今回取り上げる手口は、友人から送られてきたように装った Facebook 詐欺のメッセージに、誰が自分のプロフィールを見たかを確認できるようなアプリケーションの売り文句が書かれたもので、特に新しいものではありません。ただし、この詐欺アプリケーションは、ユーザーにアンケートに入力するようにしつこく促し、知らないうちに友人すべてに同じメッセージを送信します。
残念ですが、このようなメッセージが毎日確認されています。
新たな偽のアプリケーション
今週、この種の詐欺で用いられる自動処理が新たな段階に入ったことがわかりました。
餌として使われるメッセージは特に珍しいものではなく、以下のような簡単なメッセージの後に URL が続いています。
· I've just seen who CREEPS around my pics the most here on Facebook! You can see who stalks you too!(いつも Facebook で私の写真を覗き回っている人が誰かやっとわかりました。あなたも自分が誰につきまとわれているか確認できます!) http://www.redire[削除済み]com/stalker
· I just saw who checks me out the most on Facebook! You can see who stalks you too!(いつも Facebook で私のことを調べ回っている人が誰かやっとわかりました。あなたも自分が誰につきまとわれているか確認できます!) http://www.[削除済み]redirectsite.com/stalker
· I've just seen who STALKS me on Facebook! You can see who creeps around your profile too!(Facebook ストーカーが誰かやっとわかりました。あなたも自分のプロフィールを覗き回っているのが誰か確認できます!) http://www.[削除済み]redirectsite.com/stalker
餌として使われるメッセージの例
ここで新しくなったところは、他の攻撃のように単に自身をポイントする短縮 URL のリンクを用いるのではなく、リダイレクタとして機能するリモートサイトを使用していることです。リダイレクト先(この場合は悪質な Facebook アプリケーションの URL)は、アクティブなリンクの中からスクリプトによってランダムに選択されます。つまり、URL は毎回別の Facebook アプリケーションの URL に解決されるのです。ボットネットによって使用される今までのファストフラックス型の仕組みと同じように、リダイレクト先の数が多いほか、これらが時間の経過とともに更新されているようです。
したがって、ユーザーは名前の異なる Facebook アプリケーションのいずれかにリダイレクトされることになります。このアプリケーションは、さまざまなリモートリソースも利用しますが、これらはすべてスクリプトに組み込まれています。リモートサイトは、攻撃者が乗っ取ったものか、攻撃者自身が作成したもので、Facebook アイコンがファビコンとして表示されるほか、アプリケーションのキャンバス名に対応するサブドメイン名が使われています。アプリケーションの URL、アプリケーション名、リモートリンクの 3 つの例を以下に示します。
· http://apps.facebook.com/iyayp[削除済み]/
· "Creepy Profile Peekers"(プロフィールの覗き屋)
· http://iyayp[削除済み]suniom.com/
· http://apps.facebook.com/lxalz[削除済み]/
· "See Who Views You The Most"(いつも覗きに来るのは誰だ)
· http://lxalz[削除済み]il-realty.com/
· http://apps.facebook.com/mspxq[削除済み]/
· "Your Top Stalkers"(いつもつきまとっているストーカー)
· http://mspxq[削除済み]wholesale.com/
Facebook では、新しい悪質なアプリケーションが現れるとすぐにそれを無効にできるように最善を尽くしていますが、依然として活動しているものがあるほか、新しく加わっているものもあるので気を付けてください。
いつものことですが、個人情報にアクセスして、ウォールに投稿するためにアプリケーションのアクセス許可が求められます。
このアクセスを許可すると、餌となる新しいメッセージが、フラックスのリダイレクタへのリンクとともにユーザーのすべての友人に知らないうちに投稿されます。同時に、プロフィールストーカーとされる人物を教えてもらう前に、自分が実在のユーザーであることを証明するためにいくつかのアンケートに答えるよう要求されます。
結局、ストーカーが誰なのか明らかになることはなく、ランダムに選ばれた人がリストに挙げられます。つまり、はじめから、そのような機能は存在しないのです。
いつものことですが、そのような詐欺メッセージには用心して、この種のアプリケーションをインストールしないでください。それでも詐欺の被害に遭ったら、アカウントの[プライバシー設定]で該当するアプリケーションをプロフィールから削除してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。