寄稿: Avdhoot Patil
インターネットは、至るところにセキュリティ上の脅威が潜む危険な場所でもありますが、脅威が複合するとその危険性はさらに高くなります。最近のフィッシングはサイバー犯罪において重要な役割を担っており、フィッシング詐欺師も最近、他のセキュリティ上の脅威に対して関心を強めています。今年は、たとえばマルウェアやスパムといった脅威とフィッシングとの融合が確認されています。先日、偽アプリでマルウェアが使われていたのも、その一例です。
今月に入ってからも再び、Facebook に偽装したフィッシングサイトでマルウェアが使われました。このフィッシングサイトは、Android と iPhone のユーザーを誘導して偽アプリをインストールさせようとします。サイトのホストサーバーはフランスのパリに置かれ、ページはフランス語で書かれていました。
フィッシングサイトにはエサが付きものですが、毎度お決まりのエサでユーザーが見慣れてしまわないように、フィッシング詐欺師は次々と新たな手口を考え出してきます。今回のエサは、パスワードを入力せずに iPhone や Android から Facebook にログインできると謳う偽アプリの広告です。
図 1.偽の Facebook アプリを宣伝するフィッシングサイト
広告の売り文句によれば、このアプリは 24 時間だけ無料で試用できます。広告の下にあるボタンは、翻訳すると「続行」という意味で、このボタンをクリックすると手順の書かれたページに移動します。
図 2.偽アプリを利用するための手順説明
手順は以下のとおりです。
- ユーザーは、フォームに個人情報を入力する必要があります。
- iPhone アプリまたは Android アプリを選択し、アプリをダウンロードします。
- アプリを試用できるのは、初回のインストール時だけです。
- 試用期間の 24 時間が過ぎると、アプリは自動的にロックされます。
- 試用期間が過ぎると、支払いオプションを記載した電子メールが届きます。ユーザーは、アプリを使い続けることも、アンインストールすることもできます。
図 3.個人情報の入力フォーム
この手順を読んで続行ボタンをクリックするとフィッシングページにリダイレクトされ、名前、電子メールアドレス、パスワードの入力を求められます。フィッシングサイトの説明によれば、このアプリをインストールすることで、ユーザーはこのアプリの使用を法的に同意したことになります。
このフィッシングサイトでは、個人情報を求める理由が以下のように説明されています。
- 24 時間の試用期間が経過してから、アクティブ化コードを受け取るために電子メールアドレスが必要です。
- iPhone または Android アプリにアクセスする際にはパスワードが必要です。
図 4.モバイルアプリのインストーラに偽装した悪質なダウンロード
フィッシングサイトで次のページに進むと、アプリのダウンロードリンクとして Android と iPhone のロゴが表示されます。これらのリンクをクリックすると、iphone.zip.exe または android.phone.exe というファイルのダウンロードを確認するメッセージが表示されます。実際には、これは Android アプリでも iPhone アプリでもなく、Windows 用のマルウェアです(シマンテックはこれを Backdoor.Breutとして検出します)。Android や iPhone のロゴを使っているのは、インストールを誘うためにすぎません。
今回のマルウェアを解析した結果、以下のような事実を確認しました。
- このマルウェアは Darkcomet RAT と同一である。
- ネットワーク接続の機能はない。
- コマンド & コントロール(C&C)サーバーは 127.0.0.1:1604(ローカルループバックアドレス)と設定されている。
- このマルウェアは外部サーバーには接続しない。
この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
- アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
- 電子メールメッセージの中の疑わしいリンクはクリックしない。
- 電子メールに返信するときに個人情報を記述しない。
- ポップアップページやポップアップウィンドウに個人情報を入力しない。
- 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
- ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
- 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。