PR

 今日のサイバー犯罪では,ソーシャル・ネットワーキング・サイト(SNS)の悪用や,クロスサイト・スクリプティング(XSS)攻撃は,よく見られる手段である。この二つの組み合わせも珍しくない。しかし今回,トレンドマイクロのウイルス解析チームは,サイバー犯罪者がこれまで利用していなかったSNSを新規開拓しようとしている傾向を示す攻撃を確認した。

SNS「Renren」:中国版「Facebook」がサイバー犯罪の新たな標的に

 2009年8月,トレンドマイクロのウイルス解析チームは,中国のSNS「Renren」にXSSの脆弱性が存在していることを確認し,注意を促した。この攻撃手法では,英ロックバンド「ピンク・フロイド」が歌う「Wish You Were Here」の動画を介してユーザーのコンピュータに侵入する。ユーザーがビデオを観ている間に,「JS_DLOADR.ATJ」として検出される不正スクリプトが,Renrenに関係するブラウザのクッキーを感染コンピュータ内で検索する。不正スクリプトがクッキーを確認すると,クッキー内の情報が利用され,感染したユーザーのRenrenでの友人に同じメッセージが送信される。このようにして,攻撃のサイクルが繰り返され,感染が拡大することになった。

 Renrenでの友人にメッセージを大量送信するほかは,特に不正活動は行わない。今回は,実際にもたらされる被害の規模よりも,Renrenに脆弱性が存在し,それを利用した攻撃が発生したという事実の方が注目された。

図1●「JS_DLOADR.ATJ」の感染フロー
[画像のクリックで拡大表示]

 Renrenは2005年12月に,「Xiaonei」という名称で設立された。Xiaoneiは「キャンパスで」という意味で,大学生のネットワーク形成が目的だった。しかし,サイトが当初の目的を超えて成長したことから、2009年8月には,「Renren(みんな)」という名称に変更された。

 一部の報道によると,Renrenの会員数は8000万人に達しているとされる。Facebookのグローバル会員数は3億人だから,規模の上ではまだ小さいという印象があるかもしれない。ただ,Facebookのサービス発祥地である米国での同サイト会員が約9000万人であることを考えると,Renrenの8000万人という規模はサイバー犯罪者にとって十分魅力的な標的である。

 Renrenの人気上昇に目を付けたサイバー犯罪者は,「いつもの標的」リストにこのサイトを新たに加えることにした。SNSとマイクロブログ・サイトでは,それぞれFacebookとTwitterがユーザー数でトップを占めている。そして,このどちらのサイトもサイバー犯罪者の格好の標的である。この状況から考えて,中国版FacebookであるRenrenを特別に狙った攻撃が始まっても何ら不思議ではない。

SNSにとって増え続ける悩みの種?

 先に述べたように,SNSのサイトでXSSの脆弱性が確認されることは珍しくない。トレンドマイクロは,2007年の時点で既に,グーグル所有のSNS「Orkut」がこのような攻撃の被害に遭ったことを確認している。今回のRenren攻撃と同様,その時の不正活動も実質的に害があるものではなかった。感染したユーザーが特定のグループに加えられ,不正リンクを含むメッセージがユーザーの友人に投稿されるというサイクルが繰り返された。

 Orkut攻撃以前にも,2005年にSNS「MySpace」が「samyワーム」によるXSSワームの被害に遭っている。SNSを標的にした最初の事例と言えるかもしれないこの攻撃も,他の事例と同様に無害なものだった。このワームは,感染したユーザーの友人リストにsamyワームの作者であるSamyを加え,ユーザーのプロフィールを変更して,プロフィールを閲覧するだけで感染活動が継続されるように仕組まれていた。結局,Samyは自分のプロフィールが削除される前に100万人以上の「友人」を獲得した。

 Facebookも,その人気相応にXSS攻撃の被害を受けている。これらの攻撃の主な原因は,Facebookではサードパーティのアプリケーションを利用できる環境になっていることである。匿名の「ホワイトハット(善玉)」ハッカーは、Facebookのアプリケーションに存在するXSSの脆弱性を日替わりで攻撃するという主旨の「FacebookのXSS攻撃月」を宣言したほどだ。

 XSSの脆弱性に関してはTwitterも例外ではない。2008年4月にはTwitterのライバル・サイトのユーザーである10代の若者が,退屈しのぎにTwitterを不正利用してライバル・サイトを宣伝した例がある。

 今回のRenrenを狙った攻撃は,このサイトの成長ぶりをサイバー犯罪者が認めたということであり,SNSを利用して実害を及ぼす攻撃がRenrenにも仕掛けられる可能性を示唆している。そのような攻撃がもたらす危険性は,「KOOBFACE」ファミリが用いる多様な手口が十分に示している。

XSS攻撃への対処法

 基本的に,XSS攻撃を防ぐ責任の多くはユーザーではなくサービス・プロバイダにある。ユーザーからのコンテンツを受け入れるWebサイトは,送り込まれるコンテンツをフィルタリングしたり,無害にしたりして,XSS用スクリプトが実行される可能性を最小限に抑えなければならない。

 一方,ユーザーも,Webサイトを閲覧する際には細心の注意を払う必要がある。特に,リンクをクリックするよう促すメッセージ,あるいは複数の友人からの全く同じメッセージなどが届いた場合は,標的型攻撃である可能性が高いので,気を付けてほしい。

参考:
・Leopando Jonathan(2009年4月14日),TrendLabs Malware Blog,“Boredom Results in Twitter Malware Attack.”
・McArdle Robert(2007年12月19日),TrendLabs Malware Blog,“Orkut/Google Worms Compromise Over 400,000 Accounts.”
・トレンドマイクロ ウィルスデータベース「JS_DLOADR.ATJ」
・トレンドマイクロ ウィルスデータベース「SWF_EXECJS.A」
・Facebook(2009年),“Press Room?Statistics.”
・People’s Daily Online(2009年),“Social networking site Renren finally turns the corner.”
・Social Hacking(2009年),“Revealing Facebook Application XSS Holes.”


Copyrights (C) 2009 Trend Micro Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆このコラムでは,フィリピンのトレンドラボの研究者が,最近のセキュリティ・インシデントについて解説します。記事はすべて新たに書き下ろしたものです。