このページの本文へ

週刊セキュリティレポート 第18回

Facebook用セキュリティ「ShareSafe」も提供へ

「いいね!」が危ない!大人気のFacebookを安全に使うために

2011年10月31日 06時00分更新

文● 八木沼 与志勝/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

2011年9月21日(日本時間)、エフセキュア日本法人はFacebookアプリ「ShareSafe」のベータ版の発表をアナウンスしました。本コラムが掲載されるASCII.jpでもニュースとしてピックアップされています(「エフセキュア、Facebook用セキュリティ「ShareSafe」をベータ公開」)。

 Facebookアプリ「ShareSafe」は、Facebookでシェアされるリンクの安全性を確認し、安全なFacebook上のコミュニケーションの一助としていただきたいという思いで開発しています。まだベータ版ですが、誰でも自由にお使いいただけます。

 Facebookは実名登録を基本にしていることもあって、当初は日本での人気は限定的でした。しかし、映画の公開などの話題性、続々新機種が発表されているスマートフォンでFacebook連携を謳うなどにより知名度が上がり、現在は一般ユーザーの間でも十分な市民権を得ています。また、そういった消費者動向に併せて、多くの企業がマーケティングなどのためにFacebookページを開設しており、右肩上がりの成長を見せています。

 一方で、一時期のスマートフォンのように、セキュリティの認識があまり高くないままユーザー数が増加し続けているという一面もあります。そこで今回は、Facebookの機能を利用した代表的な2つの機能「いいね!」と「シェア」を利用したオンライン犯罪のメソッドについてお話したいと思います。

「いいね!」に注意

 Facebookでお馴染みの「いいね!」ボタン(英語では「Like!」)は、このボタンやリンクを1回クリックするだけで、気軽にコンテンツに好意的な意思表示できます。また、Facebook上で友達が「いいね!」したものは、自分のタイムラインに表示されるので、Facebook上で気軽にリンクをリコメンドしあうことができます。

Facebookの「いいね!」ボタン

 攻撃者は、この「いいね!」に目をつけました。WindowsやMac用のウイルスを広めるサイトをたくさんのユーザーに拡散させる手口が確認されたのは、今年6月のことです。

 この攻撃者は、IMFの専務理事であったドミニク・ストロスカーンのスキャンダル事件に関する記事を「いいね!」ボタンで拡散させました。ただし、ある特定のユーザーだけがWindowsやMacのウイルスに感染するサイトに誘導されるように、リンク先のリダイレクトを工夫していました。Facebook上での「いいね!」は、Facebook上での知人の好意評価を使うことでユーザーの安易なクリックを誘発するメソッドです。この方法で、アメリカとイギリスで多くの人が感染しました。

「いいね!」ボタンでリンクを拡散

ウォール上のボタンを偽装する手口~「クリックジャック攻撃」

 Facebookでは「ウォール」という自分自身の掲示板のような場所に「近況」や「写真」、「動画」、「リンク」を投稿し、友達と情報を共有します。そのため、Facebookではウォールに投稿することを「シェア」すると呼びます。この「シェア」の機能はFacebookシェアから簡単にWebコンテンツに埋め込むことが可能で、Facebookユーザー間で情報を広めてもらうために自ページ内にリンクを埋め込んでいる場合も多く見られます。ページ内に埋め込まれた「シェア」のボタンをクリックすると、ウォールに自動的に投稿されます。

シェアはさまざまなページに埋めこまれている

 攻撃者は、このシェアの機能を利用してユーザーが意図しないウォールでの情報の共有を強制します。具体的には、たとえば動画を装い、偽装された再生ボタンにウォールでのシェア機能を埋め込んでしまいます。このような見せかけのボタンの下に本来の機能(=攻撃者がしかける攻撃)を隠しておく方法を「クリックジャック」攻撃と呼びます。

 たとえば、2011年6月末に報告されている事例では、動画を見る再生ボタンを押すと、その動画を再生すると同時に自分のFacebookウォールに同動画サイトのリンクがシェアされてしまいます。さらに、友達がそのウォールのリンクをクリックすると、勝手に自分のウォールにもリンクがシェアされてしまい、それが延々とFacebook上の友達のつながりから広がっていきました。

 この例では、動画リンクの拡散だけではなく、リンク作成者に利益を与えるCPA(Cost Per Action:クリック数に応じてお金を広告主からもらえる宣伝方法)サイトに誘導されていました。Facebookユーザーは、影でお金を不当に稼ぐ人の手助けをしてしまっていたのです。

 また、別の例では、Facebookに登録された個人情報を盗む例も報告されています。

再生ボタンを押すと、自分と友達のFacebookウォールにリンクが書き込まれてしまう

Facebookをよりよく使うために

 Facebookは友達と情報や経験を共有できたり、懐かしい友人と改めてつながりが持てる場としてますますユーザーが増えていくでしょう。Facebookでの友達という意識と、ウォールでの「シェア」(共有)という機能は、ユーザーにはとても魅力的です。ですが、ユーザーに魅力的な機能は攻撃者や犯罪者にとっても魅力的なのです。ここで紹介した手口などで騙されないよう、注意すべき点を挙げておきます。

  1. セキュリティソフトによるURLレピュテーション機能を使って、不用意にリンクをクリックした場合でもウイルス配布サイトなどの不正なサイトに到達しないように防御する
  2. 出所不明のリンクを不用意にクリックしない
  3. 面識ある人のみを「友達」に追加する
  4. Facebookの「プライバシー」設定をよく読み、不用意に自分の情報にアクセスさせない
  5. Facebookの「リスト」や「グループ」などの機能で、誰に情報が届くのか、もしくは誰からの情報が表示されるのかなどを把握しておく

 また、冒頭に書いたエフセキュアのFacebookアプリ「ShareSafe」もFacebook内でのリンクの安全性確保の一助になりますので、ぜひ試していただければと思います。

 Facebookは日々増えるユーザーの期待にこたえるべく、さまざまな機能を次々に実装しています。ユーザーの皆さんは、各機能を理解し、安全で楽しいFacebookの利用を心がけてください。また、セキュリティソフトの利用は、いかなる場合も忘れずに。

筆者紹介:八木沼 与志勝(やぎぬま よしかつ)

エフセキュア株式会社 テクノロジー&サービス 部長
1972年生。UNIXプログラミングからIT業界に携わりはじめ、そのあとITインフラを中心としたITコンサルティングからセキュリティ業界へ。エフセキュア入社は2006年で、法人/コンシューマの製品およびプリセールスなどのサービス全般を担当する。


カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード