偽レイバンのFacebook「イベント」スパムに注意

  • Facebookで出回っている偽レイバンのイベント招待スパム
    Facebookで出回っている偽レイバンのイベント招待スパム

 Facebookで偽ショッピングサイトへ誘導するイベントスパムが出回っている。人気のサングラスブランド・レイバンを(かた)ったもので、今までとは異なりFacebookの「イベント機能」で多くの人に拡散させているのが特徴だ。(ITジャーナリスト・三上洋)

偽レイバン「チャリティー」「慈善」と称するFacebookイベント招待スパム

 Facebookで新たな手口のスパムが流行している。Facebookのイベント機能を使ったもので、「チャリティーイベント」「慈善活動」「メガネイベント」などのタイトルでイベントを作り、多くの人に招待スパムを出している。人気のサングラスブランド・レイバンを騙ったスパム(迷惑メッセージ)だ。

 左の画像がそのイベントスパムで、「レイバンのチャリティー販売」として、「86%まで割引!」などと勧誘し、サイトへのリンクを張っている。Facebookのイベント機能は、本来はリアルのイベントへの参加募集・招待をするものだが、このスパムでは単にサイトへの誘導・宣伝に使っているのだ。

 このスパムは9月の上旬から出回っており、10月下旬に入っても続いている。イベントの主なタイトルは以下の通りだ(筆者調査)。これらのイベントの勧誘を見かけたら、スパムだと思って後述のように対策を立てよう(日本語表記がおかしいのは原文のまま。スパムの犯人は日本語が得意ではないと思われる)。

  • イベント招待スパムを出しているFacebookページ。犯人が作っているFacebookページだ
    イベント招待スパムを出しているFacebookページ。犯人が作っているFacebookページだ
  • イベント招待スパムを出しているFacebookページが大量に存在している
    イベント招待スパムを出しているFacebookページが大量に存在している

★Facebookでの偽レイバン・イベントスパムのタイトル

  • 誘導される偽ショッピングサイト。実在するショップの住所・電話番号を書いているが偽物の詐欺サイトだった
    誘導される偽ショッピングサイト。実在するショップの住所・電話番号を書いているが偽物の詐欺サイトだった

 「レイバンの年間チャリティー販売」
 「教育慈善今日。すべてのスタイルや色だけで2499円」
 「Ray Ban レイバン日本、セールレイバンサングラス2015コレクション」
 「イベントのレイバンの秋」
 「メガネ毎年恒例のイベント」

 これらのイベントはFacebookページ(の開設者)によって作成されている。スパムの犯人が作成したFacebookページであり、「レイバン会社」「Ray Ban-クラブ」「レイバン活動」などの名前を付けている。

 イベントスパムから誘導されるサイトは、左のような偽ショッピングサイトだ。ここ1~2年で大流行している偽ショッピングサイトとほぼおなじ作りであり、本物のサイトから画像や説明文をコピーして載せ、90%割引などのあり得ない割引価格で常時宣伝している。筆者が調査したところ、会社概要には存在しない住所を載せたり、既存の大手販売店の住所・電話番号・社長名をコピーして掲載したりしている例もあった。

 本連載の以前の記事「UGG偽ブランド、Facebookスパム対策(2014年11月18日掲載)」「ツイッター乗っ取りスパム:実在の会社を利用(2015年1月30日)」での手口とほぼ同じであり、日本を狙うショッピングサイト詐欺グループが、今回のFacebookイベントスパムを実行していると思われる。

対策は「招待者リストから削除」「スパム報告」

  • 国際電子ビジネス専門学校副校長・(ISC)2認定講師の淵上真一氏によるFacebookイベントスパムの注意勧告記事(Facebookノート)
    国際電子ビジネス専門学校副校長・(ISC)2認定講師の淵上真一氏によるFacebookイベントスパムの注意勧告記事(Facebookノート)

 詳しい手口の分析は最後にまとめるとして、先に対策を紹介しておこう。このFacebookのイベントスパムへの対策は、セキュリティーに詳しい国際電子ビジネス専門学校副校長・(ISC)2認定講師の淵上真一氏が、「Facebookでスパムイベントに巻き込まれたときの対処法」としてFacebookノートでまとめている(リンクは後述)。それを参考にしながら、以下の4ポイントを覚えておきたい。

★Facebookイベントスパムが来た場合の処置★

1:「レイバン」「オークリー」「UGG」などブランド名+URLが入ったイベント招待はスパムだと考える

 イベント招待にブランド名とサイトへの誘導があったらスパムを疑うこと。URLはクリックしないほうがよい。イベント招待を出した友人は、犯人に乗っ取られている可能性(後述)があるので、Facebook以外の方法で注意してあげよう。

2:「参加しない」「未定」などをクリックしてはいけない

 「参加しない」「未定」などをクリックしない。「参加しない」「未定」などを押すと、犯人側に「イベント招待に反応のある人」としてマークされ、あとで詐欺のターゲットになる可能性があるからだ。

  • イベントの設定で「招待者リストから自分を削除」をクリックする
    イベントの設定で「招待者リストから自分を削除」をクリックする

3:招待者リストから自分を削除する(パソコンから)

 イベント招待の右上にある「・・・」を押し「招待者リストから自分を削除」をクリックする。主催者である犯人が作ったリストから自分を削除しておけば、再びイベントスパムが来る可能性が低くなるからだ。

  • 詐欺を広げないようにFacebook側にスパム報告をしよう
    詐欺を広げないようにFacebook側にスパム報告をしよう

4:スパム報告をする

 イベント招待の右上にある「・・・」を押し「Facebookにイベントを報告する」をクリック。次に開いたウィンドーで「スパムまたは詐欺」をクリックする。これでFacebook側が審査をしてスパムと判定されればイベント自体が消去される。

 次にイベント招待を自分がしてしまった場合の処置をまとめておく。この場合、パスワードリスト攻撃(後述)などで、あなたのFacebookアカウントが乗っ取られている可能性がある。

★Facebookイベント招待を自分がしてしまった場合の処置★

1:イベント招待をキャンセルする

 Facebookにアクセスし、イベント招待をキャンセル。Facebook自体にアクセス出来ない場合は、スマートフォンなど別の端末から試す。ダメな場合はFacebookへ問い合わせを。

2:パスワードを変更。他のサイトとは異なる10文字以上のパスワードに

 パスワードを犯人に知られている可能性が高いので、すぐにパスワードを変更。他のサイトとは異なる10文字以上のパスワードにする。できれば「ログイン承認」を設定し、スマートフォンなどから二段階認証で安全性を高めること。

3:犯人による「ログインの場所」を削除する

 Facebookの設定→セキュリティ→ログインの場所を開き、自分が使っていない場所・端末を削除する。犯人による乗っ取りをやめさせるためだ。

 以上を実行した上で、招待を出したことを()びる書き込みをFacebookに投稿するといいだろう。

手口分析:複数のドメインで偽サイト展開、パスワードリスト攻撃の乗っ取りか

  • 誘導されるサイトのショッピングページ。極端に価格の安いショッピングサイトは詐欺の可能性があると考えよう
    誘導されるサイトのショッピングページ。極端に価格の安いショッピングサイトは詐欺の可能性があると考えよう

 今回のスパムは、イベント機能を使っていることが特徴だ。以前からFacebookを使った偽ショッピングサイトへの誘導スパムはあるが、Facebookの投稿にユーザーをタグ付けする形で行われていた。しかし、その手口が一般に知られたことで、犯人にとって効率的な詐欺ではなくなった可能性がある。

 それに対してイベント招待スパムは、友人だけでなく一般公開として告知でき、友人の友人といった形でスパムを広げることが可能だ。また、イベントの作成はFacebookページからできるため、スパム報告をされたとしても別のFacebookページを作れば、何度もイベントスパムが出せてしまう。実際に見てみるとわかるが、「レイバン会社」などのFacebookページが複数あり、犯人はイベントスパム発信のために大量のFacebookページを作っているようだ。

 イベントスパムの招待を出しているのは、パスワードリスト攻撃によって乗っ取ったFacebookアカウントである可能性が高い。パスワードリスト攻撃とは、以前に流出しているメールアドレス・パスワードのリストを基に、色々なサービスでログインを試みる攻撃のこと。一般ユーザーがパスワードを覚えきれないために「同じパスワードを使いまわしている」実態を突いた攻撃だ。

 パスワードを使いまわしていたユーザーのFacebookアカウントにログインし、犯人が作ったイベントスパムの招待を、そのアカウントの友人にバラまいていると思われる。

 誘導される偽ショッピングサイトについては、セキュリティー研究者によって追跡されている。複数の偽ショッピングサイトのドメインを調査したところ、ドメインの登録者のメールアドレス、サイトのIPアドレス、DNSアドレスが共通だった。そのメールアドレスでは70以上のドメインが登録されており、ブランド名を名前に入れているドメインが多数あった。このメールアドレスが犯人のもので、偽ショッピングサイトを大量に作成している可能性が高い。

 このようにFacebookのイベントスパムは、偽ショッピングサイトへの誘導を行うために詐欺グループが大量作成しているものと思われる。これらのショッピングサイトでは、偽物が送られてきたり、商品がそもそも届かなかったりするパターンがほとんどなので注意したい。

 レイバンの公式サイトでも「【重要なお知らせ】SNSスパム投稿に関するご注意」として、注意を呼びかけている。FacebookやTwitterでレイバンを名乗ったスパム投稿があるが、これらのリンク先は公式サイトまたはオンラインサイトを含む正規取扱店のものではないとしている。「このような宣伝は、極端な低価格で偽造品を販売しているサイトへの誘引の可能性がありますのでご注意ください」とのことなので、低価格のショッピングサイトには十分警戒したい。

●参考記事

Facebookでスパムイベントに巻き込まれたときの対処法(淵上真一氏のFacebookノート)

UGG偽ブランド、Facebookスパム対策:サイバー護身術

ツイッター乗っ取りスパム:実在の会社を利用:サイバー護身術

Facebookでもアカウント乗っ取り事件:サイバー護身術

【重要なお知らせ】SNSスパム投稿に関するご注意:レイバン公式サイト

プロフィル
三上洋   (みかみ・よう
 セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。