PR

No Thanks Koobface」より
November 25,2009 Posted by Jon Larimer

 米メディア,イーウィークの2009年11月25日午前(米国時間)付け記事「IT Security Predictions for 2010」(2010年におけるITセキュリティ予測)において,将来登場するであろう脅威を取り上げた部分で米IBMのロバート・フリーマン氏と筆者の名前が出ていた。筆者はSNS(social networking service)の脅威というテーマでeWEEKの取材を受けたのだが,たまたま記事掲載の直後に「Facebook」の友人から以下のようなメッセージが届いた。

 メッセージを読んですぐ,ビデオに誘導するリンクが怪しいと思った。そもそも筆者は最近ビデオに登場していない。しかも,このリンクはURL短縮サービス「bit.ly」で生成されており,一般的なビデオ共有サイトのものでなかった。その上,メッセージの送信者は親しげに振る舞っているが,筆者とこの人物とはもう何年も会ったりメッセージ交換したりしていない。

 bit.lyで短縮されたリンクにアクセスするとblogspot.comへ転送される。転送先には難読化されたJavaScriptが仕掛けられていて,また別のサイトへ送られる。こうした転送を何回か繰り返してたどり着いたWebページで,「Shockwave Flash」のインストールが必要,という内容のメッセージが表示された。

 メッセージの「Install」ボタンをクリックすると,Webブラウザから「setup.exe」のダウンロード開始の許可を求められる。

 ダウンロードしようとしているsetup.exeというファイルは,トロイの木馬「Koobface」の新型亜種である。オンライン・セキュリティ検査サービス「VirusTotal」でこのファイルを検査したところ,最初にファイルを送った時点でマルウエアと判断したのは42種類あるウイルス・スキャナのうち一つだけだった。そのため,新しい亜種とみなせる。ただし,現在は検出率が上がっており,ほとんどのウイルス対策ソフト・ベンダーがその日のうちに新たな検出用シグネチャを用意した(関連記事:ソーシャル・ネットワーキングを使いこなし攻撃する「KOOBFACE」/「Twitter」を狙うようになった「Koobface」ワーム/SNS「Facebook」で広まるマルウエアが急増)。

 今回のKoobfaceは,進化して強力になっていた。ログイン情報を盗み,さまざまなSNSのメッセージで友人や家族に攻撃用リンクを送ることで,SNS経由で感染を広げられる。ユーザーの各種情報を取得し,攻撃者が管理している遠隔サーバーに送信する。感染したパソコンにはWebサーバーをインストールし,攻撃用リンクがブラックリスト化されても感染拡大を続けられるよう配信サーバーとして使う。攻撃者は感染パソコンを遠隔操作できるので,機能追加用アップデートの送信も可能だ。

 この種のSNSを悪用する攻撃は,当たり前のものになってきた。サイバー犯罪者たちにとってSNSは,メールに比べると比較的新しい攻撃手段である(関連記事:2009年Q2脅威レポート:特にボットネットとスパムが増加/2009年上半期のセキュリティ脅威,SNSを狙った攻撃が増加)。ここで,SNSから感染するワームを避ける方法をいくつか紹介しておく。

  • ウイルス対策ソフトを常に最新状態にしておこう。たいていの対策ソフト・メーカーは1時間ごと,もしくはもっと頻繁にアップデートをリリースしている
  • 友人のほか,個人や公を問わず,教えられたリンクは必ず疑おう。Facebookでは,ユーザーが外部サイトへのリンクをクリックすると注意するよう警告を出す
  • パスワードをパソコンに保存してはならない。SNS系ワームやトロイの木馬は,ユーザーの利用しているSNSにログインしようとして,パソコン内でクッキーを検索する
  • SNSのメッセージがメールで届いた場合,そのメール内にあるリンクをクリックしてはならない。きちんとSNSにログインし,そこでメッセージを確認した方が安全だ。こうしたメールは,フィッシング目的だったりマルウエア感染用リンクを含んでいたりする


Copyrights (C) 2009 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,No Thanks Koobfaceでお読みいただけます。