「Facebook Chat」の認証を装うスパム投稿を確認

Facebook のユーザが再びサイバー犯罪の対象となっています。今回は、「Facebook Chat」に関する通知でした。

問題の通知は、公式の「Facebook Chat Team」から発信されたと装っています。この通知は、Facebook の「ノート」にタグ付けされたコメントとして表示され、Facebook Chat の認証が必要であるとユーザに伝えます。

図1:偽の「Facebook Chat」の認証を求める通知
図1:偽の「Facebook Chat」の認証を求める通知

このスパム投稿は、アカウントの認証が至急必要であるかのようにユーザに思わせます。認証するために、ユーザは最初に「Pastebin」に行き、特定のコードをコピーするように指示されます。この指示内容は、Google Chrome や Mozilla Firefox、Internet Explorer など、利用する Webブラウザによって異なります。

その後、ユーザは短縮URL に誘導され、特定のファンクションキーを押すよう求められます(Google Chrome の場合は、F12)。ユーザはコンソールタブをクリックし、指定された JavaScript のコードをアドレスバーに入力し、Enter を押します。これにより、サイバー犯罪者はユーザのアカウントにアクセスすることが可能になり、ユーザの友達リスト内のユーザであれば誰でも、自動的にタグ付けできるようになります。こうして他のユーザも犠牲となる負の連鎖が始まるのです。

図2:指定の JavaScript を入力するコンソール
図2:指定の JavaScript を入力するコンソール

まず最初に、「Facebook Chat」というアプリは存在せず、ユーザに「通知」を送信するチームはないことを知っておくべきでしょう。Facebook では「Facebook Messenger」と呼ばれる公式のインスタントメッセンジャ機能と、同名の独立型アプリを提供しています。同社は、2014年4月上旬に、Android と iOS のユーザに対して、アプリ内にある従来のバージョンのチャット機能を停止して、独立型アプリだけが利用できるようになると発表しています。

Facebook は、このような脅威に対して対策を講じることを公式に発表しています。Facebook が発表した警告文は以下のとおりです。

これは、セルフクロスサイトスクリプティング攻撃の一種です。ブラウザコンソール内にコードを貼り付けると、そのコードに自分のアカウントへのアクセス権限を与えてしまうことになります。コードによって同じ詐欺コメントが他人のウォールに投稿され、攻撃者が管理するページに強制登録されてしまう、というのが典型的な被害ですが、さらに悪い事態におちいる可能性もあります。

2013年には、正規の Facebook モバイルサイトに装ったフィッシング詐欺により、ユーザのクレジットカード情報が収集されました。また同年、偽の Facebook のセキュリティページを利用したフィッシング詐欺によって、大量のアカウント情報が収集される事例も起きています。

オンライン上のアカウントをさまざまな脅威から保護するためには、常に警戒を怠らないようにして下さい。たとえ、友人や知人から送信されたリンクであっても、かならず内容を確認して下さい。また、アカウントの侵害や、PC の被害の危険性を最小限にするため、ネットワークに加えるコンタクトは厳選し、個人的な知り合いのみを追加するようにして下さい。

トレンドマイクロでは、2012年4月より、Facebook と連携してこのような脅威からユーザを保護することに尽力しています。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。

参考記事:

  • Fake Facebook Chat Verification Used for Spam
    by Fjordan Allego (Anti-Spam Research Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)