SNSは個人情報の宝庫、ターゲット型攻撃が主流に


 ロシアのモスクワで1月29日に開催されたKaspersky Labの報道関係者向けイベント「International Press Tour」において、同社の東欧地域リサーチャーを務めるステファン・テナス(Stefan Tanase)氏がソーシャルネットワーキングサービス(SNS)の脅威動向について講演。SNSを狙う脅威の手口について解説した。

20以上のSNSを標的にする「Koobface」

東欧地域リサーチャーを務めるステファン・テナス(Stefan Tanase)氏
2010年に予測されるSNS関連サービスの脅威

 2010年に予測されるSNS関連サービスの脅威としてTanase氏は、1)古いアプリケーションにおける既知の脅威、2)新しいアプリケーションにおける既知の脅威、3)古いアプリケーションにおける未知の脅威、4)新しいアプリケーションにおける未知の脅威――を挙げる。

 1)古いアプリケーションにおける既知の脅威としてテナス氏は、2009年にも多く見られたWebサイトの改ざんを指摘。現在では、世界の150サイトのうち1サイトは改ざんされ、ウイルスが仕込まれている状況だという。

 2)新しいアプリケーションにおける既知の脅威としては、「Google Wave」におけるクロスサイトスクリプティングの脆弱性に加え、FacebookやMySpace、TwitterなどのSNSを介して感染を広げるマルウェア「Koobface」を挙げる。

 Koobfaceは、SNS関連サービスで不正なサイトへ誘導するURLを含む投稿を行うことで、感染を広げるマルウェア。URLとともに興味を引くようなコメントを記載することで、ユーザーにクリックさせようとする。

 ユーザーがクリックすると、「ビデオを見るために必要なコーデックをダウンロードしてください」といった内容のメッセージが表示され、これに従うとマルウェアに感染してしまう。感染した場合は、個人情報詐取などの被害を受けるという。

 もともとKoobfaceは、FacebookやMySpaceを攻撃対象としていたが、その後はTwitterなど「20以上のSNSを標的にしている」。Tanase氏は「今後もサイバー犯罪者は亜種を開発し、新たなWebサイトが狙われるだろう」と話している。

 3)古いアプリケーションにおける未知の脅威については、既存の脅威に新たな“機能”が追加されると指摘。その一例としてKoofbaceを挙げ、「現在は簡単なソーシャルエンジニアリングの手法のみでユーザーをだましているが、今後は進化を遂げる」という。

 例えば、ウイルス対策ソフトによる検知を防いだり、検知を遅らせたりするために、Koobfaceが難読化されることが予想されるほか、悪意のあるWebサイトを閲覧しただけで感染するような“ドライブバイダウンロード”型の感染経路も出てくるとした。

サイバー犯罪者がSNSの個人情報を利用しないわけがない

“ニュース速報”を装い、アクセスしたユーザーにマルウェアをダウンロードさせようとする不正サイト

 4)新しいアプリケーションにおける未知の脅威についてTanase氏は、現時点で言えることはあまりないとしつつも、「1つだけ重要な点がある」として、個人を狙った標的型攻撃が主流になるとの見解を示した。

 一例として、“ニュース速報”を装い、アクセスしたユーザーにマルウェアをダウンロードさせようとする不正サイトの手口を紹介。この不正サイトは「○○○で今朝、大爆発事故が発生した」という内容のニュースが書かれており、2009年3月に確認された。

 「○○○」の部分については、アクセスしたユーザーのIPアドレスをもとに、地域が自動的に書き変えられていたとTanase氏は説明。こうした「ジオターゲティング攻撃」も標的型攻撃の一種であるとした。

 標的型攻撃が主流になる理由としては、年齢や性別、地域、趣味、職業など「あまりにも多くの個人情報がSNSに公開されている」ことを挙げる。「広告主はターゲット型広告としてこれらの情報を活用しているが、サイバー犯罪者が悪用しないわけがない」。

 今後は「ジオターゲティング攻撃」に加えて、さらに精度が向上した自動翻訳サービスが使われたり、SNSの「Trending Topics」などをもとに、標的形攻撃が自動化されるだろうと話した。


関連情報

(増田 覚)

2010/2/4 06:00