防ごうにも防げない？ Facebookで漏えいする個人情報：セキュリティブログクリップ（2）

　今回のセキュリティブログクリップでは、日本でもユーザー数が拡大しているFacebookの話題を中心に集めてみました。

　読者の皆さんの中にも、日々Facebookにアクセスし、ランチや飲み会の写真を公開したり、ゲームで遊んだりしている人が多いのではないでしょうか。時には知らずにスパムリンクをクリックし、意図しない情報をフィードに流してしまった人もいると思います。

　つい昨日、Facebook自身がセキュリティベンダと協力して、ウイルス対策ソフトのダウンロード提供を開始することを発表するなど、対策も始まりつつあります。さりながら、スパムメールのリンクをクリックすることは少なくなった私たちですが、Facebookなどのソーシャルメディアではまだ何がスパムなのか、うまく把握できないことがあるようです。

Facebookにたびたび登場する「足あと詐欺」

　日本では一時期、mixiの「足あと」機能の良しあしが議論されていましたが、Facebook上でも時々登場するのが「自分のページの訪問者を知らせる機能」を持ったアプリケーションです。

　今回は、第三者アプリケーションではなく、Facebookがこのような機能をリリースしたというメッセージが出回ったと、SophosのNakedSecurityブログが報告しています。

　メッセージにつられてこの「Facebook Profile Viewer」と呼ばれる機能を使おうとリンクをクリックすると、アプリケーションがFacebookのデータへのアクセス許可を求めてきます。この時点ですでに注意が必要なわけですが、そのままアクセスを許可すると、一見自分のページの訪問者らしき情報が表示されます（画面1）。しかし同時に、自分のタイムライン上で友人にもこのアプリケーションを使うよう勧めるリンクが表示されるという仕組みです。

画面1　「訪問者を知らせる」という機能をうたう「Facebook Profile Viewer」だが、単なるスパムアプリのようだ（NakedSecurityブログより）

　Sophosでは、Facebookで自分のページの訪問者を知る方法は一切ないため、そのような機能を主張するアプリケーションには注意するよう呼びかけています。

タイムラインが気に入らない人に「朗報」？

　少し前になりますが、2月にはFacebookの新しいインターフェイスとなる「タイムライン（Timeline）」に関するフィッシングサイトが現れたとシマンテックが報告しています（画面2）。

　シマンテックによると、同サイトにはタイムラインのプロモーションビデオが埋め込まれており、そこに「Remove Timeline Now（いますぐタイムラインを削除）」というメッセージが付いているとのこと。そこでユーザーがログイン情報を入力すると、タイムラインが削除されて以前のプロフィールページに戻るそうです。しかし、そこで入力したログイン情報はサイトオーナーの手に渡ってしまい、なりすまし犯罪に使われる危険性もあるとシマンテックは警告しています。

画面2　「タイムラインを削除する」というメッセージでログイン情報を手に入れようとするフィッシングサイト（シマンテックのブログより）

　Sophosが4000人以上を対象に行ったタイムラインに関する意識調査によると、タイムラインに対してネガティブな印象を持っているユーザーが多いという結果が出ました。タイムライン化によって、より多くの個人情報を公開することが可能となるため、セキュリティに対する懸念から「The Facebook Timeline worries me（タイムラインに対する不安がある）」と答えたユーザーが半数を上回る結果となったのかもしれません。この結果からも、タイムラインから逃れる方法をエサにユーザーを誘導するフィッシングサイトで多くのユーザーが釣られてしまう可能性は否定できません。

　ただ、タイムライン関連詐欺は、Facebookが3月中に全ユーザーに対してタイムラインを強制適用すると発表したことで、今後は息を潜めることが予想されます。とはいえ4月中旬になってもまだ、タイムラインは全ユーザーには施行されていません。個人的にタイムラインのインターフェイスが好きになれない筆者としても、この手の詐欺に引っかからないよう今後も気を付けようと思う次第です。

SNSにまん延する「プレゼント詐欺」

　一方、シマンテックでは、「ソーシャルネットワーク上の無料提供にご注意」というブログエントリで、Twitterで発覚した「プレゼント詐欺」の例を挙げています。

　中でも多いのは、Appleの新製品発表に便乗した詐欺です。製品発表の前後は、製品に関するツイートをしたユーザーに対し、新製品を無料で提供すると呼びかけてくる詐欺師が必ず登場するのです。詐欺師が指定したリンク先はたいていアフィリエイトページで、実際に無料で製品が提供されることなどまずありません。

　さすがにタダで新製品が手に入るなんておいしい話がないことは、多少のネットリテラシーがあればたいてい理解できますが、より簡単に引っかかってしまいそうなのは「ギフトカード詐欺」です。ギフトカードには少額なものも存在するため、「それくらいならもらえても不思議じゃない」と思ってしまいがちですよね。

　シマンテックがブログで報告しているTwitter上でのギフトカード詐欺は、特定ブランドをうたった偽の販促用アカウントが、そのブランドについてツイートしたユーザーに対し「ギフトカードを差し上げます」とリンク先を訪問するよう促すもの。偽アカウントはいかにも公式アカウントらしく装っていますし、URLも短縮されてしまえば訪問先の本URLが分からないので注意が必要です。

　シマンテックによると、誘導されて訪問したサイトには、懸賞に応募する条件として小さな文字でメンバー登録や特定の商品を購入する必要があることなどが書かれており、「無料のiPadや無料のスターバックスギフトカードは、結局のところ無料ではない」としています。同様のギフトカード詐欺は、Instagramでも発見されたことをシマンテックは報告しています（画面3）。

画面3　無料のギフトカードを提供、といった甘い言葉でユーザーを誘う詐欺がInstagramにも（シマンテックのブログより）

　そういえば、筆者のFacebookフィードにも、スターバックスのギフト券をプレゼントするとうたったリンクが流れてきたことがありました。その情報を流した友人はその後、「どうやら先ほどのギフトカード情報はスパムだったようです」と訂正する内容を書き込んでいましたが、いかにもありそうな少額をプレゼントするとうたったリンクが本物かどうかを見分けるのは、ある程度のネットリテラシーを持っていても難しいのかもしれません。

「アドウェアに注意」とFacebookも呼びかけ

　Facebookでは、怪しいアプリケーションやスパムサイトにアクセスしてしまい、フィードが広告だらけになってしまったユーザーに対し、「アドウェアがインストールされている可能性が高い」と警告しています。

　同ページのビデオでFacebookは、「Facebookに、足あと機能やTimelineのテーマを選べる機能などありません。そのような機能をうたうサイトで何らかのアプリケーションをダウンロードした場合、アドウェアがインストールされた可能性があります」として、アドウェアの削除方法を紹介しています。

　アドウェアを削除するには、ブラウザの拡張機能ページにアクセスし、プラグインのリストから怪しそうなものを削除するだけです。各ブラウザの拡張機能ページへのアクセス方法は、ビデオの45秒あたりから、Mozilla Firefox、Safari、Google Chrome、Internet Explorer 8の順に紹介されています。

　またFacebookでは、現在同社が確認しているアドウェアのリストを公開しているので、参考にしてみてください。

SNSにいるあなたの友達は本物ですか？

　Facebookにおけるセキュリティの懸念事項は、上記で紹介したアプリケーションやスパムだけではありません。Facebookユーザーは、日々の行動や考えを友人に公開する手段として、多くの個人情報を同サイトに書き込み、写真を掲載していますが、その情報を見ているのは本当に友人だけでしょうか。

　KasperskyのSecurelistブログでは、Facebook内に偽アカウントやアカウントのハイジャックが増えてきたと警告しています。友人のみに公開したつもりの情報が、実は偽の友人にも公開されている可能性があるということです。同ブログによると、偽アカウントを販売する会社まで出現しているとのことで、当然のことながら偽アカウントは友人の数が多ければ多いほど高く売れるのだそうです。

　Kasperskyでは、友人が「海外でどうしてもお金が必要になったので送金してほしい」といったようなメッセージを送ってくる可能性があることを指摘し、もしそのようなメッセージを受信した場合は本当にその友人が海外にいるかどうか確認するよう促しています。また、知らない人からの友達リクエストに気軽に応じないことや、（Facebookに限ったことではありませんが）パスワードを定期的に変更するよう呼びかけています。

　一方、トレンドマイクロでは、闇市場で取り引きされているFacebookのアカウント情報の価格をTrendLabs Security Blogにて公開しています。ここで販売されているアカウント情報は、主にスパムメッセージの送信を意図していることから、ある程度のボリューム単位で販売されており、Facebookのアカウント1000件の情報が15ドル（1ドル＝79円換算で1アカウントあたり1.2円）とのこと。また、Twitterのアカウント情報は、1アカウントあたりの金額がFacebookアカウントの2倍以上となっており、2200件で75ドル（同2.7円）とのことです。

　ちなみに、メールアドレスの中では、Android端末やSNS「Google+」との関連性が高いGmailのアカウント情報が、Yahoo!メールやHotmailと比べて圧倒的に高値で取り引されており、2500件で85ドル（同2.7円）となっています。

　このようにサイバー犯罪を目的にアカウント情報がやりとりされる一方で、3月に話題となったのは、米国のある企業が就職希望者に対し、FacebookのユーザーIDとパスワードを要求していたという話題です。不幸にもこうした企業に面接に行ってしまった場合の対策として、NakedSecurityブログでは、就職活動を始める前にFacebook内の情報を見直しておくことや、Facebookとの契約上、他人にアカウント情報を明かさないことになっていると企業に説明するといったアドバイスをしています。

　最後に、意外な経緯からFacebookの情報が他人の目にさらされることになったという話を紹介しましょう。NakedSecurityブログによると、ある殺人事件の容疑者について調べていた米地方紙のThe Boston Phoenixが警察の調査データを入手し、その中に容疑者のFacebookアカウント内のすべての情報が印刷された状態で含まれていたとのことです。

　もちろんその中には、事件とは無関係の容疑者の友人らの写真や関連情報も含まれていて、それらすべてが警察を通じてマスコミの手に渡ったとのこと。Facebookは、自社のポリシーに従って捜査に協力したに過ぎませんし、警察も容疑者逮捕に結び付いた情報をマスコミに公開したに過ぎません。

　NakedSecurityブログ上では友人の顔にモザイクがかかっていますが、The Boston Phoenixにこの写真が掲載された時は、友人の名前のみモザイクがかけられ、写真はそのままの状態だったとのことです。思わぬ形で自分の姿が公開されてしまった容疑者の友人たちは、この時何を感じたのでしょうか……。