ブリトニー・スピアーズのInstagramコメント欄からマルウェアリンク発見。ロシアのボットネットサーバーへ誘導

全世界に7億人のアクティブユーザーを抱えるInstagramですが、その投稿のコメント欄にマルウェアをコントロールするサーバーへのリンクが埋め込まれる事例が発生しました。問題がみつかったのは米国の人気歌手ブリトニー・スピアーズの投稿で、ロシア国内から書き込まれたとのこと。

問題のコメントはフォロワー数も投稿数もゼロのユーザーアカウント"asmith2155"からのもので、ブリトニー・スピアーズの投稿にファンが付けた7000ものコメントの中のひとつとして発見されました(現在は削除されています)。

このコメントは一見すると幾つかのハッシュタグを付与した普通の文のように見えますが、実際に投稿された文字列にはコメント欄に表示されないマークアップが含まれており、Firefoxの拡張機能を装って配布されたマルウェアがそれを遠隔操作するC&C(ボットネット制御)サーバーへの短縮URLとして解釈するようになっていました。
 

Such a great shoot with @david_roemer

Britney Spearsさん(@britneyspears)がシェアした投稿 -

 
なぜこのような手法が用いられるかと言えば、マルウェアがURLをハードコートする必要が無いので、C&Cサーバーをいくらでも立てられるということ。無数にあるSNSのコメントにこうしたリンクを散りばめることで、サイバースパイはユーザーに気づかれることなくマルウェアをボットネット化して操縦できます。

セキュリティソフトメーカーESETによると、発見されたコメントのリンクはロシアのサイバースパイグループTurlaによるものと推測されるとのこと。Turlaはロシア政府がバックアップしていると目されています。

ただESETは、今回のコメントに隠されたリンクを実際に踏んだトラフィックはそれほど多くはなかったため、おそらくはまだテスト段階で使われただけだと結論づけています。実質的な被害がでていないとはいえ、いったん有効だと確認が取れたのならば、短期間のうちに同様の手法が拡大する可能性は否定できません。また今回はFirefoxの拡張が使われたものの、他のブラウザーでも動作するものが現れない理由はありません。

ちなみにInstagramを使った攻撃手法としては、画像ステガノグラフィーを使ったC&Cサーバー連携が可能なことが確認されています。一方でInstagram用ツールアプリを装ったユーザーパスワードを盗むマルウェアもみつかって(現在はGppgle Playストアから削除)います。ここ数年で急速にユーザー数を増やしてきたInstagramだけに、ハッカーグループからの注目も集まっているのかもしれません。