クリックの前に注意!: Facebookに潜むクリックジャック攻撃
クリックジャック攻撃は、Facebookではどのように定義されていますか?
「クリックジャック攻撃」は、「クロスサイトスクリプティング(XSS)攻撃」とも似た手口を用いるサイバー犯罪の攻撃手法としてセキュリティ上の脅威となっています。
XSS攻撃が、「アンケートや掲示板など、閲覧者の入力内容が表示されるような正規Webサイトにサイバー犯罪者が埋め込んだ不正スクリプトにより、閲覧者を不正サイトへ誘導させる手法」であるのに対し、クリックジャック攻撃では、「サイバー犯罪者が正規Webサイト上にボタンやリンクを配置した上で、それらに “透明化の処置” を施して閲覧者に見えなくすることで誤ってクリックさせ、不正サイトに誘導させたり、不正なファイルのダウンロードを誘発させる手法」となります。利用されるリンクの範囲は、Webページ上の画像からテキストの文字列まで多岐に及びます。
「クリックジャック」という用語は、「クリック」と「ハイジャック」を組み合わせであり、この攻撃の目的が、正規Webページの「クリック」を文字どおり「乗っ取る(ハイジャックする)」ことに由来しています。サイバー犯罪者たちは、正規Webサイトの背後にiframeやJavaScriptを駆使して、自分たちが細工した「不正リンク」を忍ばせます。こうして、ユーザは、本来の「クリック先の正規サイト」とは異なる「(第三の)別サイト」へ誘導され、そこから不正活動がもたらされることになります。
Facebookでは、クリックジャック攻撃を次のように説明しています。
「一部の悪質なウェブサイトには、ユーザーが認知または同意することなく、ブラウザを操作できるコードが含まれています。たとえば、これらのウェブサイトでリンクをクリックすると、ウェブサイトがFacebookプロフィール(タイムライン)に投稿されることがあります。友達から送信されてきたものであっても、不審なリンクはクリックしないでください。また、不審なコンテンツを見かけた場合は、リンクを送信した人に必ず知らせてください。」
つまり、Facebookではクリックジャック攻撃が次のように実行されていることがここから理解できます。まず、「ウォール(Facebookの各ユーザに与えられる『掲示板』のようなページ)」や、「タイムライン(『ウォール』や『プロフィール』などの内容を時間軸で構成したページ)」、「プロフィール」といったページ上に「リンク付きの投稿」を掲載させ、ユーザにクリックを促します。ソーシャルエンジニアリングの手口が駆使された「(乗っ取られた)リンク付きの投稿」は、ユーザの興味を惹く(偽の)内容であるため、ユーザはうっかりクリックしてしまいます。こうしてユーザは、(「Facebook Survey Scam」とも呼ばれる)一連の詐欺行為の被害に見舞われてしまいます。また、これらの「偽投稿」は、ユーザの「友達」の「ウォール」にも拡散していくことにもなります。
ユーザは、どのようにしてクリックジャック攻撃の脅威に遭遇しますか?
通常は、各種のソーシャルメディア関連のサイトを介して遭遇します。Facebookの場合であれば、上述のとおり、「ウォール」上に掲載された「偽投稿」を介して遭遇することになります。こういった「偽投稿」は、いずれもユーザの興味を惹くための様々なソーシャルエンジニアリングの工夫が施されています。
クリックジャック攻撃では、ソーシャルエンジニアリングの手口はどのように駆使されますか?
サイバー犯罪者がソーシャルエンジニアリングの手口を駆使する際、その意図とは裏腹に一見すると全く不正とは思われないような「内容」により偽装を施します。最近のクリックジャックで利用されるソーシャルエンジニアリングの手口も同様であり、たとえば、以下のような「内容」で偽装します。
- 独占画像や動画:「ここでしか視聴できない動画や画像」としてユーザに関心をもたせる手口です。この「独占(ここでしか見られない)」という文句に惹かれたユーザは、思わずこうしたコンテンツの背後に隠された偽リンク(不正リンク)をクリックしてしまいます。
- 世界の最新ニュース情報:こういった種類のニュース情報も偽装に利用されます。特に「いま世界では何が起こっているのか」といった情報をリアルタイムで知りたいユーザは、これらの記事や記事へのリンクの背後に隠された偽リンク(不正リンク)をクリックしてしまいます。
- 芸能・エンターテイメント関連のスクープなど:ショービジネス界のゴシップや騒動、虚実をおりまぜた裏情報なども、ユーザの関心を惹きつけるための有効なソーシャルエンジニアリングの手口として利用されます。
- 懸賞やコンテストなど:販売促進の一環としてインターネット上ではユーザ向けの懸賞やコンテストが実施されることがありますが、これらも偽装に利用されます。「懸賞に当選したい」という気持ちとは裏腹に、ユーザは、クリックジャックの被害に「当選」してしまうことになります。
サイバー犯罪者たちは、どのようにしてこの攻撃を仕掛けますか?
Facebookを利用して拡散することで知られる不正プログラム「KOOBFACE」による攻撃と同様、このクリックジャック攻撃も、背後に潜むサイバー犯罪者たちがソーシャル・ネットワーキング・サービス(SNS)上にダミーアカウントを作成することで仕掛けられます。
その際、以下のような手順で攻撃が遂行されます。
- ソーシャルメディア関連のダミーアカウントを作成して、偽ブログ等を立ち上げる。
- 不正スクリプトを含んだエントリを作成して、立ち上げた偽ブログ上に掲載する。掲載されたエントリには、ソーシャルエンジニアリングの手口を駆使してユーザの関心を惹くための画像や動画等も含まれている。
- 偽ブログ上で掲載された不正エントリへ誘導させるリンクをFacebook上のページ等に掲載する。
偽装された「投稿」をユーザがクリックすると何が起こりますか?
Facebookの場合、上述のような様々なソーシャルエンジニアリングの手口で偽装された「リンク付き投稿」が「ウォール」や「タイムライン」、「プロフィール」などに掲載されますが、これらの「(偽装)リンク付き投稿」をクリックしたユーザは、通常、そこから別のページに誘導され、誘導先でさらに別のリンクのクリックを促されます。そのリンクもクリックすると、結果的に全く別のWebページへと誘導され、そこから様々な脅威がもたらされることになります。あるいは、場合によっては、「(偽装)リンク付き投稿」を一度クリックしただけで、いきなり「脅威がもたらされるWebページ」へと飛ばされてしまうケースもあるようです。
Facebookの場合、こうした「誘導の手口」としては、主に以下の2つのケースが確認されています。
「ウォール」に掲載された「投稿」から何度もリダイレクトされるケース
Facebookのユーザは、通常、「ニュースフィード」などのページで、セレブリティの動画や、ブラウザの拡張機能(プラグインやアドオン等)、その他の様々な「投稿」を目にしますが、上述のような「(偽装)リンク付き投稿」の場合、誤ってクリックしたユーザは、(偽装内容が示す)目的のページではなく、何度かリダイレクトを繰り返して複数のページを経た後、最終的に誘導されたWebページで、携帯電話番号やメールアドレス等といった個人情報の入力を促されることになります。
サイバー犯罪者たちは、こうして収集した情報をスパムメールの送信やその他の不正活動に利用します。実際、トレンドマイクロでも、「Malware Blog」や「セキュリティブログ」の各エントリーで報じているとおり、以下の事例からこうしたクリックジャックの手口を確認しています。
- 「Cybercriminals Leverage Whitney Houston's Death」(英語記事)
- 「Facebook上でバレンタインに便乗した攻撃、Chromeが標的か」(日本語記事)
- 「Facebook Valentine's Theme Leads to Malware」(英語記事)
- 「Facebook Free Breaking Dawn Part 2 Tickets Scam Spreads in Facebook」(英語記事)
「コードのコピー」といった指示をユーザに促すケース
Facebookにおけるクリックジャックも、初期の手口は、2011年初旬にその流行が確認されています。初期の手口では、「(偽装)懸賞」や「(偽装)コンテスト」、もしくはユーザの関心を引く「(偽装)アプリ」といった内容の「投稿」を「ウォール」に掲載する手法が使われていました。この場合、ユーザは、これらの「(偽の)コンテスト」の参加や、「(偽装)アプリ」の使用に際して「一定の指示」に従うことを促されます。こうした「指示」の多くは、「このコードをブラウザのアドレスバーにコピーしてください」というものであり、うっかり従ったユーザは、知らない間に「いいね!」をクリックしたり、「シェア」したり、「インベント」を作成してしまうことになり、こうして、他の「友達」にも一連の「(偽装)投稿」が拡散していくことになります。
こういったケースの事例は、以下の各ブログエントリーで報じています。
- 「Facebook Spam Spreads Through Multiple Features」(英語記事)
- 「Facebook Spam Now Plays Your Favorite Music」(英語記事)
- 「Facebookユーザを狙う攻撃、相次いで確認される!」(日本語記事)
- 「Facebook Events, Credits, and Passwords Being Used for Attacks」(英語記事)
クリックジャックの手口がサイバー犯罪に利用される理由は何でしょうか?
Facebookだけでなく、マイクロブログサイト「Twitter」も含め、その他の様々なSNSは、いまや「最新情報が集まる場所」として中心的な存在となってきており、ユーザがこうしたSNSで過ごす時間も非常に長くなってきています。このため、サイバー犯罪者たちからは、こうしたSNSが「ユーザをワナにかけて不正活動を実行する格好の場所」とも見なされています。
その際、これまでも利用されてきたフィッシング攻撃やスパムメール活動に加えて、このクリックジャックも、サイバー犯罪者が情報収集活動に用いる手口としては非常に有効だということが理由としてあげられます。個人情報の入力を促すような「アンケート調査」も、何らかの特典や懸賞企画に偽装された上で特定のSNS上に掲載されれば、ユーザは簡単に誤解してしまうからです。
スレットエンジニアのChristopher Talampasは、「クリックジャックは、スパムメール送信の際にも利用される可能性がある」と指摘しています。クリックジャックの場合、サイバー犯罪者が行う作業は、「不正なWebサイトを作成し、そこへのリンクをFacebook上に『(偽装)リンク付き投稿』として掲載する」ということですが、これは、「不正なWebサイトを作成し、そこへのリンクが張られた(偽装)メールを送信する」というスパムメール送信の手法と非常によく似ているからだといいます。また、クリックジャックを実行するための無料のツールキットが既にインターネット上に出回っている点も、もう1つの理由としてTalamapsは指摘しています。クリックジャック用のツールが簡単に入手できるため、この手口をスパムメールにも活用するサイバー犯罪者が現れる可能性は非常に高いといえるからです。
クリックジャック攻撃は、どの程度に規模に及んでいますか?
トレンドマイクロの「Webレピュテーション」技術のデータに基づくと、2011年11月の時点でクリックジャック攻撃に関連するドメインが500以上に達していることが分かっています。この11月における急増は、スティーブ・ジョブズ氏死去のニュースに便乗した不正ページがサイバー犯罪者たちに利用され、この種の詐欺事例がFacebook上でも多数発生したためのようです。
トレンドマイクロでは、クリックジャック攻撃に関連する1,238に及ぶドメインをブロックしています。
2012年の第一四半期中、トレンドマイクロでは、624に及ぶ不正ドメインを確認しブロックしています。下記のグラフは、この期間中、クリックジャック攻撃に関連したドメインの数が徐々に増加してきている様子を示しており、ここからも、こういったクリックジャック攻撃が、ソーシャルエンジニアリングの手口を効果的に駆使しながら、着実に蔓延しているだけでなく、増加傾向にさえあることが理解できます。
また、2011年から2012年の第一四半期にかけての傾向を見ると、以下のとおり、クリックジャック攻撃関連のドメインのほとんどが米国で登録されたものであり、登録数は757にも及ぶことが分かります。
国名 |
クリックジャック攻撃に関するドメインの登録数 |
米国 |
757 |
カナダ |
550 |
韓国 |
192 |
シンガポール |
107 |
中国 |
42 |
英国 |
25 |
オランダ |
10 |
ロシア連邦 |
5 |
スペイン |
4 |
バハマ |
2 |
この脅威の被害が後を絶たない理由は何でしょうか?
クリックジャック攻撃が特にFacebook上で一貫して発生している理由は、やはりこのFacebook自体が世界で最も人気の高いSNSだからでしょう。実際、そのユーザ数は、2012年3月の時点で9億100万人に及び、Facebookがサイバー犯罪活動の標的となるのも当然のことだといえます。
そうした人気と共に、平均して5億200万人ものユーザがこのFacebook内で「いいね!」ボタン等を活用して動画やリンクを共有している点も理由としてあげられます。サイバー犯罪者たちは、こうした共有活動に便乗してスパムメールを送り付けたり、、(「Facebook Survey Scam」とも呼ばれる)一連の詐欺行為や不正プロセスを拡散させているからです。
さらにもう一つ、ソーシャルエンジニアリングの手口を巧みに活用している点も理由としてあげられます。今日、サイバー犯罪者たちは、話題のニュースや、セレブリティやイベント関連の情報、各種サービスの特典など、ユーザの関心を惹きつける術を熟知しているからです。
上述のスレットエンジニアChristopher Talampasは、サイバー犯罪者たちが自らの攻撃手法自体を「更新」している点も、この脅威の被害が後を絶たない理由としてあげています。例えば、「拡張子CRXの不正ファイルもダウンロードできる機能」が、最近の攻撃では新たに追加されていたといいます。このようなファイルをユーザにダウンロードさせる機能の追加は、この攻撃が初めてではないものの、こういった種類の「更新」自体が、今後、ブラウザの拡張機能のファイルも不正活動に利用される傾向をも示しているといえます。
また、ユーザ自身がこのような脅威の存在に気づいていないという点も、クリックジャックの手法が「成功」している理由だといえるでしょう。今後、ソーシャルメディアを利用するティーンエージャーや子どもたちが増えていくに従い、これらの世代のユーザが被害に見舞われる可能性も高いといえます。
ユーザは、この脅威をどのようにして避けることができますか?
FacebookなどのSNS上で被害に見舞われないためにも、以下の各点に注意しておく必要があります。
- Facebookの「ニュースフィード」等に掲載された「リンク付き投稿」をクリックする際は十分に注意すること。身元不明な送信者からのメッセージ内に含まれるリンクをクリックしないこと。特に、短縮URLの場合、短縮URLのリンク先を確認するURLプレビューツールなどを利用してから使用すること。
- Facebookの「友達リスト」には、面識のある人だけに追加すること。同様にいかなるSNS上でのコミュニケーションも面識のある人だけに限定すること。
- SNSを始める前に「プライバシーポリシー」をよく読んでおき、利用の際にプライバシー設定を確認すること。Facebookの場合、ヘッダーにある[アカウント]-[プライバシー設定]で確認できます。
- ご使用のSNSのURLは、セキュアな接続「https」を有効にすること。Facebookの場合、ヘッダーにある[アカウント設定]-[アカウントのセキュリティ]-[セキュアな接続(https)]のチェックボックスをチェックで有効化できます。
- できれば、Facebookの「プロフィール」を「プライバシー設定」において「公開」以外の「友達」や「カスタム」を選択すること。これにより「プロフィール」上の個人情報を不必要にインターネット上の不正ユーザの目にさらすのを避けることができます。
- Facebookの「リスト」機能や「グループ」機能を活用して、「各リストあるいはグループが自身のどの情報にアクセスできるか」を把握しておくこと。
- 自身のプロフィール情報(特に「基本データ」)公開に際しては、「オンライン上で公開している情報は誰もが自由に入手できる状態になっている」ということを念頭におき、十分に注意すること。
- SNSのログイン用パスワードは、英数字・記号や、大文字小文字、長い文字数などを駆使して、「破られにくいパスワード」を作成すること。
- 世界の最新ニュース情報、話題の出来事、特典・懸賞などを知りたい場合は、あらかじめブックマークしておいた信用のおける正規サイトから確認し、ソーシャルメディア上の掲載内容を鵜呑みにしないこと。
- SNS上で不審な「投稿」などの掲載物を目にした場合、しかるべきサイト運営者に報告すること。Facebookの場合、「不正使用またはポリシー違反の報告」で対応しています。
また、Facebook関連の脅威に対しても、トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、上述の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、「ファイルレピュテーション」技術により、関連するファイルを検出し削除します。
トレンドマイクロの専門家からのコメント:
「クリックジャックは、スパムメール送信にも代わる有効な手口だといえるでしょう。クリックジャックの場合、サイバー犯罪者たちは、不正なスクリプトを仕込んだWebサイトを作成し、このサイトへのリンクがFacebook上で掲載されるようにすればよいだけです。単にFacebook上に『(偽装)リンク付き投稿』として掲載だけで、他のユーザがそのリンクをどんどんクリックしてくれるため、それだけで十分にスパムメール送信の役割を果たすからです。」
- Webレピュテーション・サービス・エンジニア:Christopher Talampas