Facebookメッセンジャーに届いた怪しいURLを踏んだ結果をトレンドマイクロが公開、友人・知人アカウントでも注意

　SNS上で見られる迷惑メッセージは送信元が友人・知人のアカウントであるケースが多く、ネット上の危険に誘導される可能性が高まるという。他の利用者と直接メッセージのやり取りが可能なSNSを利用して不正サイトへ誘導する攻撃手法について、トレンドマイクロ株式会社が同社のセキュリティブログで解説している。

　8月にFacebook Messenger上で確認された迷惑メッセージは英語で記述されており、短縮URLサービス「bitly.com」が使用されていた。Yahoo！のリアルタイム検索機能により、今回の事例で利用された「bitly.com」をキーワードにFacebookを検索したところ、この迷惑メッセージに関するものと思われる書き込みが、8月25日をピークに10件以上確認されたそうだ。

「Facebook Messenger」で着信した不審なメッセージの例

　迷惑メッセージに記載されたURLにアクセスすると、正規サービスである「Googleドライブ」上にPDFファイルが表示される。PDFの内容はメッセージで提示されるURLによって異なるが、いずれも動画を偽装した表示になっている。誘導先のサイトはYouTubeに偽装しており、一見するとFacebookのTips動画を紹介するページに見えるが、ドメイン名はYouTubeとは異なるものになっている。該当ページにアクセスしても動画は再生されず、「Chrome」の拡張機能の追加を要求してくる。これは「アクセスしたウェブサイト上にある自分の全データの読み取りと変更」という非常に重要な権限を要求するもの。今回の検証例では、拡張機能の名称は「Nagle」となっていた。

メッセージ内のURLから誘導されるクラウドサービス内のPDFファイルの表示例

　偽サイトから拡張機能を追加すると、正規のFacebookのログイン画面を表示。ログインすると、意図せずFacebook上の友達に迷惑メッセージが送られることになる。

　不審な拡張機能は、削除されるまでC＆Cサーバーと思われるインターネット上のサイトにアクセスしていた。今回の検証例では迷惑メッセージの送信のみが確認されたが、アクセスするサーバーからの指令やダウンロードにより、別の不正活動が行われる可能性がある。特に、アクセスしたウェブサイト上のデータにアクセスできる権限を持っていたことから認証情報の詐取に利用されるおそれがある。Facebookではこの事例の確認時点で不審なChrome拡張機能に対して対策を取っており、2回目以降のFacebookへのアクセス時には拡張機能の削除を求め、ログインを拒否するようにしている。そのため、繰り返し迷惑メッセージを送信することはないようだ。

YouTubeを偽装したサイトでブラウザーの拡張機能の追加を要求

友人のアカウントや正規サービスを利用して油断させる手口

　短縮URLサービスは「bit.ly」以外に「goo.gl」「kuku.lu」「x.co」などが存在する。これらの短縮URLは一見しただけでは誘導先の正確なURLが分からず、不審かどうかの判断が難しい。この特徴から攻撃者は短縮URLを悪用した誘導メッセージを送信する場合が多い。

　偽サイトへ誘導するためのPDFの表示には、Googleドライブ以外に「Evernote」「Dropbox」など正規のクラウドストレージサービスが悪用されやすい。また、偽サイトに表示される拡張機能の名称は多数存在する。これらは正規のChromeウェブストアから配布されているが、公開を中止された場合でも別名で繰り返し公開することが推測される。

　被害に遭わないためには、SNS上でURLへのアクセスを促すメッセージを受けた場合、送信元にかかわらず安易にアクセスしないことが重要になる。こうした誘導メッセージは、送信元のユーザーアカウントが不正アクセスされていたり、送信元の端末に不審なプログラムが侵入している場合が多い。

　もし、メッセージに含まれる短縮URLのリンク先にアクセスした場合、サイトが正規のものか確認する必要がある。また、ブラウザーの拡張機能の追加やプログラムのインストールを求められた場合も安易に許諾せず、内容を確認することが重要だとしている。