ソーシャル・ネットワーキング・サイトのユーザを狙ったアンケート詐欺
各種の「ソーシャル・ネットワーキング・サービス(SNS)」は、ユーザにとっては、家族や友人同士のつながりを楽しむための有効な手段ですが、その一方、サイバー犯罪者達にとっては、FacebookやTwitterなどに代表されるSNSなど、ユーザを標的にするための「新たな活動の場」となっています。サイバー犯罪者達は、これらのSNSに関連した広告効果測定のアド・トラッキングサイトやアンケートサイトなどを装う詐欺行為により絶えずユーザを惹きつけ、金儲けや情報収集の不正活動を行なっているのです。「Stop Online Piracy Act(SOPA)」という法案を装ったアンケート詐欺などは、その典型といえるでしょう。また、写真共有のためのSNS「Pinterest」もすでに悪用されており、「Repin(リピン)」された画像のURLからアンケート詐欺のサイトへ誘導される事例も確認されています。
本稿では、このような「アンケート詐欺関連の脅威」に対して、「ユーザはどのようにして自分たちの個人情報を守ることができる」かという注意事項を中心にFAQの形式で述べていきます。
ユーザは、どのようにしてこの種の脅威に遭遇しますか?
アンケート詐欺は、主にFacebookなどのSNSで実行されます。たとえば、多くのユーザは、Facebookのウォール上の「リンク付き投稿」といったかたちでこの種の詐欺に遭遇します。この場合、セレブリティの近況や時事問題などで話題になっているニュースに言及してユーザの関心を惹くような巧みなソーシャルエンジニアリングの手口が駆使されます。あるいは、ユーザが興味を抱きそうなコンテストや景品、無料サンプルなどを利用したソーシャルエンジニアリングの手口の場合もあります。アンケート詐欺では、こういった巧妙な“エサ”が効果的に活用されるため、ユーザは、簡単に「投稿」内のリンクをクリックしたり、サイト上に記された指示に安易に従ったりしてしまいます。
こうした“エサ”としてこれまでにFacebook上の事例として「TrendLabs(トレンドラボ)」で確認されたものとしては、たとえば、映画の「The Twilight Saga: Breaking Dawn Part 2(邦題:トワイライトサーガ/ブレイキング・ドーンPart2)の無料チケット」や、「無料iPad 3」、「バレンタイン用のテーマ(テンプレート)」などを得られると称したアンケート調査の手口であったり、あるいは、「ホイットニー・ヒューストンの動画視聴と称したリンク付き投稿」からアンケート詐欺ページに誘導するケース、「レディー・ガガ死去のBBCニュースを装った投稿」からアンケート詐欺ページに誘導するケース等など、多種多様に及んでいます。
また、冒頭でも述べたとおり、Pinterestもアンケート詐欺に利用され始めており、この場合は、ウォールの投稿の代わりに、有名なブランド商品の特典や懸賞に関する画像を「Repin(リピン)」し、応募やアンケートの詳細に関するサイトへとユーザを誘導するような手法を用いています。
アンケート詐欺はどのように実行されますか?
まず、ユーザは、閲覧しているSNSの「投稿」上で(偽の)アンケートへの協力を求められます。この際、巧妙なソーシャルエンジニアリングの手法が駆使されているため、ユーザは、簡単に「投稿」上のリンクをクリックしてしまい、そこから複数のWebサイトを経て、最終的に(サイバー犯罪者が意図する)不正なWebサイトへ誘導されることになります。
誘導されるサイトは、ほとんどの場合、以下のような偽Facebookアプリやページであり、ここには不正なURLも組み込まれています。また多くの場合、こういったFacebookのアプリ・ページ自体が、不正なWebサイトとなっています。
図1:Facebookのアプリ・ページ自体が、不正なWebサイトとなっているケース
また、ユーザは、気づかない間にアド・トラッキングサイト等に誘導される場合もあります。アド・トラッキングサイトとは、特定サイトの閲覧数などをトラックできる広告効果測定サービスのことですが、サイバー犯罪者は、この誘導を介して収益の予想や追加収入の画策等も行なっているようです。
図2:「当選、おめでとう!」のタイトル文字と共に、懸賞品の請求に必要なメールアドレス等の情報入力を促す説明が記載され、画面上部には、請求有効期間のカウントダウン・タイマーが表示されている。
誘導先の詐欺サイトでは、典型的な手口の場合、上述のような「特典や景品の提供に関する巧みな説明」をユーザは目にすることになります。また、サイト上には、カウントダウンのタイマーが設定されているケースもあり、こうした工夫により、偽コンテストや偽懸賞に早く参加するようにユーザを急かそうとする意図も伺い知ることができます。また、場合によっては、「あなたがアクセスしている国から参加できません」・「あなたがアクセスしている国は対象外となっています」といったエラーメッセージが表示されるケースもあります。この場合、サイバー犯罪者は、「特定の国のユーザのみを標的にした詐欺サイトを設置している」ということが予想できます。
多くの場合、サイバー犯罪者達は、「click.jve.net」などのサイト転送サービスを利用して、ユーザをアンケート詐欺のページへと誘導しており、さらにアンケート詐欺用のページの方は、「enterfactory.com」などを利用することで設置しているようです。
図3:「あなたはいつ結婚できるでしょう?」というタイトルのページ (質問に回答することで結婚時期が分かるという心理テスト風のページ)
こうして設置されたアンケートのページでは、ユーザが回答を終えた際、同時に携帯電話番号の入力も促されます。携帯電話番号を入力すると、ユーザの携帯電話に暗証番号が送られてくることになっており、この暗証番号は、たとえば、アンケートのページ上に記載された質問やクイズの答えを確認するために使われます。
図4:携帯電話番号の入力を促す画面。「結果(結婚時期)」を知るための暗証番号は携帯電話に送信されるというしくみ
図5:設問の回答後、「結果(結婚できる時期)」を確認するための暗証番号入力欄
図6:「あなたの肉体年齢は何歳?」といった内容のアンケート詐欺ページ
また、「The Twilight Saga: Breaking Dawn Part 2の無料チケット」など、アンケートに答えて無料チケットを入手できるとユーザに思わせるような手口の場合、アンケートのページにおいてSNS上の他の友人たちの名前などを入力させるケースもあり、このような場合、ユーザは、気づかないうちにこのアンケート詐欺の拡散に加担してしまうことになります。
「Pinterest」は、どのようにアンケート詐欺に利用されますか?
画像共有サービス「Pinterest」がアンケート詐欺に利用されていることは、冒頭でも述べたとおりです。現在、「TrendLabs(トレンドラボ)」では、このPinterestに関連した2件の事例を確認しており、いずれも、「ユーザをアンケートのページに誘導して質問に答えさせる」というアンケート詐欺の手口が駆使されています。
最初の事例の場合、Pinterestのユーザにより「Repin(リピン)」された画像が契機となり、「スターバックス」や米国の高級皮革製品メーカー「COACH」のプロモを装った偽画像が使用されていました。これらのプロモを利用するため、ユーザは、「リピン」された画像を介した特定Webサイトの閲覧を促されます。閲覧したWebサイト上でユーザは、まず、特定の画像を「リピン」するように指示され、その上で最終ステップとして、ページ上のリンクのクリックも求めれ、これにより、最終的にアンケート詐欺ページへと誘導されることになります。また、最近確認された2つめの事例では、利用された画像は、「pinterest」のキーワードで検索することでも遭遇でき、さらに短縮URLも使用するなど、いくつかの工夫が施されていました。
サイバー犯罪者達は、アンケート詐欺からどのような利益を得ることができますか?
アンケート詐欺の主な目的は金儲けであるといえるでしょう。サイバー犯罪者たちは、こういった詐欺手法により、まずユーザをアド・トラッキングサイトやアフィリエイトサイト等に誘導することで一定の利益を上げ、その上で最終的にアンケート詐欺のページへと誘導することからも、その点は理解できます。また、アンケート詐欺のページの方は、「将来の不正活動に利用するための情報収集」という目的に特化しているともいえます。たとえば、アンケートの際に収集したメールアドレス等は、スパムメール送信に利用され、こうして送信されるスパムメールには、不正な添付ファイルや情報収集型マルウェアなどが含まれることになります。
また、サイバー犯罪者たちは、ユーザを偽の(高額の料金を発生させる)プレミアムSMSサービスに登録させることでも利益も得ることができるようです。アンケート詐欺のページにおいて、携帯電話番号の入力を促すのも、この目的のためだといえます。
ユーザは、アンケート詐欺によりどのような影響を受けますか?
アンケート詐欺に巻き込まれることでユーザが受ける影響としては、何よりもまず、情報漏えいのリスクが挙げられます。アンケート詐欺のページでは、ユーザが設問に回答する際、ほとんどの場合、個人情報やその他の重要情報の入力を促されるからです。こうして収集された情報は、サイバー犯罪者達が将来的に行う予定の不正活動に利用されることになります。
また、ユーザは、自身のメールアドレスの入力を促されるケースもあります。この場合、収集されたメールアドレスは、サイバー犯罪者達によりスパムメール送信に利用されることになります。アンケート詐欺に巻き込まれ、うっかりメールアドレスを入力したユーザは、大量のスパムメールを受信することになるでしょう。
さらには、設問に回答する際、「Pinterestのリピン」や「Facebookの投稿」などを介した「共有」を促される場合もあります。このような指示にうっかり従った場合、同様の被害は、これらのサービスでつながっている友人や知人にも、アンケート詐欺を拡散させることになります。
「正規のアンケート」と「アンケート詐欺」は、どのようにして見分けることができますか?
もちろん、すべてのアンケート調査が詐欺であるというわけではありません。正しい目的で実施されるアンケート調査は、特定の商品やサービスに関してユーザがしっかりと意見を述べるための手段して非常に有効です。実際、Facebookでも、こうした調査によりユーザのニーズをしっかりと把握し、商品やサービスに向上に役立てているといいます。
「正規のアンケート」と「アンケート詐欺」を正しく見分ける方法としては、以下のような各点をあげることができます。
- アンケートのページ上で、何の理由も明記せずにユーザの氏名やメールアドレスの入力を促している場合は、アンケート詐欺だといえます。正規のアンケートでは、ほとんどの場合、こうした情報の入力は、オプショナルであるか、もし必須であれば、「なぜアンケートする側がこのような情報が必要であるか」の理由が明記されているはずです。
- アンケートを実施する会社の詳細がアンケートのページ上に記載されていない場合も、アンケート詐欺と見なすべきでしょう。アンケートを実施する調査会社は、このような場合、企業概要や、所在地、沿革、ロゴ、業務内容などを必ず明記しているはずです。
- 「プライバシーポリシー」や「個人情報の取り扱い方針」等、アンケートで収集された情報をどのように取り扱うかという点に関して何も明記されていない場合、これもアンケート詐欺と見なすべきでしょう。
- アンケートに回答した見返りとして大金や高級な賞品等がもらえると喧伝している場合も、アンケート詐欺と見なすべきでしょう。市場調査を行う会社のアンケートの場合、顧客満足度や商品・サービスの向上に役立てるためという説明がある程度で、仮に回答の見返りとして何かもらえるとしても、ギフトカードや記念品程度であり、「大金がもらえる」などと大袈裟に説明されることはありません。
アンケート詐欺から身を守るためには、どのような注意が必要ですか?
SNS上の「投稿」などについては、たとえそれが「友人」からのものであっても、念のためのチェックは怠らないこと。「投稿」上のリンクを安易にクリックしたり、指示に不用意に従ったりせず、まずは、その「投稿」が偽物ではなく、本物かつ正規のものであるか、事前にしっかりと調べておくこと。こうした用心が身を守る上での最善の対策となります。
信じられないくらいの高額の賞金などが提示された「投稿」は、最初から疑ってかかり安易に信じたりしないこと。あまりに出来すぎて信じられない話は、やはり、真実でないことがほとんどです。最新ニュースに関する話題などは、そのような「投稿」からではなく、事前にブックマークした信頼のおけるニュースサイトから確認するように習慣づけておくことも、こういった「投稿」の真偽に惑わされないための有効な手立てとなります。このような脅威の場合、ソーシャルエンジニアリングの手口に振り回されないことが重要であり、この点については、「How Social Engineering Works」(英語版のみ)などのe-Guideからこの手口の実際やノウハウ等を確認しておくことも有効です。
また、アンケートを実施する正規のページがどのようなものであり、どのような部分でアンケート詐欺のページとは異なっているのかを把握しておくことも非常に有効です。万一、リンクをクリックしてアンケート・ページに誘導されても、こういった点を把握しておけば、少なくとも「うっかり個人情報やその他の重要情報を入力してしまう」といった被害を避けることができます。
こういった点を踏まえて、どのようにすれば、安全にSNSを利用することができるかという注意事項を理解しておくことは非常に重要です。「A Guide to Social Media Threats」(英語のみ)というe-Guideでもこれらの注意事項を確認することができます。
トレンドマイクロ製品は、アンケート詐欺による脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の「Web レピュテーション」技術により、ユーザがアクセスする前に上述のようなアンケート詐欺関連のWebサイトをブロックします。また、2012年4月に締結されたFacebookとのパートナーシップより、Facebookはこの技術を利用し、Facebookサイト上のリンクから不正なサイトに誘導されることをブロックすることで、Facebookユーザのデジタルライフを保護するセキュリティを提供しています。
トレンドマイクロの専門家からのコメント:
「非常に巧妙に作られていて思わずリンクをクリックするなり指示に従うなりしてしまいそうな投稿も、実際は、サイバー犯罪者による情報収集の手口にすぎないので細心の注意が必要だ」と、あらかじめ同じSNS内の「友人」たちと注意喚起を共有しておくことも有効でしょう。
- Fraud analyst:Christopher Talampas
こういったアンケート詐欺の場合、できるだけ多くのユーザにできるだけ大量のクリックをさせることが、サイバー犯罪者達にとっての「成功の秘訣」となります。その意味で、サイバー犯罪者達は、いまユーザたちの間で話題になっているものや人気を博しているものを提供しながらユーザたちを魅了する能力に長けており、そういった点を決してあなどることなく、十分な注意が必要です。
- Fraud analyst:Paul Pajares