CookieとはWebサイトが使用する小さなデータで、パーソナライズされた広告を表示するために人々のオンラインでの行動を追跡します。Cookieは無害な厄介者だと思われることが多い一方、誤った人の手に渡ると、セキュリティ上のリスクとなる可能性があります。
WebサイトがCookieを保存するとき、Webサイトにアクセスした人を識別する一意のセッションIDも保存されます。WebサイトはこのIDを使用して、ログインIDやパスワードの入力を求めることなく、その人を識別します。このセッションIDを入手してしまえば、自分がその利用者であるとWebサイトに思い込ませ、その人のアカウントを乗っ取ることができるようになります。まさにこれが、この記事で取り上げる攻撃の手口です。サイバー犯罪者らは、同一の指令サーバー(C&Cサーバー)によってコントロールされる、コーディング様式の似た2つのトロイの木馬を使用します。
連携する2つのトロイの木馬
最初のトロイの木馬「Cookiethief」は、感染先のデバイス上でroot権限を入手します。これで、サイバー犯罪者はFacebookのCookieを自身のサーバーへ転送できるようになります。
ただし、単にIDを入手するだけではアカウントの乗っ取りに至らない場合も多々あります。Webサイトによっては、疑わしいログインの試みを阻止するセキュリティ手段を導入しています。たとえば、シカゴで活動していた人がわずか数分後にバリ島からログインしようとするような場合は、疑わしいと見なされます。
ここで登場するのが、第2のトロイの木馬「Youzicheng」です。この悪意あるアプリは、感染先のデバイス上でプロキシサーバーを実行する能力を持っており、これによってセキュリティ手段を回避し、疑いを生じさせることなくWebサイトにアクセスすることができます。こうして、その利用者を装ったサイバー犯罪者はその人のSNSアカウントを掌握し、好ましくないコンテンツを配信可能となります。
このCookie泥棒が最終的に何を目的としているのか明らかではありませんが、この指令サーバー上で発見されたWebページからヒントを得ることができそうです。そのWebページでは、SNSやメッセンジャーでスパムメッセージを配信するサービスを宣伝していました。スパムやフィッシングを広範囲に向けて発信するために、SNSアカウントへのアクセスを探していた可能性があります。
Kasperskyのマルウェアアナリスト、Igor Golovinは次のように述べています。「このCookie泥棒は、2つの攻撃を組み合わせることにより、疑念を生じさせることなく他人のアカウントを掌握する方法を見出しました。これは比較的新しい脅威であり、これまでのところ標的となったのは1,000人程度ですが、数は増え続けています。Webサイト側で検知するのはとても難しいことを考えると、今後も増加が見込まれます。私たちがWebサイトを見て回るとき、Cookieに注意を払うことはあまりないものです。しかし、Cookieは個人情報を処理する手段の1つです。自分に関するデータがオンラインで収集される場合は、いかなる場合でも注意する必要があります」
トロイの木馬CookiethiefとYouzichengの詳細については、Securelistの記事を参照してください(リンク先は英語)。
Cookie泥棒対策
Kasperskyのエキスパートは、以下の対策を推奨しています。
- スマートフォンのWebブラウザーで、サードパーティCookieのアクセスをオフにし、データが保存されるのはブラウザーを終了するまでとする。
- 定期的にCookieを削除する。
- 自分のオンラインでの行動がWebサイトによって追跡されないように、Webトラッキング防止機能を搭載したカスペルスキー セキュリティのようなセキュリティ製品を使用する。