Facebook 詐欺に使われる Firefox 拡張機能

Facebook は注目に値する新しい機能をツールボックスに追加していますが、これは Facebook に巣食うスパマーや詐欺師たちも同様です。現在は、「自分のページにアクセスした人がわかる」という典型的な手口のワナが出回っています。

今のところ、特に新しい点はありません。要求された権限をアプリケーションに付与すると、上に示したスパム投稿が友達の全員に送信される一方、ユーザーはダウンロードを指示するサイトにリダイレクトされます。このサイトで、Firefox ブラウザを開くかダウンロードし、Firefox の拡張機能もインストールするように指示されます。この拡張機能は、1 週間で 27,000 回もダウンロードされていると説明されており、Facebook にユーザー統計を表示する新しいメニュー項目が生成されることになっています。

言うまでもなく、「Facebook Connect」と名付けられたこの Firefox 拡張機能は公式の Mozilla ドメインに存在するものではなく、サードパーティのサイトにホストされています。しかし、それも珍しいことではないので、たいていのユーザーは拡張機能をインストールするときに表示される一般的な警告文を無視してしまいます。もちろん、説明されているような機能がインストールされることはなく、実際にインストールされるのはコンパイル済みの Greasemonkey スクリプトです。このスクリプトは、ユーザーが www.facebook.com にアクセスするたびにブラウザのポップアップウィンドウでリモートサイトを開きます。従来、このポップアップウィンドウでは上述のようにページアクセス数の表示機能を謳う詐欺が表示されるだけでしたが、今回はまずアンケートに回答するよう求められます。この機能はもちろん、いつでももっと危険な内容に変わる可能性があります。

この Firefox 拡張機能をインストールしてしまった場合には、ブラウザの［ツール］メニューから［アドオン］を選択してアンインストールすることができます。［アドオン］ウィンドウでは、この拡張機能で意図されている動作が、「automaticly (sic) open popup on facebook（Facebook で自動に［原文ママ］ポップアップを開きます）」と正直に説明されていることもわかります。

Facebook のセキュリティチームはすでに対応策を取っており、有害なアプリケーションと、ユーザーページから送信された投稿は削除されています。しかし、詐欺は 1 つ出現すればいくつも続くものなので、油断は大敵です。

シマンテックは、同じ拡張機能が手動スクリプトの詐欺でも広められていることを確認しています。この詐欺の場合は、リダイレクト先の Web サイトで、不明瞭化された JavaScript をコピーしてブラウザに貼り付けるように求めたり、さらにはこのメッセージを Facebook 上で 5 回以上投稿するように指示したりします。

この亜種に対して簡単で有効な防衛策は、Facebook 上で SSL ログインを有効にすることです。ポップアップが生成されるのは HTTP 版がロードされる場合だけで、HTTPS サイトでは生成されません。また、これは Firesheep アドオンで見られたような盗聴機能からセッションを保護するためにも有効です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。