スポーツファンが 1 年で最も熱くなる季節といえば、プレーオフ(ポストシーズン)です。プレーオフでは、弱小チームがリーグの上位チームに対して勝ちを収めたり、昨年の優勝チームが連覇を狙ったりします。スポーツによっては、1 回戦だけの場合も 7 回戦シリーズの場合もありますが、いずれにしてもプレーオフには多くの観客が集まります。こうしたイベントをオンラインで視聴できると称してファンを誘うサイトがあっても、何の不思議もありません。
今はちょうど、NBA ファイナルの真っ最中であり、リーグの優秀なプレイヤーたちが互いに優勝を争っているところです。日曜日の第 5 戦前の時点では、2 対 2 の同点でした。この日、Facebook ユーザーのなかには、試合の無料ライブストリーミング放送が見られるという広告を見た人がいるかもしれません。
図 1. NBA ファイナルの無料ライブストリーミング放送を謳った Facebook 上の投稿
あるいは同じ Facebook で、Tumblr ページにリンクされている、NBA ファイナルのライブストリーミング放送に関する投稿を見かけた人もいるかもしれません。
図 2. NBA ファイナルの無料ライブストリーミング放送を謳う Tumblr ページ
Tumblr ページで[YES I AGREE(同意する)]を選択すると、リダイレクトされて Facebook に戻り、NBAFinals という Facebook アプリケーションをインストールするよう求められます。
図 3. NBAFinals という詐欺 Facebook アプリケーションが許可を要求
この Facebook アプリケーションは、プロフィール、友達リスト、電子メールアドレスへのアクセスを要求してきます。それらのアクセスを許可すると、さらに別の許可が要求されます。
図 4.詐欺 Facebook アプリケーション NBAFinals がさらに別の許可を要求
この詐欺アプリケーションは、友達に自動投稿する許可や、Facebook ページを管理する許可など、無料ライブストリーミング放送を見るだけのアプリケーションとしてはふさわしくない許可を求めてきます。
しかも、このアプリケーションをインストールすると別の Tumblr サイトにリダイレクトされ、続行するには Facebook 上でこの詐欺アプリケーションをシェアするよう要求されます。
図 5. NBA ファイナルを騙る詐欺サイトが Facebook でシェアするよう要求
図 6. Facebook 上でシェアされた NBA ファイナル詐欺
ここまで進んでも結局ライブストリーミング放送が流れることはなく、代わりにまったく機能しないビデオプレイヤーが表示されます。ビデオプレイヤーをクリックすると、プラグインをインストールするページにリダイレクトされますが、詐欺師はこの方法でアフィリエイトリンクから収入を得ているようです。
図 7. NBA ファイナル詐欺ページでライブストリーミング放送は流れない
最終的なページには、試合のライブストリーミング放送が見られると謳うサイトへのリンクがありますが、これらのページは公式なものではなく、そういったストリーミングサイトは禁止されています。
詐欺師にとっては、騙されたユーザーが Facebook アプリケーションをインストールするだけで詐欺が進行し続けます。このアプリケーションが、ユーザーのタイムラインにメッセージを自動投稿するからです。
図 8.詐欺アプリケーション NBAFinals が Facebook のタイムラインに投稿
Tumblr 社は、シマンテックと協力してこの詐欺に関連するサイトを削除しました。また、シマンテックは、このアプリケーションをすでに Facebook に報告しています。
Facebook にインストールするアプリケーションには注意が必要です。特に、スポーツイベントのライブストリーミング放送を謳う Web サイトにアクセスするときや、特別な機能を探しているときにはご注意ください。何か怪しいと感じたら、たいていの場合、それは不正アプリケーションである可能性があります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。