2008年7月末からFacebookユーザをターゲットにしたワームが、あちらこちらで見つかっています。その戦略は簡単ですが、効果的なものでした。それは、感染したユーザの友人宛に、オンラインビデオに誘導するページを訪問させようとする悪意のあるメッセージが送られてくるというものです。これは、今日のウェブ2.0の時代に完全に共通する方法です。しかし、ターゲットユーザがリンクをクリックしても、そのページが促す、特別なコーデックをユーザがインストールしない限りすぐにオンラインビデオがスタートしないことに気づくでしょう。当然のことながら、このコーデックはトロイの木馬以外の何者でもありません。そして、色々なマルウェアソフトを搭載していて、恐らくワームのコピーも含まれています。
ごく最近、攻撃のソーシャルエンジニアリング戦略に面白いものが加えられました。下記図1のように、悪意のある危険なメッセージに含まれるリンクがGoogleを示しています。
(リンク »)
図1:Facebookフィルタを逃れるためにスペルを変えています。
これをクリックすると、狙われたユーザは、本当に、Googleリーダーに移動させられます。次の図2をみてください。
(リンク »)
図2:多くの人がクリックしたくなるビデオのようです。
Google リーダーは、読者が面白いと思ったニュースを参加するソーシャルネットワークや、読者自身の公開ページで共有することを許可したニュースリーダーです。Facebookワームの背後にいるサイバー犯罪者たちは、悪意のあるサイトのリンクを張ることを唯一の目的として、Googleリーダーアカウント(手動あるいは自動のフィッシング活動か、画像認証などのCAPTCHA認証の自動的な読取によって)に登録しています。実際には、図2のニュースリーダーで見られる魅力的なビデオフレームをクリックすると、犠牲者は、古典的な偽のコーデック(W32/Zlob.NKX!tr.dldr)であるトロイの木馬が仕込まれたサイトにリダイレクトされます。
(リンク »)
図3:条項が欠如していることによりハッカーの仕事であることが分かります。
Googleリーダーを経由したこの“Hop”言語は、重要な目的を果たすのに役立ちます。つまりこれは、ターゲットユーザに、Googleがこのビデオを提供しているかのような印象を与えます。だから安全なのです。“これはあなたのお友達からのメッセージです”という一言が自然にユーザの警戒心を下げ、あなたは、犠牲者となったあなたの友人が、この非常に恐ろしいクリックを実行するのを見ることになるでしょう。
【2008年10月29日 追記】
このサイバー犯罪は、ターゲットユーザを誘い出すためにGoogle Picasaを使っています。この疑わしいFacebookメッセージのURLは次の通りです。
(リンク ») [removed]/Youtube#52610132498569990(このURLは削除されているため、閲覧できません。)
ここで、先ほどと同じビデオスクリーンが表示され、ユーザはキャプションのリンクに従うよう誘導されます。
(リンク »)
図4:あなたがコーデックを見落としたのではなく、
これがトロイの木馬であるため、この映像を開くことができません。
確認後、ピクチャーキャプションに許可されたリンクが、まるで本物のPicasa機能のように現れます。そして、セキュリティ脅威が引き起こされる可能性が一段と高くなります。もし、危険なPicasaユーザが悪意のあるURLを掲示しているとしたら、この機能には、潜在的リスクをとるだけの価値があるのでしょうか?
フォーティネットのアンチウイルスおよびWebコンテンツフィルタリングサービスを導入済みのお客様は、この脅威から既に保護されています。フォーティネットのIPSサービスはFortiGuardサブスクリプションサービスの1つで、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。
謝辞:
FortiGuard Global Security Research Teamマネージャー ギョーム ラベット(Guillaume Lovet)
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
ごく最近、攻撃のソーシャルエンジニアリング戦略に面白いものが加えられました。下記図1のように、悪意のある危険なメッセージに含まれるリンクがGoogleを示しています。
(リンク »)
図1:Facebookフィルタを逃れるためにスペルを変えています。
これをクリックすると、狙われたユーザは、本当に、Googleリーダーに移動させられます。次の図2をみてください。
(リンク »)
図2:多くの人がクリックしたくなるビデオのようです。
Google リーダーは、読者が面白いと思ったニュースを参加するソーシャルネットワークや、読者自身の公開ページで共有することを許可したニュースリーダーです。Facebookワームの背後にいるサイバー犯罪者たちは、悪意のあるサイトのリンクを張ることを唯一の目的として、Googleリーダーアカウント(手動あるいは自動のフィッシング活動か、画像認証などのCAPTCHA認証の自動的な読取によって)に登録しています。実際には、図2のニュースリーダーで見られる魅力的なビデオフレームをクリックすると、犠牲者は、古典的な偽のコーデック(W32/Zlob.NKX!tr.dldr)であるトロイの木馬が仕込まれたサイトにリダイレクトされます。
(リンク »)
図3:条項が欠如していることによりハッカーの仕事であることが分かります。
Googleリーダーを経由したこの“Hop”言語は、重要な目的を果たすのに役立ちます。つまりこれは、ターゲットユーザに、Googleがこのビデオを提供しているかのような印象を与えます。だから安全なのです。“これはあなたのお友達からのメッセージです”という一言が自然にユーザの警戒心を下げ、あなたは、犠牲者となったあなたの友人が、この非常に恐ろしいクリックを実行するのを見ることになるでしょう。
【2008年10月29日 追記】
このサイバー犯罪は、ターゲットユーザを誘い出すためにGoogle Picasaを使っています。この疑わしいFacebookメッセージのURLは次の通りです。
(リンク ») [removed]/Youtube#52610132498569990(このURLは削除されているため、閲覧できません。)
ここで、先ほどと同じビデオスクリーンが表示され、ユーザはキャプションのリンクに従うよう誘導されます。
(リンク »)
図4:あなたがコーデックを見落としたのではなく、
これがトロイの木馬であるため、この映像を開くことができません。
確認後、ピクチャーキャプションに許可されたリンクが、まるで本物のPicasa機能のように現れます。そして、セキュリティ脅威が引き起こされる可能性が一段と高くなります。もし、危険なPicasaユーザが悪意のあるURLを掲示しているとしたら、この機能には、潜在的リスクをとるだけの価値があるのでしょうか?
フォーティネットのアンチウイルスおよびWebコンテンツフィルタリングサービスを導入済みのお客様は、この脅威から既に保護されています。フォーティネットのIPSサービスはFortiGuardサブスクリプションサービスの1つで、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。
謝辞:
FortiGuard Global Security Research Teamマネージャー ギョーム ラベット(Guillaume Lovet)
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
用語解説
フォーティネット会社概要 ( (リンク ») )
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
