Endpoint Protection

 View Only

Facebook でイベントの招待状を生成する手動スクリプト詐欺 

May 05, 2011 05:44 AM

Facebook の詐欺師たちは、きわめて巧妙な手口を駆使して、目標を達成するために新たな方法を日夜試みています。ウォールに投稿できるようにユーザーの権限を詐取する悪質な Facebook アプリケーションもそうですが、ここのところ数が増えているのが手動スクリプト攻撃です。毎日、数十万ものユーザーがこの攻撃の被害を受けています。

攻撃対象となったユーザーは、罠が仕掛けられたサイトへと誘い込むメッセージを受け取ります。最近では、「See who viewed your profile」(あなたのプロフィールを誰か見たか確認できます)というメッセージがよく使われていますが、ソーシャルゲームなどの無料クレジットプレゼントを謳ったメッセージも確認されています。アクセス先は、Facebook ページや Facebook アプリケーションページの場合もありますが、特定ドメイン上にあるリモートサイトの場合もあります。そこで、見かけは単純な JavaScript をブラウザのアドレスバーにコピーし、Enter キーを押すように要求されます。

詐欺師たちは、ユーザーがこのような単純な手順を負担に感じないようにしっかりと準備する傾向があるようです。ページを下にスクロールすると、YouTube にアップロードされたビデオへのリンクがあります。このビデオでは、JavaScript コードをコピーして貼り付ける方法を説明しています。このケースでは、偽の調査やクリックジャック攻撃が行われることなく再生されますが、もちろん仕掛けが施されている可能性もあります。

 

この手順に従うと、詐欺であることに気づかないまま、よくある調査の宣伝サイトにリダイレクトされます。もちろん、プロフィールを実際に表示した人のリストを得られるわけではありません。そのような機能は、Facebook には存在しないのです。

実際にはここまでの間に、実行済みの JavaScript コードが、ログインしたユーザーのセッションを悪用して、友達リストを模倣し、不正行為を開始します。攻撃者の設定によっては、新しい罠が仕掛けられたメッセージをユーザーのウォールに投稿したり、チャットメッセージを友達に送信したり、投稿メッセージや画像にユーザーのタグを付けたりする場合があります。さらには、イベントを作成したり、友達全員に招待状を送ったりするケースもあります。もちろん、こうした攻撃は、通常、ツールキットを使って簡単に設定できます。スクリプトは Facebook 内を行き来し、開いているユーザーセッションを利用するので、ユーザーのプロフィールをさまざまな形で悪用できてしまいます。ユーザーが自分でできることは、ほぼどんなことでも悪用可能かもしれません。

上記の攻撃は特に目新しいものではありません。シマンテックでは、イベントスパムなどの攻撃について、ソーシャルネットワークの危険性を説明した昨年 9 月のホワイトペーパーに記載しています。

しかし、そうした攻撃が実効性を持ち、Facebook でもフィルタリングが難しくなっている現状を見ると、この問題はさらに広がるおそれがあります。

言うまでもなく、これは Facebook だけの問題ではありません。似たようなケースは、他のソーシャルネットワークでも確認されています。各サービスでは、そうした攻撃を防ぐために、セキュリティチームが対策を取っています。それでも、ソーシャルネットワークを利用する際には、ユーザー自身が警戒心と疑う姿勢を忘れないようにする必要があります。友達からのメッセージであっても、悪質なコンテンツに誘導される可能性があります。はっきりとした理由がないのに、アプリケーションのインストールや、スクリプトのコピーアンドペーストを求められた場合は、無視したほうがよいでしょう。そうしたものは、まず罠と考えて間違いありません。

備考: Facebook のエンジニアも、サイトのクロスサイトスクリプティングの問題を解決しようと尽力しています。悪質なページや偽のアカウントを閉鎖する取り組みだけでなく、ユーザーに情報や知識を提供するチェックポイントをいくつも設置し、攻撃の広がりを食い止めようとしています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.