Facebookにおける悪意ある活動といえば、たいてい何らかの地政学的な不正行為と結びついています。しかし木曜日、同社は中国発のキャンペーンの詳細を発表しました。これは偽情報の拡散やアカウントデータの窃盗を目的としたものではありません。ハッカーたちはユーザーの認証情報を盗み、アカウントにアクセスして、別の目的、つまりダイエット薬、性機能向上商品、偽ブランドのハンドバッグ、靴、サングラスなどを売りさばくことに成功しました。
侵入したFacebookユーザーのアカウントに侵入した攻撃者は、関連する決済方法を利用して悪質な広告を購入し、最終的に被害者から400万ドルを搾取しました。Facebookは2018年末にこの攻撃を初めて検知し、徹底的な調査を行った後、マルウェアを開発・実行したとされるILikeAd Media International Company Ltd.社と中国人2名を相手取り民事訴訟を起こしました。本日、デジタルセキュリティカンファレンスVirus Bulletinで、Facebookの研究者らは「SilentFade」と呼ばれるこのマルウェアの仕組みと、被害者が異常に気付かないようユーザーの通知を積極的にブロックするなど、その斬新な手法の詳細を発表しました。
「2018年12月、Facebookの複数のエンドポイントで不審なトラフィックが急増し、広告詐欺を目的としたマルウェアによるアカウント乗っ取り攻撃の可能性が示唆された際に、初めてSilentFadeを発見しました」と、Facebookのマルウェア研究者であるサンチット・カルベ氏は、Virus Bulletinでのプレゼンテーションに先立つ記者との電話会議で述べた。「SilentFadeは、様々なブラウザの認証情報ストアからFacebookの認証情報とCookieを盗み出します。そして、連携された支払い方法にアクセスできるアカウントは、Facebook上で広告を掲載するために利用されます。」
攻撃者はFacebookから実際のクレジットカード番号や決済口座の詳細にアクセスすることはできませんでしたが、アカウントに侵入すれば、Facebookに登録されている決済方法(もしあれば)を使って広告を購入することができました。Facebookは後に、不正に請求された400万ドルの広告料金を、不特定多数のユーザーに返金しました。
SilentFadeは、有名ブランドのソフトウェアの海賊版にバンドルされて配布されることが多かった。被害者が希望するプログラムをダウンロードすると、そのデバイスもSilentFadeに感染する。そこから、マルウェアはChrome、Firefox、その他の人気ブラウザで特別なFacebook Cookieを探す。これらのCookieは、ユーザーがユーザー名、パスワード、そして必要な2要素認証情報を入力してログインした後に生成される「セッショントークン」を含んでいるため、攻撃者にとって貴重な情報源だった。セッショントークンを入手できれば、他に何も必要とせずに他人のFacebookアカウントに簡単に侵入できる。適切なCookieが見つからなかった場合、マルウェアはユーザーのFacebookログイン情報を直接収集するが、それでも復号化が必要となる。
攻撃者は、被害者がセッショントークンを生成した際にいた地域と同じ地域にシステムが存在するように見せかけることさえありました。こうすることで、Facebookは、そのアクティビティが別の地域からの不審なアクティビティではなく、通常のログインによるものと認識するのです。
SilentFadeには他にも巧妙な手口がありました。被害者のアカウントのFacebook通知を事前にオフにすることで、新規ログインに関する警告や、アカウントから実行されている広告キャンペーンに関するアラートやメッセージが表示されないようにしていました。さらに、Facebookの認証メカニズムの脆弱性を悪用し、「ログインアラート」や「Facebookビジネスページ」の通知を再びオンにできないようにしていました。Facebookは、このバグを迅速に修正し、この新手の常習的攻撃手法を阻止したと述べています。
攻撃者は、これらすべてのトリックのほかに、広告ネットワーク側で難読化の手法も使用して、実際に掲載した広告に挿入したものとは異なる資料やソース Web サイトを審査用に提出し、広告の実際の内容を隠していました。
「彼らは痕跡を隠すために、様々なクローキング機構とトラフィックリダイレクトを用いていました」と、Facebookのプロダクトマネジメントディレクター、ロブ・レザーン氏は述べています。「これらのクローキング手法は、広告審査中および審査後にランディングページを動的に変更することで、本来のランディングページを偽装するものです。そのため、ユーザーには審査プロセスとは異なるサイトが表示されます。広告コンテンツには、注目を集めるための戦術として、有名人が登場することが多かったのです。社内ではこれを『セレブベイト』と呼んでおり、オンライン広告業界を10年以上悩ませてきた問題です。」
Facebookには、こうしたおとり広告を摘発するチームがあるが、レザーン氏によると、自動化は難しいという。SilentFadeの攻撃者は、悪質なアカウントから広告を掲載するという特別な利点を持っていた。これらのアカウントは、悪い評判や過去の不審な活動と関連付けられていない可能性が高い。そのため、悪質な広告が検知されずに掲載されやすかったのだ。
これほど巧妙な手口と膨大なアカウントアクセス能力を持つハッカーたちが、偽造サングラスを売ろうとしていたとは、ある意味考えにくい。Facebookは今のところ活動を追跡できておらず、研究者たちは悪意のある広告をクリックしたユーザーに何が起きたのかは完全には解明されていないと指摘している。しかし、彼らが入手した情報は、ハッカーたちが偽造品を販売することで金儲けしようとしていたという説を裏付けている。あるいは、SilentFadeの背後にいるハッカーたちが、他の業者から販売支援の見返りとして手数料を受け取っていた可能性もある。
Facebookは、SilentFadeがアカウント通知の抑制に利用していた脆弱性を修正して以来、同マルウェアの使用が著しく減少したと述べている。しかし、同社は、この亜種がTwitterや最近ではAmazonなど、他の大手テクノロジープラットフォームを標的に使用されているとも述べている。TwitterとAmazonはコメント要請に直ちに回答しなかった。
Facebookが初めてSilentFadeを検出する数ヶ月前の2018年半ば、セキュリティ企業Radwareの研究者らが、Facebookの認証情報収集を目的とした別の攻撃キャンペーンに関する調査結果を公表した。Facebookは現在、このキャンペーンも中国を拠点とする同じ攻撃者によって作成されたとしている。フィッシングメールを通じて拡散されたStresspaintと呼ばれるこのマルウェアは、Relieve Stress Paintという描画アプリケーションにバンドルされており、SilentFadeが使用するのと同様の手法でFacebookユーザーの認証情報とブラウザのCookieを盗み取るものだった。Radwareは、攻撃者が5日足らずで4万件以上の標的を感染させたことを突き止めた。Facebookによると、Radwareが調査結果を公表した後、攻撃者は数ヶ月活動を休止したが、その後、通知ブロック機能などを含むより洗練された進化版であるSilentFadeで活動を再開したという。
「約2年半前にStresspaintマルウェアを発見した時、このグループの全体像は把握できませんでした。彼らがこれらの活動の全てを実行していたのを観察できなかったからです」と、ラドウェアのプロダクトマネージャー、アディ・ラフ氏は語る。「しかし、Facebookは彼らが自社のプラットフォーム上で何をしていたかを把握しています。このグループ自体は非常に高度な技術を備えているようです。彼らは4年近く活動を続け、様々な機能を備えた様々な亜種のマルウェアを開発してきました。彼らはこの4年間で多くのことを成し遂げました。」
広告詐欺はあらゆるプラットフォームで問題となっていますが、Facebookでこれほど巧妙な侵入行為が行われるのは稀です。攻撃者が獲得・維持できたアクセスレベルを考えると、標的がそれほど低く設定されていたのはむしろ幸運と言えるでしょう。
このストーリーは、Radware からのコメントを追加して更新されました。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学、その他の最新情報を知りたいですか?ニュースレターにご登録ください!
- ポーカー界を揺るがした不正スキャンダル
- ラブバグウイルスの背後にいる男の20年間の追跡
- アマチュア無線オタクになるには今が最高の時期だ
- この秋に観るべき15のテレビ番組
- 木は近くの腐敗した死体を見つけるのに役立つでしょうか?
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
