文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    UGG偽ブランド、Facebookスパム対策

     ブーツの人気ブランドUGG(アグ)のスパムが、Facebookで多く出回っている。友人に大量タグ付けし、偽ブランド品を販売する詐欺だ。流出したパスワードをあてはめるパスワードリスト攻撃の可能性が高い。(ITジャーナリスト・三上洋)

    人気商品UGGのFacebookタグ付けスパム

    • 10月からFacebookで大量に出回っているUGG(アグ)偽通販サイトのスパム。友人にタグ付けすることで閲覧数を増やしている。「70割引」など日本語がおかしい点がある
      10月からFacebookで大量に出回っているUGG(アグ)偽通販サイトのスパム。友人にタグ付けすることで閲覧数を増やしている。「70割引」など日本語がおかしい点がある

     Facebookのタグ付けスパム(迷惑メッセージ・書き込みのこと)が出回っている。サングラスのブランド・レイバンの偽通販サイトのスパムは、7月の記事「Facebookでもアカウント乗っ取り事件」で詳しく取り上げた。

     10月以降は、ブーツの人気ブランド・UGG(アグ)の偽通販サイトのタグ付け広告が多く出回っている。特に11月17日夜には大量の投稿が行われた模様で、筆者の友人だけでも1時間で5人がタグ付けされたほか、検索するとタグ付けされた被害者が多く見受けられる。先週の記事から連続になるが、スパムがあまりに多いので続報としてリポートする。

     左上の画像が問題のスパムで、Facebookを乗っ取られたと思われる被害者(後述)が、友人数十人にタグを付け、UGGの通販サイトのURLとサイトの画像を個人として投稿している。タグを付けられた人にはFacebookの通知が表示されるので、いやでも見ることになる上に、タグを付けられた人の友人にも表示される。とても迷惑なスパムだ。このスパムの特徴をまとめておこう。

    偽のUGG通販サイトの宣伝スパムの特徴

    1:スパムに書かれたURLは、公式サイトに似たものだが偽物

     「uggbootscdjap.pw」などUGGの文字が入ったURLが貼られている。しかしながら公式サイトではなく、偽の通販サイトが勝手に取得したドメインだ。このURLは転送URLとなっており、下のURLのサイトにジャンプさせる。理由は偽サイトのURLが、Facebookによってスパム指定されているためだ。

    2:スパム指定されたURLを避けるために転送URLを利用

     リンクをクリックすると、犯人が用意したUGGの偽通販サイトにジャンプする。このサイトのURLは「uggstorejpn.com」「uggbootsjap.com」など、日本のUGGショップを思わせるドメインとなっているが偽サイトだ。Facebookによりスパム指定されており、Facebookに直接書き込もうとするとブロックされる。犯人はブロックを避けるために、「1」の転送URLを用意しているようだ。

    3:ジャンプ先が「日本代理店」を称している

    • 問題のUGG偽通販サイト。公式サイトに承認されていないもので、「日本代理店」と称しているが偽物だ。巧妙なデザインなので騙される人もいるだろう
      問題のUGG偽通販サイト。公式サイトに承認されていないもので、「日本代理店」と称しているが偽物だ。巧妙なデザインなので騙される人もいるだろう

     ジャンプ先のサイト(写真)は巧妙に作られており、デザインもしっかりしていて「いかにも公式ショップ」を思わせる内容だ。「日本代理店」と書いてあるサイトもあるため、これでは(だま)されてしまう人もいるだろう。

     このように「友人からの投稿」「本物に似たURL」「公式らしい巧妙なサイト」によって、見た人を騙そうとしている。これについてUGGオーストラリアの公式Facebookは、「みなさまへ重大なお知らせ(Facebook投稿へのリンク)」として、

     「タグ付け機能を利用したスパム広告が流行しています。これらは、UGG Australiaの偽造品を宣伝する詐欺行為です。リンク先へのアクセスや、製品の購入などは決してしないよう十分にご注意ください。」と呼びかけている。

    他のサイトから流出したパスワードをあてはめるパスワードリスト攻撃か

    • 乗っ取りと思われるスパム投稿の例。パスワード使い回しを突いた「パスワードリスト攻撃」による乗っ取りの可能性が高い
      乗っ取りと思われるスパム投稿の例。パスワード使い回しを突いた「パスワードリスト攻撃」による乗っ取りの可能性が高い

     この偽通販サイトから購入してしまった人の話によると「商品は届いたものの、まったくの偽物だった」とのこと(注:筆者の直接取材ではなく、間接的なインタビュー)。偽ブランドの商品を販売している詐欺通販サイトが、スパムをバラまいている可能性が高い。

     7月から出回っていた偽のレイバンのFacebookタグ付けスパムとは、「偽の商品を送ってくる」という点で微妙な違いがある。偽のレイバンスパムでは、価格が90%引きなどあり得ない価格を付け、申し込んでも商品が送られてこない詐欺が中心だった。価格があまりに安すぎるため、不審に思う人が多かった。

     しかしながら今回の偽のUGGスパムは、価格は30~40%引き程度と、極端な低価格ではなく、あり得る程度の価格となっている。そして実際に商品を送ってくるようだが、届くのは偽ブランドという詐欺だ。今年に入って楽天やYahoo!などに偽ブランドのショップが出店していることが問題になっているが、それと同様の手口と言っていいだろう(今年1月に愛知県警が偽ブランド品を大手ショッピングモールで販売していた人物を商標法違反の疑いで逮捕している)。

     問題は、スパム投稿が行われるしくみだ。スパム投稿をするのは一般ユーザーで、本人が知らないうちにスパム投稿されている。ハッキリした証拠はつかめていないが、パスワードリスト攻撃による乗っ取りの可能性が高い。

     スパム投稿の被害を受けた2人に話を聞いたが、Facebookアプリに不審なものは見当たらなかった。以前は、Facebookアプリを騙して導入させ、そのアプリが勝手なスパム投稿をする例があったが、Facebook側の対策によってできにくくなっている(「Facebookスパム送信の不正プラグインに注意」参照)。そのためFacebookアプリによるスパムの可能性は低いだろう。

     以前の偽レイバンのスパム(「Facebookでもアカウント乗っ取り事件」)とそっくりの手法であること、またネット上ではUGGスパムを勝手に投稿された被害者が「パスワードの変更通知が来た」という事例が見受けられることから、パスワードリスト攻撃による乗っ取りの可能性が高い。

     パスワードリスト攻撃とは、他のサイトから流出したパスワード・メールアドレス(アカウント名)一覧が裏市場に出回り、それを購入した犯人が「別のサイトでもログインできるのでは」と考えて、あてはめる攻撃だ。我々ユーザーがパスワードを覚えられないために、同じパスワードを使い回していることが原因となっている。LINEの乗っ取りも、この手法が使われていた。

    タグ付けされた場合の対策とFacebook乗っ取りを防ぐ対策

    • タグ付けスパムを防止するには、Facebookの設定で他人によるタグ付けを許可制にするとよい
      タグ付けスパムを防止するには、Facebookの設定で他人によるタグ付けを許可制にするとよい

     このようにFacebookでのタグ付けスパムが猛威を振るっている。騙されないための事前の対策と、乗っ取り被害・スパム目撃の時の処置に分けて紹介しよう。まず基礎知識として、有名ブランドは正式なショップで購入すること。UGGの場合は、UGGオーストラリアの公式サイトで、ショップのURLを入力すると正規ショップかどうか確認できる(UGGオーストラリアの公式サイト)。購入する際には、正規ショップとして登録されたサイトを利用しよう。

    スパムを勝手に投稿された・タグ付けされた・見た場合の処置

    あなたがタグ付けされた場合は、タグを削除する

     偽のUGGやレイバンの書き込みに、自分の名前をタグ付けされた場合は、書き込みの右上にある「v」の矢印マークをクリック。メニューにある「タグを削除」をクリックする。タグが付いたままだと友人が閲覧することになるので注意しよう。

    スパムを見かけた場合

     スパムを見かけた場合は無視するか、書き込み右上の「v」の矢印マークで「投稿を報告」でスパムとしてFacebookに報告する。もし投稿をしている人が親しい友人である場合には、「乗っ取られている可能性があるよ」と警告してあげよう。

    勝手な投稿をされた場合

     あなたのFacebookアカウントが乗っ取られている可能性が高い。パスワードを変更し、下記のような「ログイン認証」を設定しよう。

    Facebookのスパム投稿&安全対策

    タグ付けを勝手にされないようにする

     何度もタグ付けのスパムが出る場合には、タグ付けを許可制にしよう。Facebookの「設定」→「タイムラインとタグ付け」→「他の人によって追加されたタグやタグの提案の管理」で、「ユーザーの投稿に他の人が追加したタグを、表示する前に確認しますか?」をオンにする。これで勝手なタグ付けを防止できる。

    パスワードを複雑なものに設定する

     パスワードは8桁以上で、大文字・小文字・数字・記号を含んだ複雑なものにする。覚えられなければ紙にメモするか、表計算ソフトなどに記入してパスワードロックをかける。

    パスワードを一つずつ別のものにする

     同じパスワードを使い回さない。一つのサイトごとに別のものにする。覚えるのは不可能なので、紙にメモするか、表計算ソフトで一覧を作ってパスワードロックをかける。もしくはパスワード管理ソフト(「1Password」「Lastpass」など)を使おう。

    「ログイン承認」を設定する

     ログイン承認とは、携帯電話番号を登録することで、新たな端末からログインする場合に認証番号を入力させて本人確認をするしくみ。これによって他人によるログインを防ぐことができる。Facebookの設定から「セキュリティ」→「ログイン承認」で、「使用したことのないブラウザからアカウントにアクセスする際にセキュリティコードを求める」にチェックを入れる。

     最後の「ログイン承認」は、いわゆる二段階認証と呼ばれるもので、携帯電話やスマートフォンで認証することで本人確認をするものだ。これによりパスワードリスト攻撃を防ぐことができるので、全員必ず設定しよう。

     なおログイン承認をするには、自分の電話番号を登録する必要がある(日本では登録できないと表示されることがあるが、日本の電話番号でも登録可能)。電話番号の登録に不安を感じる人もいるだろうが、Facebookの乗っ取りを防ぐには必要な処置だ。Facebookに電話番号を登録するリスクと、乗っ取られて不正利用されるリスクを比較すると、圧倒的に乗っ取られるリスクのほうが高い。電話番号を登録し、Facebook乗っ取りによるスパム投稿を防ぎたい。

    2014年11月18日 14時24分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP