最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。

「ブラウザーの拡張機能を悪用したスパム送信が広まりつつあります」(ITジャーナリストの三上洋氏)
SNSで増えるスパム広告、次に広まる手口は?
大手SNSで流行するスパム(迷惑メッセージ)。宣伝や個人情報の閲覧を目的とした不正なアプリ、アカウントの乗っ取りによるスパムの再生産などが問題となっているが、最近は新たな手口も見つかっているようだ。今回はスパム問題と取るべき対策について、ITジャーナリストの三上洋氏に訊く。
以前のスパムの拡散は、ほとんどが不正なアプリを利用したものだったと三上氏は語る。SNS上で動作するアプリを、ユーザーにそれと分からないようダウンロードさせるのが主な手口だ。
スパム業者は人目につきやすい「感動したらシェア」「○○診断」のような書き込みをSNSに投稿し、アクセスしたユーザーのfacebookから勝手に投稿したり、友人にメッセージを送る権限をもつアプリをfacebookに登録させてしまう。不正に権限を得たあとは、スパム広告を勝手に投稿=再生産するのだという。
三上 「業者はスパム広告をより広くバラまくために、とにかくボタンを押させたい。シェア数などを増やすために無関係な書き込みを装いつつ、不正なアプリを入れてしまったアカウントにスパムを再生産させるのです。ただ、これはSNSの運営側も問題にしていて、明らかなスパム広告の削除や、ボタンを押すと別ページに遷移させるファンゲート機能を廃止するなど、対策を取り始めています。
そうなると、当然スパム業者側も対策をかいくぐるような別の手口を考えます。1つは、ウェブブラウザー Chromeの拡張機能を利用したものです」
Chromeの拡張機能を使ったスパム再生産が流行
問題の拡張機能は「Videos AdPlusing」と呼ばれるもの。SNS上で「Watch the video by clicking on the picture which belongs to you(クリックして、あなたが映っている動画を見てください)」というメッセージが送信され、クリックすると大手動画共有サービスそっくりのページに遷移し、動画再生用のプラグインのダウンロードを求められる。
じつはこれが不正な拡張機能で、うっかり入れてしまうと、アカウントから友達に同じメッセージを拡散してしまうのだという。
三上 「拡散されたメッセージに、受信者=自分のアイコンが表示されるので、『自分の顔が映っている動画なのか?』と誤解して開いてしまうのでしょう。仕組みは今までと同じスパムの再生産ですが、問題はこの拡張機能がブラウザー上で動作していること。ブラウザーに保存されているアカウント情報を悪用しているため、SNS側は対策のしようがありません。Chromeを利用している各ユーザーが気を付けるしかない」
Chromeのみを狙い撃ちにした手口について、三上氏はこうも指摘している。
三上 「1つ言えるのは、『Chromeを利用する人が増えたのだな』ということ。個別のブラウザーを狙う不正行為は、以前なら利用人口が圧倒的なInternet Explorerに非常に多かった。今ではユーザーが増えたChromeも、ターゲットとしておいしいのでしょう。こういった手口は今後ますます増える恐れがあります」
アカウントを乗っ取り、不正なタグ付けも。対策は?
こうした新しい手口はもちろんのこと、従来型のスパム広告や不正アプリも、運営が対策しているとはいえ、まだまだ存在しているという。
三上 「スパムの例でいうと、最近では偽の通販サイト広告がSNS上に増えていて、画像のURLに、利用者が多く“タグ付け”されています。ボタンを押させるほかに、ユーザーのタグを付けるという方法でも人目を惹いているのです。多くのタグ付けは、リスト型攻撃で乗っ取ったアカウントの友人リストをもとになされる場合に加え、不正アプリがダウンロードされる場合など、いくつかの事例が報告されています。
対策としては、まずSNS上で現在連携しているアプリを確認しましょう。設定から拡張機能のページにアクセスし、使っていないものはなるべく消す。スパムも同様で、設定からアプリを確認できます。ほとんど使っていないものは消していくようにしましょう。
アカウントの乗っ取りに対しては、基本的なことですが、二段階認証(ログイン認証)を設定する。電話番号の登録が必要になりますので、不安な方もいらっしゃるでしょう。ただし、SNS運営会社に電話番号を教えるリスクと、アカウントが乗っ取られるリスクを天秤にかければ、後者のほうがより危険だと言えます」

この連載の記事
-
第22回
デジタル
パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る? -
第21回
デジタル
ランサムウェアがビジネス化して、信用を重視しはじめてきた -
第20回
デジタル
使っちゃダメ! FPS向けチートツールが国内初の摘発事例に発展 -
第19回
デジタル
これぞ攻性防御!? 警視庁が国内初のボットネット無力化作戦決行! -
第18回
デジタル
史上最悪の振り込め詐欺被害額! 対策は両親宅に電話番号を貼り出せ!? -
第17回
デジタル
「年収1000万のイケメン」に注意!? 女性を狙う婚活サイト詐欺 -
第16回
デジタル
なぜ!? パスワードを変えても、SNS乗っ取りが止まらない -
第15回
デジタル
翻訳サービスの仕様で公官庁のメール文が見放題に!? -
第14回
デジタル
SNS乗っ取りスパム、犯人は海外の詐欺業者だった!? -
第13回
デジタル
NASの設定ミスで、学校関係者の個人情報が丸見えに!? -
第12回
デジタル
2015年、気をつけたいセキュリティの脅威とは? - この連載の一覧へ