Facebookでのチャット内容を改ざんするマルウェア

チェック・ポイントは、オンライン版とモバイル・アプリ版の両方のFacebookメッセンジャーで見つかった脆弱性の詳細を公開しました。チェック・ポイントによる責任ある開示に従い、Facebookは問題の脆弱性を直ちに修正しています。

問題の脆弱性の概要

この脆弱性を悪用すると、攻撃者は、Facebookのオンライン・チャットやメッセンジャー・アプリの会話スレッドを変更できるようになります。送信済みのメッセージや写真、ファイル、リンクなどのコンテンツを改ざんする、または削除するなど、さまざまな改ざん行為が含まれます。

この脆弱性の詳細は、今月初めにFacebookのセキュリティ・チームに報告されました。同チームはすぐに対応し、チェック・ポイントとの共同作業を経てこの脆弱性に対するパッチを公開しています。
デモを見る(英語サイト)

問題の脆弱性により想定される被害

この脆弱性を悪用する可能性のある攻撃はいくつか存在します。Facebookが世界中のユーザの日常生活において重要な役割を担っている事実を考慮すれば、このような攻撃は深刻な影響を及ぼすおそれがあります。
多くのユーザがプライベートまたはビジネスでのコミュニケーション・ツールとしてFacebookを利用しているため、攻撃者にとってまたとない機会となっています。

  • 攻撃者は、詐欺活動の一環としてメッセージ履歴を操作する可能性があります。
    過去の会話を改ざんし、ターゲットとの間でありもしない合意に達したとでっち上げたり、合意条件の変更などを試みます。
  • 攻撃者は、裁判で不利になる可能性のあるFacebookのチャット内で、重要な情報の改ざんや隠蔽を実施できます。このようなチャットは法的調査において証拠として認められるため、この脆弱性を利用すれば、攻撃者は犯罪の証拠を隠蔽したり、無実のユーザを犯人に仕立て上げることが可能となります。
  • この脆弱性は、マルウェアの拡散手段としても利用されます。攻撃者は正規のリンクやファイルを不正な内容に置き換え、ユーザが誤ってクリックしたり開くように誘導します。その後、同じ手法でリンクを更新して最新の指令(C&C)サーバのアドレスを埋め込み、常に最新の状態でフィッシング攻撃を仕掛けます。

チェック・ポイントの製品脆弱性調査部門責任者のオーデッド・ヴァヌヌ(Oded Vanunu)は、「この脆弱性を悪用する攻撃者は、ターゲットに気付かれずにチャットのスレッド全体を変更できるようになります。さらに厄介なことに、攻撃者はセキュリティ対策を継続的に回避するための自動化機能を実装しており、長期にわたりチャットの内容を改ざんすることが可能になります。今回Facebookが迅速に行動に移し、ユーザを最優先としたセキュリティ対策を講じた点を称賛したいと思います」と述べています。

詳細な技術解析

チェック・ポイントのセキュリティ研究者であるローマン・ザイキン(Roman Zaikin)は、攻撃者がこの脆弱性を悪用すると、Facebookのチャットを制御し、必要に応じてメッセージを削除してテキストやリンク、ファイルに置き換えるなどの操作が可能になることを突き止めました。

オンライン、モバイルを問わず、Facebookのチャット・アプリケーションの各メッセージには、独自の識別子である「message_id」パラメータが割り当てられます。攻撃者は、プロキシを介してこの識別子を含むリクエストを保存し、一方で悪意のある試みを実行します。

下の画像は以下のURLに送信されたリクエストです。
https://www.facebook.com/ajax/mercury/thread_info.php

図1: メッセージの送信

攻撃者は、以下のURLにリクエストを送信して「message_id」を突き止めます。
www.facebook.com/ajax/mercury/thread_info.php

図2: メッセージIDの特定

攻撃者がメッセージIDを特定すると、メッセージの内容を改ざんし、Facebookのサーバに送信できるようになります。その内容は、ユーザのPCやモバイル・デバイスにプッシュ通知されることなく変更されます。

実証:ランサムウェアの攻撃キャンペーンを目的とした脆弱性の悪用

Facebookのチャットやメッセンジャーのチャットを悪用して会話を改ざんする行為により、攻撃者はさまざまな目的を達成できるようになります。以降では、この脆弱性を突いてランサムウェアを拡散させる可能性のある攻撃の流れを紹介します。

まず、攻撃者は潜在的なターゲットに正当なメッセージを送信します。

図3: 正当な接触

その後、攻撃者はメッセージを改ざんして感染済みのリンクやファイルを仕込みます。下の画像からも分かるとおり、「Hi」というメッセージが「RANSOMWARE COMMANDAND CONTROL ROULETTE」に変更されています。

図4: メッセージの改ざん

また、この手法により、C&Cサーバのアクティブな状態の維持という、今日のランサムウェア攻撃における最大の弱点も解消されます。通常、ランサムウェアの攻撃キャンペーンが持続するのは数日間だけです。感染リンクやC&Cサーバのアドレスが明るみになり、セキュリティ・ベンダーによってブロックされるためです。攻撃者は活動を停止し、一からのやり直しを余儀なくされています。しかし、この脆弱性を悪用すれば、攻撃者は自動化機能を実装して、C&Cサーバが置き換えられてもセキュリティ対策を継続的に回避できます。

チェック・ポイントがFacebookにこの脆弱性について通知したところ、同社は速やかに行動に移し、対応するパッチを公開しました。

チェック・ポイントは、広く利用されているソフトウェアやプラットフォームに潜む脆弱性に日々目を光らせており、発見した場合には詳細を開示、通知して、予想される脅威から ユーザやお客様を保護しています。

デモを見る(英語サイト)