パンくず

  • HOME
    • セキュリティブログ

ベナン人かく語りき: 詐欺師たちがFacebookチャットをハイジャックしている

友達の息子が昨日、Facebookチャットで連絡してきて驚きました。私達は普段チャットをしないので、何が起きているのかとても気になりました。

彼は最初、私の近況について聞いてきましたが、すぐに、人気のあるフランスの三行広告サイト、leboncoin.frに広告を載せる手助けをしてほしいと言ってきました。疑わしいとすぐに思いましたが、セキュリティ研究者として、この後どういう展開になるのかとても興味が沸きました。

それは車の広告で、彼は、必要な情報をすべて私に知らせるので、フィールドに入力してほしいと言ってきましたが、彼はすでに準備したテキストを持っているようでした。そして、彼は、私が言及していないフィールドを含む大量のテキストを貼り付けてきました。

indy-champs
私が言及していないフィールド

どうしてその車は私たちが住んでいる場所とは全く違う場所(800km離れた場所)で売るのか尋ねると、それは彼のおばの車だと言いました。あまりたくさんのことを彼に質問したくないので、彼が渡してくれる情報をただコピーし続けていました。メールアドレス、電話番号、車の画像リンク、広告のパスワードを知らせてきました。この時点では、彼の動機が何なのか分かりませんでした。それはおそらく、存在していない車でお金を稼ぐことを目的とした偽の広告でしょうが、どうして彼は私に掲載させる必要があるのでしょうか。彼のIPアドレスはWebサイトでブロックされるのでしょうか。それとも、彼の形跡を隠す方法なのでしょうか。彼が私にパスワードを提供してくれたので、私が普段インターネット上で使用しているパスワードを盗もうとしていないことは確かでした。

indy-coord
広告主の詳細

広告を承認すると、確認のリンク付きのメールが、私が提供したアドレスに送信されます。私の友達は、私が確認できるように、彼のFacebookチャットにURLをコピー&ペーストします。私が本当に承認したことを確認するために、彼は、Webサイトからメッセージをコピー&ペーストするように要求してきました。

indy-confirmation

広告を承認したか確認を求めるこの男は、無駄な時間は使いたくないようでした。彼は、単刀直入に、入力項目、画像のダウンロード方法について、簡単かつ明確に指示してきました。彼は、「どうぞ」や「ありがとう」など一度も言わず、簡単な会話も一切しようとしません。どうして広告を掲載するように私に頼む必要があるのか尋ねると、最初、質問をかわしましたが、執拗に尋ねると、そのWebサイトが彼のパソコンでは表示されないからだと言いました。それから、いきなり「Facebook」を見ているかと聞いてきました。私のプロフィールに新しいタイムラインがあるので、かなりはっきりと見ましたが、なんと、彼にも新しいタイムラインがあるのです!

indy-newfb
新しいFacebookへのリンク

もちろん、これは、多くのFacebookプロフィールをハイジャックできるようにする、ユーザの認証情報を盗むフィッシングサイトです。このサイトは、本物のFacebookに見せかけようとさえしません。"Facebook L0ve"と呼ばれています。そうです、大文字の「O」の代わりに「0」が使われているのです。

newfb

FortiGuard Labsでは、この男がどこにいるのか興味を持っています。そして、われわれは、彼が訪問する画像付きのWebサーバを即座にセットアップする一方で、彼を「ホットな」MSNチャットに誘き寄せます。これで、彼のIPアドレスをゲットして、彼の居場所を特定することができます。彼が私にくれるMSN IDは別のメールアドレスであることは言うまでもありません。それは、おそらく彼がかわいい女の子に成り済まして、男性を偽のロマンスに誘き寄せるのに、使用しているアドレスでしょう!

この結果分かったことは、私たちの敵はベナン(アフリカ)に居るということです。そして、今回の詐欺は、ベナンから発生したこのタイプの詐欺の中で、最初に記録されたものではありません。もし「友達」が広告を代わりに掲載してほしいと連絡してきたり、リンクをクリックするように要求してきた場合:

  • その人が本当にあなたの友達であるか確かめてください。たとえば、(もしフロリダに住んでいるなら、)アラスカでは天気がいいかどうかを尋ねてみてください。
  • あなたの本当の友達にプロフィールがハイジャックされていることを伝えて、そのことをFacebookに知らせる必要があります。
  • その詐欺をあなたの地域のInternet Complaint Centerに報告してください。(米国:http://www.ic3.gov、フランス:https://www.internet-signalement.gouv.fr
  • 偽の広告をWebサイト(leboncoin.fr)に報告してください。

2011年のセキュリティブログTop10

2011年はネットワークセキュリティ業界にとって、とても忙しい1年でした。脅威動向は常に変化し続け、私たちはできる限り最新情報をセキュリティブログで紹介してきました。2011年度のセキュリティブログのTOP10をここに纏めました。

CarrierIQの弁明を分析する

数日前、CarrierIQは自社のソフトウェアおよびビジネスについて詳しく述べている19ページからなるレポートを発行しました。私は19ページ全てを読みましたが、私が以前投稿したブログの内容が依然として理にかなっているのか、を疑問に思われているのではないと考え、追加データを添えて前回のFAQを更新しました。以下はCarrierIQの同レポートに対する私のコメントです。

「IQ Agentは、デバイスが使用されていない時に、1日に1回診断データを更新します」(4ページ)

この説明は私にとっては、何ら弁明にはなっていません。たとえそれが有益なことのためであったとしても、同意なしに自分の電話が無断で使用されることを受け入れることができるでしょうか。自分で購入した車を、許可なしに人に運転されることを喜ぶ人がいるでしょうか。たとえ車を貸して良いと思う親しい人でも、燃料代を払ってくれたとしても全く変わりません。なぜならば、それは私の車であり、借りたいのであれば私に頼むべきだからです。そうではありませんか?私の電話についても同じことが言えます。私が電話を購入し、電話代を払っているのですから、それは間違いなく私の電話です。私の許可を求めずに使用されること(電話したり、SMSを送受信したり、インターネットを利用したりされること)を歓迎する人はいないはずです。これは、私が携帯を利用していないときでも、全く同じです。たとえ、通話料を払ってくれるのだとしても同じことが言えます。

「Carrier IQのソフトウェアにはデバイス上の他のアプリケーションと同じぐらいのデータにしかアクセス権限がありません」(5ページ)

Androidデバイス上では、データへのアクセスは特定の許可を求める必要があり、制限されています。もちろん、CarrierIQは他のアプリケーション同様にこうした許可を求める必要がありますが、CarrierIQはユーザの同意を求めずにこうした許可を獲得しています。(他のアプリケーションは同意を求めます。)実際、CarrierIQはユーザがデバイスを手にする時には既にデバイス上にインストールされています。そうした許可に同意するかをユーザに求める画面が出たことは一度もありません。さらに悪いことに、おそらくエンドユーザはCIQの存在に気づいてさえいません。

「・・・[太字で記載]ネットワーク オペレータによって実際収集されているものは、ネットワーク オペレータのビジネス要件およびデータ収集についてコンシューマとの間にネットワーク オペレータが形成している同意に基づいています」(7ページ)

ネットワーク オペレータがこの弁明「それは私(CarreirIQ)の責任ではありません。彼ら(ネットワーク オペレータ)の責任です。」へどのように反応するかは分かりませんが、エンドユーザは、この状況が再発しない限り、CarrierIQ、製造業者、ネットワーク オペレータのうちを責めるべきかは全く気にしていないと思います。もう一度考えてみると、実際は、Carrier IQの文章は誰かがエンドユーザの同意を求めるべきだったということを認めています

「IQ Agentはメトリックスを取得または出力するためにAndroidのログファイルを使用していません」(8ページ)

データを取得するためにログファイルを使用していると、これまで誰も示唆していなかったと思います。データを出力するためにログファイルを使用することに関しては、私は賛成できません。CarrierIQは実際、次のページで「デバイス上のセキュアな一時保管場所」を使用していることを認めています(9ページ)。ここで留意すべきことは、UnixベースのシステムであるAndroid上では、設計上すべてがファイルになっていることです。それゆえ、この「セキュアな一時保管場所」はファイルです(間違いなく、これは重要です)。そして、ここにはIQ Agentが収集したメトリックスが含まれています。これがロギングです。ログは直接的に人間が読めるものではないという事実は、ロギングの定義にとっては見当違いのことです。とにかく、この論点は「人間が読めるファイルを使用しているかどうか」ではなくて、「誰かが読んでおり最終的にデータを保存している」ということです。すでに私が言及しているように、Carrier IQはこの一時保管場所がどのように安全かどうかについては詳細に述べていません。安全であることを祈りましょう。

「組込み版のIQ Agentのメトリックスは、URLの収集を許しています。[中略] このIQ AgentはWebサイトのコンテンツを読んだりコピーしたりすることはできません」(9ページ)

そうですか。しかし、この主張に対して、皆さんはどう反応しますか。「あなたが読んでいるものをスパイしていません。私はただあなたが読んでいる本の題名と参考文献を読んだだけで、中身は読んでいません!」 これを信じますか?まさに、このケースでも同じことが言えます。CarrierIQは私が訪問したページの中身を取得するのではなく、URLを取得します。ここでの問題は、URLの流出はすでに重大であることです。どのページを訪問しているのかが分かります。いくつかのケースでは、URLには追加の因数も含まれています。この因数は、たとえば、ログイン名やセッションIDなどを記述することがあります。

- the Crypto Girl

2012年の脅威予測

2011年を振り返って、FortiGuard Labsは、今年をネットワーク セキュリティの世界において数多くのランドマークと言える大きな発展を遂げた年であったと見ています。たとえば、DNS ChangerやCorefloodなどの巨大なボットネットは摘発され永遠に閉鎖されました。また、64ビットのルートキット(TDSS)は高度になり、巧妙化しました。ZeusやSpyEyeボットネットについて言えば、ソースコードが暴露され流出しました。そのほか、ハクティビストのAnonymousが、主要な銀行をオフラインに停止させたり、クリティカルな基幹インフラも停止させると脅したりすることで、注目を集めました。

これらの出来事の多くは、FortiGuard Labsのチームが「2011年 セキュリティ予測のトップ5」の中で予測していたことです。一方で、悪意のあるコードを自分のコンピュータ システムに保存して、保持している個人を拘置したり、罰金を科することを可能にする法律が成立することなどは予想だにしていませんでした。

2012年は今年にまして心配事の多い年になると断言します。今月FortiCrystalballをじっくりとのぞき込みました。そして、FortiGuard Labsは来年起こる可能性のある8つのネットワーク セキュリティ トレンドを予測しました。

まとめると、FortiGuard Labsは、モバイルマルウェア(新しいワームやポリモーフィズムを含む)の急増、ネットワーク上のマネーロンダリング行為に対する取締りの強化、政府と民間セクター間の新たな形の官民連携とその成果、攻撃対象となるSCADA脆弱性の発見、スポンサーによって支援された攻撃の増加、ハクティビストAnonymousの「慈善的」な活動を予測しています。詳細な報告は以下で説明します。

1. モバイル デバイスを人質に取るランサムウェア

「ランサムウェア」は「ランサム(身代金)」の支払いが完了するまでデバイスを「人質」に取るマルウェアですが、この脅威は長年にわたってパソコン上で発 生してきました。感染したデバイスのルートアクセスを奪取するソーシャルエンジニアリング行為と一緒に、セキュリティ上の弱点を突くモバイル マルウェアも発見されてきました。ルート アクセスがより厳しくコントロールされアクセス権が制限されていることが、ランサムウェアのようなマルウェアにとって好ましく、FortiGuardは来 たる2012年にはモバイルデバイス上でランサムウェアの最初の発生を発見するだろうと予測しています。

2. Androidへのワーム攻撃

ワームはデバイスからデバイスへ素早く拡散するマルウェアですが、Android OS上にはこれまで存在していませんでした。しかし、FortiGuard Labsは2012年にこの状況は変わると予測しています。2004年に発見された最初のSymbianワームであるCabirと違って、Android マルウェアの開発者が、拡散方法に制限のあるBluetoothやコンピュータ同期を使う可能性はほとんどないと思います。その代わり、SMSメッセージ 内や、FacebookやTwitterなどのソーシャルネットワーク上にワームに感染したリンク先を通して、こうした脅威は入ってくると FortiGuardのチームは予測しています。

3. Polymorphism(ポリモーフィズム)はクラッカーを望むか?

2010年、FortiGuard LabsはAndroidマルウェアが暗号を使用し、攻撃コードを組み込み、エミュレーターを検知し、ボットネットをインストールしていることを発見しました。しかし、ポリモーフィズムの例はこれまで発見されてきませんでした。ポリモーフィズムは自動的に突然変異することができるマルウェアであり、特定し 駆除することを極度に難しくします。FortiGuard Labsのチームは以前、Windowsモバイルフォン上でポリモーフィズムに遭遇しており、このマルウェアがAndroidデバイス上に現れるのも時間 の問題だと考えています。

4. ネットワークベースのマネーロンダリングに対する取締り

匿名の送金サービス、人的ネットワークやペイメントプロセッサ(決済会社)の情報秘匿性を使用して、サイバー犯罪組織は長年にわたって、摘発されることなく自由に活動し続けてきました。しかしながら、FortiGuard Labsは2012年には多くのサイバー犯罪者が追跡され、逮捕されるだろうと信じています。ChronoPayのCEOであるPavel Vrublevskyが、AerfolotのWebサイトをハッキングし、訪問者がチケットを買うのを妨害していたまさにそのときに逮捕された最近の事件 は、FortiGuardのチームが来年に予測している取締りの良い例です。

5. セキュリティ分野での官民の連帯

2011年、FortiGuard LabsはRustockやDNS Changerを含むグローバルに展開するボットネットの解体が増えていきていることを確認しました。この解体と同時に、Anonymousや LulzSecという国際的なハッキング集団のメンバーが逮捕されました。このような取締りは2012年においても継続すると予測されており、 FortiGurardのチームは、その多くが米政府直轄研究機関である国防高等研究計画局(DARPA)の公的防御イニシアティブの支援を受けて実施さ れるだろうと見ています。DARPAは最近、18,800万米ドルの予算を確保しており、民間セクターでサイバー犯罪防御チームを立ち上げるイニシアティ ブにその予算の一部を投入することを計画しています。2012年においても、引き続き、同様な官民の連帯が世界中で形成されると思われます。

6. 攻撃の視野に入ったSCADAの脅威

10年以上にわたって、SCADA(Supervisory Control And Data Acquisition)ベースの脅威は悩みの種でした。なぜなら、多くの場合、電力や水道のグリッドなどのクリティカルなインフラに接続されているため です。注意しなければならないことは、これらのインフラは常に閉ざされたネットワーク上で運用されているとは限らないことです。多くの新しいヒューマン・ マシン・インタフェース(HMI)を持ったデバイスがこのようなインフラ システムと相互接続されており、ログインのためのWebインタフェースを利用しています。バックエンド システムに直接アクセスすることはできません。しかし、Anonymousのような集団は、ターゲットを選びコードを調べることで、Webベースの脆弱性 の組み合わせをすでに発見していました。2012年内には、FortiGuardは、潜在的な破壊結果を伴う、新しいSCADAの脆弱性が発見され、攻撃 されるだろうと予測しています。

7. スポンサーによって支援された攻撃

FortiGuardのチームでは、CaaS(サービスとしての犯罪)について頻繁に討議しています。多くのコンピュータを感染させたり、スパムを送信し たり、DDoS攻撃をしかけるなど、インターネットを通して不法で有害なサービスを犯罪組織がどのように提供しているのかを解明しています。2012年、 FortiGuard Labsは、国や企業レベルでの資金援助を含むCaaSが、企業や個人に対し、より戦略的かつ標的型の攻撃に悪用されるだろうと予測しています。

8. 大義を一刀両断する

Anonymousは4Chan.org上に2003年に組織化されましたが、昨年、ゆるやかに組織されたアナーキスト達が彼らの力を利用して、ソニーのような大規模かつ高い注目を集めているターゲットを攻撃し始め、年末にかけて彼らの力を「慈善」のために使ってきています。この良い例としては、彼らは最 近、メキシコの麻薬カルテルメンバーの正体を暴露すると脅迫したり、当局が子供のポルノ犯罪の一味を摘発するのを支援したりしています。ハッキング集団は このような正義ラインのボーダーにのるか、これを超える攻撃を混在させていますが、ハッキング集団の正義が2012年内には裁かれる事例が多く見られるだろうと、FortiGuardは予期しています。

Android/Foncyがフランスで蔓延および増殖中

モバイルマルウェアがフランスから発生し、しかもフランスで増殖するという2つのことが一緒に起こることは、そうはありません。しかし、今回のFoncyと呼ばれるAndroidマルウェアはこのケースのようです。マルウェアを作成することは国家的なプライドを傷つけることになるでしょう。

Foncyは最初Denis Maslennikovによって発見されました。これはダイヤラーであり、すなわち、SMSメッセージをユーザの同意なしにプレミアム番号に送信します。それ自体は他に感染しません。被害者は多分、あたらしいマーケットプレイスから、このマルウェアをダウンロードしインストールするときに感染します。おそらく、ただ試してみたかったアプリケーションが、たまたまマルウェアだったということです。

そのアプリケーションの名前(SuiConFo)は、モバイルプランを追跡するためのフランス語の略語ですが、このアプリケーションは即座に弊社のフランスにあるアンチウイルス研究所に電話をかけてきました。それ以降、Karine de Pontevesと私はこのマルウェアの情報を追跡することができるようになりました。

このマルウェアはTrack Your Planと呼ばれる正規アプリケーションの、過去のバージョンのように見えます。しかし、コードサイニング証明書は決して類似していません。

suiconfo-legitimate
アプリケーションを追跡する正規プランのコンテンツ

suiconfo-infected
アプリケーションを追跡する悪意のあるプランのコンテンツ


フランスでは、マルウェアは本文に「STAR」がついた、4件のSMSを短縮番号81001に送信します。各SMSは4.50ユーロかかります。この短縮番号はSMS+番号で、フランスの会社に貸し出されているもので、顧客やその他の仲介業者に再度貸し出されています。Webを探してみると、請求書に苦情を申し立てているフランスのユーザが何人もいることが分かり、彼らは明らかにマルウェアに感染していたようです

complaint-l1

実際のところ、フランスの短縮番号81001はいくつかの詐欺に巻き込まれているようです。たとえば、以下のエンドユーザは、iPhone 4に当選した知らせ、そしてその本文に「STAR」をつけて81001にSMSを送信するように要求するメールを受信したと報告しています。そのメールはオランジュ(Orange)のFabrice Andreから送信されているようです。実際のところ、オランジュのFabrice Andreは存在していますが、このメールを送信している形跡は全くありません。オランジュのオペレーターはこの詐欺を意識しています。

Voila_Capture17

私たちは、フランスで開催されたフォーラムでの討論にも同意しています。そこでは、あるメンバーが81001を使ってあぶく銭を稼ぐ新しい方法を自慢していました。彼はStarPassのアカウント(StarPassはSMSを介する、極小のペイメントシステムです)を開き、それから81001にSMSを送信するように彼のFacebookの知り合いに要求すると説明していました。

wayne-truc
WeeyWayneは81001でお金を稼ぐ方法を説明しています。

受信した各4.50ユーロのSMSに対して、StarPassは作者に2ユーロ払い戻します。

btuye
各SMS 「A」(クライアントは4.5ユーロかかる)に対して、(フランスでは)2.00ユーロ受け取ります。

さらに、Android/Foncyは81001から入ってくるレスポンスをリッスンし、フランスの携帯電話番号06xxxxxxxxにSMSで応答を転送します。この携帯電話番号はSFR(フランスの携帯電話事業者)に属しており、SFRは通知され続けています。

フランスの携帯電話加入者は、異常なSMSの請求書に特に警戒すべきです。なぜなら、短縮番号81001および電話番号06xxxxxxxxはこのブログを書いている時点においても依然として蔓延しており、Android/Foncyも依然として出回っているからです。エンドユーザはオペレーターに申し立てるかフランスサービス33700に未承諾の迷惑メールを報告すべきです。

これまでの、フランスでの犠牲者の数がどれほどなのか把握していません。今後も情報を提供し続けるつもりです。

- the Crypto Girl

前の記事・次の記事

 
 

日本版右カラム

セキュリティブログ

Fortinet Security Blogの一部ブログを翻訳したものです。

全ブログはこちら(英語)でご覧になれます。

ブログ