイバー犯罪者にもあてはまります。人々の生活を楽にするはずだったツールは、サイバー犯罪者にとっても仕事を楽にするものとなり、すなわち、われわれにとっての多大な脅威となってしまうのです。
どのような脅威か
● 危険な組み合わせ:IMと短縮URL
「どこにいても、どこにでも“つながる”」 - これがインターネットの恩恵ではないでしょうか。ただし残念ながら、これは、利用者にとって、利点と問題をもたらす「両刃の剣」となっていることも事実です。この一例が「インスタントメッセンジャー(IM)」です。
IMは、瞬時に他人とコミュニケーションを取ることができます。たとえ、その相手が同じ部屋にいようが地球の裏側にいようが関係ありません。一方、IMのおかげでサイバー犯罪者もまた、直接ターゲットにアクセスでき、そのことで自分たちの不正活動を容易に拡大しています。
「TrendLabs(トレンドラボ)」の英語ブログ「Malware Blog」では、IMを経由してコンピュータに侵入する攻撃を何度も取り上げています。たとえば、以下の事例です。
これらの事例における共通点は、どれも、人気のIMで「巧みな誘い文句」を使って不正なURLに誘導する攻撃を仕掛けていることです。
これに最近、「短縮URL」を使うといった、新しいソーシャルエンジニアリングの手法を用いるものが増えています。短縮URLとは、長いURLを短い文字列に短縮するものです。これにより、文字数に制限のあるIMやツイッタ-で利用できるようにしたり、入力の手間を省いたり、管理しやすくしたりというメリットが生まれます。しかし、これがサイバー犯罪者によって何度も悪用されています。長いURLを短くする短縮URLサービスは、不正なURLを覆い隠すのに絶好のカモフラージュとなるためです。
● 3つの人気ツールをフル活用して攻撃を仕掛ける!
トレンドラボでは、2010年7月下旬、人気のIMである「Yahoo! Messenger」を介して拡散されるスパム活動を確認しました。IMで送られる迷惑なメッセージをスピムと呼びますが、今回問題となったスピムは、短縮URLを含んでおり、ここにアクセスすると、トレンドマイクロでは「WORM_YIMBOT.A」と検出する不正プログラムをダウンロードします。
この「WORM_YIMBOT.A」は、以下の不正活動を実行することが確認されています。
- ファイルの作成
- Webサイトへのアクセス
- IRCチャネルへの参加
- ファイアウォールプログラムに自身を追加
- 特定のサービスの強制終了
さらに、IMを通じて、同様の不正な短縮URLを拡散する感染活動も行います。
この攻撃において注目すべき点は、短縮URLに「クエリー文字列(URLの「?」以降に格納する文字列)」を挿入していることです。この文字列は、「?=www.facebook.com/photo.php」となっているため、受信者は、クリックするとソーシャル・ネットワーキング・サイト(SNS)「Facebook」のページ「写真」に誘導されると思ってしまうことでしょう。しかし、実際は、コンピュータ上に「WORM_YIMBOT.A」自身のコピーをダウンロードする不正なURLなのです。
IMを介した不正プログラム拡散は、今やサイバー犯罪者の常套手段と化しています。IMは、サイバー犯罪者にとって確実に儲かる不正プログラム拡散の感染経路となっているといえるでしょう。
● ネット上の「流行」に便乗
今回仕掛けられたIMによるスパム活動では、昨今、頻繁に利用されている「IM」「短縮URL」「SNS」の3つのオンラインツールが効果的に使われたことに注視すべきでしょう。今回の攻撃では、サイバー犯罪者はインターネット上での最新トレンドに着目して攻撃をしかけることがわかります。
IM、短縮URL、SNSは人気オンラインツールです。現在、これら3つのツールが人々から支持されていることは否めないでしょう。その一方で、IMは、継続して不正プログラム拡散に悪用されており(※1)、短縮URLはフィッシング攻撃に利用されています(※2)。また、Facebookは、人気である一方、同SNSのプライバシー設定は常に問題視され、注目の話題となっています(※3)。こうしたことから、サイバー犯罪者は、これら3つのオンラインツールをフル活用して、コンピュータへの感染拡大を図っているのです。また、この3つのオンラインツールを組み合わせた攻撃は、サイバー犯罪者が用意周到に計画を立て、攻撃を仕掛けている好例といえるでしょう。つまり、どこでどのツールを使うかを計画的に調整しておかないと、彼ら自身の攻撃が成功しないからです。
どのような危険にさらされるか
今回の攻撃から、「利用者は脅威の侵入方法がさまざまであるということをもっと認識すべきである」ということが明らかになります。「WORM_YIMBOT.A」の不正活動は、複合化した脅威に比べて比較的シンプルなものであるといえますが、この不正プログラムは、ソーシャルエンジニアリングの手法に引っかかってしまう人たちに危険をもたらします。
従って、われわれはIMを利用する際十分に用心すべきで、短縮URLをクリックする前に、元のURLを確認するWebサイトなどを利用して確認することも必要でしょう。そしてもちろん、身元不明の送信者からのインスタントメッセージ・ウィンドウは直ちに閉じるということが、一般的ですが最良の対策となります。特にリンクを含んだ未承諾メッセージは、典型的なスピムで、誤ってクリックしてしまうと不正プログラムの感染(※1)やコンピュータの改ざん(※4)の被害を受ける結果となることを肝に銘じておくべきです。
トレンドマイクロからのソリューションとアドバイス
Trend Micro Smart Protection Network(SPN)は、従来のアプローチよりもさらに進んだセキュリティ対策をご提供しています。このSPNは、トレンドマイクロのさまざまなソリューションおよびサービスの中で用いられ、トレンド独自のクラウド型技術と軽量のクライアントアーキテクチャを組み合わせたもので、これにより、利用者がどこで接続していてもその個人情報が即座に自動的に保護されます。このSPNは、「Webレピュテーション」技術、「E-mailレピュテーション」技術および「ファイルレピュテーション」技術と必要なセキュリティ対策を識別し、それらを「相関分析」することにより、総合的な防御を可能にしたセキュリティ技術です。今日、脅威の巧妙化や攻撃の量的増大により、端末やサーバ等エンドポイントで扱うべき件数も飛躍的に増大せざるを得ません。そうした状況において、情報漏えい、企業イメージ低下、生産性の低下といったトラブルから企業を守るためにも、軽量で総合的かつ即時の対策が可能となるクラウド型技術は不可欠なものとなります。
今回のような事例の場合、SPNと連携した「ファイルレピュテーション」技術により、「WORM_YIMBOT.A」を検知しこのワームのダウンロードを防ぎます。また、「Webレピュテーション」技術により、ユーザがアクセスする前に、この攻撃に関連する不正Webサイトや不正なURLをブロックします。
今回の脅威に関するブログ
- Spammed IM Link to Fake Facebook Image Leads to Malware (TrendLabs Malware Blog:英語)
関連記事
※1 IMが不正プログラム拡散に悪用される例
“Obama Accident” Instant Messages Used to Spread Malware (TrendLabs Malware Blog:英語) Shortened URLs in IM Apps Lead to a Worm (TrendLabs Malware Blog:英語)
※2 短縮URLがフィッシングに使われる例 TinyURL Now Used in IM Phishing (TrendLabs Malware Blog:英語)
※3 Facebookのプライバシー設定が問題視されている ISSUES AND THREATS THAT FACEBOOK USERS FACE (Security Spotlight May 17, 2010:英語・PDF)
※4 IMからコンピュータの改ざんにつながる例 Malicious .SWF File May Trigger a DoS Attack (TrendLabs Malware Blog:英語)
