報道発表資料平成 20 年 10 月 31 日フォーティネットジャパン株式会社米国時間 10 月 28 日に発表されたアドバイザリーの抄訳です。 Facebook ワームが Google リーダーと Google Picasa を悪用 2008 年 7 月末から Facebook ユーザをターゲットにしたワームが、あちらこちらで見つかっています。その戦略は簡単ですが、効果的なものでした。それは、感染したユーザの友人宛に、オンラインビデオに誘導するページを訪問させようとする悪意のあるメッセージが送られてくるというものです。これは、今日のウェブ 2.0 の時代に完全に共通する方法です。しかし、ターゲットユーザがリンクをクリックしても、そのページが促す、特別なコーデックをユーザがインストールしない限りすぐにオンラインビデオがスタートしないことに気づくでしょう。当然のことながら、このコーデックはトロイの木馬以外の何者でもありません。そして、色々なマルウェアソフトを搭載していて、恐らくワームのコピーも含まれています。ごく最近、攻撃のソーシャルエンジニアリング戦略に面白いものが加えられました。下記図 1 のように、悪意のある危険なメッセージに含まれるリンクが Google を示しています。 http://www.fortiguardcenter.com/advisory/FGA-2008-26.html#1 図 1：Facebook フィルタを逃れるためにスペルを変えています。これをクリックすると、狙われたユーザは、本当に、Google リーダーに移動させられます。次の図 2 をみてください。 http://www.fortiguardcenter.com/advisory/FGA-2008-26.html#2 図 2：多くの人がクリックしたくなるビデオのようです。 Google リーダーは、読者が面白いと思ったニュースを参加するソーシャルネットワークや、読者自身の公開ページで共有することを許可したニュースリーダーです。Facebook ワームの背後にいるサイバー犯罪者たちは、悪意のあるサイトのリンクを張ることを唯一の目的として、Google リーダーアカウント（手動あるいは自動のフィッシング活動か、画像認証などの CAPTCHA 認証の自動的な読取によって）に登録しています。実際には、図 2 のニュースリーダーで見られる魅力的なビデオフレームをクリックすると、犠牲者は、古典的な偽のコーデック（W32/Zlob.NKX！tr.dldr）であるトロイの木馬が仕込まれたサイトにリダイレクトされます。 http://www.fortiguardcenter.com/advisory/FGA-2008-26.html#3 図 3：条項が欠如していることによりハッカーの仕事であることが分かります。 Google リーダーを経由したこの Hop 言語は、重要な目的を果たすのに役立ちます。つまりこれは、ターゲットユーザに、Google がこのビデオを提供しているかのような印象を与えます。だから安全なのです。これはあなたのお友達からのメッセージですという一言が自然にユーザの警戒心を下げ、あなたは、犠牲者となったあなたの友人が、この非常に恐ろしいクリックを実行するのを見ることになるでしょう。（2008 年 10 月 29 日追記）このサイバー犯罪は、ターゲットユーザを誘い出すために Google Picasa を使っています。この疑わしい Facebook メッセージの URL は次の通りです。 http://picasaweb.google.com/[removed]/Youtube#52610132498569990 ここで、先ほどと同じビデオスクリーンが表示され、ユーザはキャプションのリンクに従うよう誘導されます。 http://www.fortiguardcenter.com/advisory/FGA-2008-26.html#4 図 4：あなたがコーデックを見落としたのではなく、これがトロイの木馬であるため、この映像を開くことができません。確認後、ピクチャーキャプションに許可されたリンクが、まるで本物の Picasa 機能のように現れます。そして、セキュリティ脅威が引き起こされる可能性が一段と高くなります。もし、危険な Picasa ユーザが悪意のある URL を掲示しているとしたら、この機能には、潜在的リスクをとるだけの価値があるのでしょうか？フォーティネットのアンチウイルスおよび Web コンテンツフィルタリングサービスを導入済みのお客様は、この脅威から既に保護されています。フォーティネットの IPS サービスは FortiGuard サブスクリプションサービスの 1 つで、アンチウイルス、侵入防御、Web コンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuard サービスは FortiGuard グローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、 FortiMail、FortiClient の全製品に配信されます。謝辞： FortiGuard Global Security Research Team マネージャーギョームラベット(Guillaume Lovet) 免責条項：当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。