2011年5月1日夜(日本時間 2日午後)、国際テロ組織アルカイダの最高指導者ウサマ・ビンラディン容疑者の死亡が報道され、世界中を騒がせました。特にブログやソーシャル・ネットワーキング・サイト「Facebook」、マイクロブログサイト「Twitter」のようなソーシャルメディアでは、「アルカイダの創始者がどのようにして死亡したのか」という話題でにぎわいました。もちろん、このような状況は、サイバー犯罪者にとって攻撃を仕掛ける絶好の機会となりました。彼らは、こうした人々の関心の高さを巧みに利用し、彼らにとっての「テロ行為」ともいえるサイバー攻撃をさまざまな手口を用いて仕掛けてきました。ビンラディン容疑者殺害の情報を入手しながらも自分自身とコンピュータを不正な攻撃から守るために、以下の情報が有効となります。


ビンラディン容疑者殺害のニュースに便乗した脅威は、どのような攻撃によりもたらされますか?

「TrendLabs(トレンドラボ)」のエンジニアは、オバマ米大統領の緊急演説が実施された5月1日夜(米国時間)から以下のような攻撃を確認しています。
  • ビンラディン容疑殺害に関連するキーワードを用いて、検索エンジンでの検索結果に不正なリンクが表示されるよう悪質に操作する「SEOポイズニング攻撃」。これにより、ユーザが「Google」や「Yahoo!」などの検索エンジンでこの出来事に関するニュースや情報を検索すると、不正なWebサイトやWebページへと誘導されました。
  • 予想通り、スパムメールもWeb上を飛び交いました。このスパムメールには、ビンラディン容疑が依然として生存していることを訴えるメッセージとその証拠となる写真が添付されていました。
  • Facebookの「ウォール(Facebookの各ユーザに与えられる『掲示板』のような機能)」へのスパムメッセージの投稿も確認されました。これらのメッセージには不正なリンクが含まれており、このリンクをクリックするとビンラディン容疑者殺害の動画や写真が閲覧できるように装っていました。このほか、Facebook のチャット機能を利用して不正なリンクを拡散する攻撃も確認されました。


この脅威は、どのような影響をユーザに与えますか?

ユーザが、よく知られている検索エンジンを利用して、その検索結果に表示された不正なリンクを誤ってクリックした場合、フィッシングサイトやフィッシングページ、または偽セキュリティソフト型不正プログラム「FAKEAV」の亜種などの不正プログラムがダウンロードされるWebサイトやWebページに誘導されることとなります。スパムメッセージを開封し、メール本文に埋め込まれたリンクを誤ってクリックしてしまったユーザも、同様の結果に陥ってしまいます。偽のメッセージにだまされたユーザが、ビンラディン容疑者殺害の動画を閲覧しようと、メッセージ内の指示通りに特定のスクリプトをコピーして、自身のブラウザのアドレスバーに貼り付けてしまうと、このユーザのコンピュータはマルウェアに感染します。この不正なスクリプトは、トレンドマイクロ製品では、「JS_OBFUS.AB」として検出されます。また、Facebookのチャットメッセージに含まれる不正なリンクをクリックしたユーザのコンピュータは、最終的に「JS_FBJACK.C」に感染してしまいます。


「JS_OBFUS.AB」と「JS_FBJACK.C」はどのような不正活動を行いますか?

「JS_OBFUS.AB」は、感染したユーザが利用するFacebookのウォールにメッセージを投稿し、ユーザのFacebook上の「友達」が不正なリンクをクリックするように促します。ユーザがウォールに投稿されたメッセージ内のリンクをクリックすると、「動画が閲覧できる」と称するページに誘導されます。このページには、動画を見るための手順が記されており、この手順どおりにスクリプトをコピーしてブラウザに貼り付けると、不正なスクリプトが実行されます。その結果この不正スクリプトは、Facebookのチャット機能を介して、感染ユーザのすべての友達に不正なリンクを送信します。

「JS_OBFUS.AB」と同様に、「JS_FBJACK.C」もまたFacebook のチャット機能を利用し、オンライン中の友達へ不正なリンクを含むメッセージを送信します。ユーザが、メッセージ内のリンクをクリックすると、不正なWebサイトへ誘導されることとなります。また「JS_FBJACK.C」は、感染ユーザのFacebookのウォールにメッセージを投稿し、これを見た友達がメッセージ内のリンクをクリックするよう促します。また、「JS_FBJACK.C」は、感染ユーザを特定のFacebookページのファンとして自動的に登録します。


この脅威がNoteworthy(要注意)とされる理由は何でしょうか?

多くの人が注目を示す出来事は、サイバー犯罪者にとってソーシャルエンジニアリングに利用する格好の「エサ」となります。そのため今回のビンラディン容疑者の死のように有名人の死を用いた攻撃は、通常、Noteworthy(要注意)に分類されます。Webサイト上に、よく知られている人々やテレビ番組などについて記載されていると、多くの読者が関心を寄せます。そのため、これらのサイトは、検索エンジンの検索結果で上位に表示されることになります。サイバー犯罪者は、このことを心得ており、こうした人々の「知りたい」と思う気持ちを巧みに利用し、しばしば攻撃を仕掛けてきます。彼らは、SEOポイズニングの手法によって、検索サイトでの検索結果を操作し不正なサイトが上位に表示されるようにします。そしてその不正なリンクから、改ざんされたサイトやページまたは特別に細工されたサイトやページにユーザを誘導し、金銭や個人情報などをだまし取るのです。


トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検出してファイルが実行されるのを未然に防ぐことができます。

トレンドラボのWeb解析エンジニアKarla Agregadoは、Facebookを介した脅威について以下のようにコメントしています。
「Facebookを介した脅威や攻撃による感染が多数確認されていますが、これは、Facebookユーザの「友達からのメッセージであれば比較的安全だろう」と認識する傾向に起因していると考えられます。これらのユーザは、友達からダイレクトメッセージやチャットメッセージ、イベントへの招待などを受け取ると、それらの友達のアカウントが感染していても気付かずに、メッセージ内のリンクを自動的にクリックしてしまいがちです。そのため、リンクを含んだメッセージを受け取った場合には、そのメッセージについて送信者に確認することが大切です。リンクをクリックする前によく考えることを常に心がけてください。」


コンピュータを今回の攻撃に関するマルウェア感染から守るにはどうすればいいのですか?

「JS_OBFUS.AB」や「JS_FBJACK.C」のような不正スクリプトのペイロードからコンピュータを守るためには、以下のような対策が有効です。
  • たとえ身に覚えのある送信元からのものであっても、不審なメールに埋め込まれたリンクは決してクリックしないこと。最善策は、スパムメールを直ちに削除することです。
  • ニュースや情報を入手する場合は、検索エンジンではなく、WebブラウザのアドレスバーにURLを直接入力することによって身を守ることができます。また、よく訪問するサイトをブックマークしてこれらを利用することにより、SEOポイズニング攻撃のリスクを軽減することができます。
  • ソーシャル・ネットワーキング・サイト上に掲載されているニュースや情報には注意する必要があります。これらのニュースや情報が信頼のおけるサイトからのものでない限り、偽の情報だと考えて間違いありません。これらの情報がどこから発信されたのかを確認するために、それまでに掲載された投稿やツイートをさかのぼって読んでいくことも重要な対策となります。
  • 総合的な防御を提供するセキュリティ製品を導入し、常に最新バージョンに保つことが不可欠となります。また、ソフトウェアの提供元から更新プログラムが公開されたらすぐに、お持ちのコンピュータのOSやインストールされているアプリケーションに該当するものをダウンロードしてインストールすることによっても、安全性を確保することができます。