Amazonクラウド経由で被害者を誘導するFacebook詐欺が登場
エフセキュアが報告、「URLフィルタをすり抜ける目的」と指摘Facebookスパマーが有害URLフィルタを回避する目的で、被害者を米国Amazon.comのクラウド経由でリダイレクトする手口を使い始めていることが、セキュリティ対策ソフトウェアを手がけるフィンランドのF-Secureの報告でわかった。
F-Secureが1月26日に発表した報告によると、同社が最近分析したFacebookを悪用した調査詐欺では、不正なブラウザ拡張プラグインを使ってFacebookアカウントを乗っ取り、それらのアカウントのFacebookウォールにスパム・メッセージを掲載していたという。
スパム・メッセージには、面白いビデオへのリンクを装ったbit.ly URLが含まれている。だが、実はこのURLは、Amazonの「S3」(Simple Storage Service)サービスでホストされたリダイレクト・スクリプトへのリンクだ。このリダイレクト・スクリプトは、被害者を偽のFacebookページに誘導するようになっている。
偽ページはビデオ・プレーヤーの画像を表示し、これをクリックすると、調査への参加を求めるウィンドウをが表示される。スパマーはアフィリエイト・マーケティング・プログラムを通じて、ユーザーが調査に参加するたびに収入を稼ぐことができる(関連記事)。
スパマーはこの詐欺を広めるために、「Google Chrome」および「Firefox」の不正な拡張プラグインを使っている。ユーザーがこれらのブラウザでビデオへのリンクをクリックし、偽Facebookページにアクセスすると、これらのプラグインがYouTubeプレーヤーの最新版として表示される。そして、ビデオを見るには最新版に更新する必要があるとして、ダウンロードしてインストールするよう求められる。
F-Secureの主席研究員、ミッコ・ヒッポネン(Mikko Hypponen)氏によると、スパマーがAmazonクラウドへのリンク経由でユーザーをリダイレクトしようとするのは、そのドメイン名および対応するIPアドレスの信頼性が高いとされているからだ。こうしたリダイレクト方法を使えば、Bit.lyサービスやFacebookで使われているような有害URLフィルタをすり抜けることができる可能性が高まるという。
Amazon S3へのリンクをFacebook詐欺に使うのは、比較的新しい手口だが、マルウェアをこの人気クラウド・サービスでホストするのは、目新しいことではない。Amazon S3はあまり高価ではなく、サイバー犯罪者の多くには、S3を利用する資金がありそうだ。
しかし、一部のサイバー犯罪者は、Amazonの顧客からログイン資格情報を盗み、こうした顧客のアカウントを悪用していると、ヒッポネン氏は指摘する。「正規のアカウントを作り、料金を払ってS3を使っているサイバー犯罪者もいる。だが、他人のアカウントを使って悪事を働いている者や、盗まれたクレジットカードの情報でアカウントを作り、悪用している者もいる」
(Lucian Constantin/IDG News Serviceルーマニア支局)
