Facebook に仕掛けられた JavaScript スパム攻撃によって、多くのユーザーアカウントにスパムメッセージが送信されています。昨日、GFI Software のセキュリティ担当者から初めて報告されたものですが、この投稿の執筆時点でも、永続的なクロスサイトスクリプト(XXS)の脆弱性が、パッチ修正されずに残っています。いったい何があったのかというと、一部の攻撃者が、特別に細工した Facebook アプリケーションページを利用して JavaScript を挿入するという新しい手法を発見したのです。通常、ユーザーにページが表示される前にスクリプトはフィルタによって除去されるのですが、この方法ではそのすり抜けが可能です。フィルタをすり抜けた悪質なスクリプトは、Facebook.com のコンテキストで実行されるため、ユーザーのセッションにおける要求の実行が許可されます。これは、アプリケーションが何らかの権限を求めるより前に実行されるという点に注意してください。Facebook にログインしているときにこのページにアクセスするだけで攻撃が始まります。一般的には、ユーザーに新しいメッセージが表示されている場合の動作です。
リンクをクリックすると、Adobe Flash Player の偽の更新手順が囮として表示されます。急いでページから移動しようとすると脅迫的な警告が表示されますが、攻撃がすべて完了するには数秒しかかかりません。
一方その背後では、スクリプトが現在のサイトでユーザー ID を解析し、ページを閲覧しているユーザーを特定します。そして、隠蔽した AJAX 要求の発行を開始し、Facebook からユーザーのプロフィールページを取得します。このユーザーはログインして有効なセッションを実行中なので、スクリプトは投稿に必要な処理をすべて実行できます。典型的なセッション乗っ取り攻撃です。この場合、スパムサイトへのリンクが投稿されます。しかも、ユーザーのウォールにスパムメッセージがすでに表示されているかどうかを確認し、ユーザーごとに 1 回ずつしか投稿しない仕組みもあります。投稿されるメッセージはさまざまで、攻撃者によって更新されています。これまでのところ、以下のスクリーンショットに示すように、「weight loss products(ダイエット商品)」や「free iPad give away(iPad を無料プレゼント)」といった広告が使われています。スパムに使われているリンク先は、無害ですが迷惑なページです。少なくともこの記事の執筆時点では、これらのページにアクセスしてもプロフィールには感染しません。
ただし、スクリプトにはこれ以外にも、友達の UID を検索してダイレクトメッセージを送信するという機能があります。そのメッセージに、感染したアプリケーションサイトへのリンクが含まれているのです。そのため、Facebook 上の友達も悪質なスクリプトの犠牲になり、そこからさらに被害が広がるおそれがあります。友達からのダイレクトメッセージであっても、疑わしい場合には用心するようにしてください。
罠に使われたメッセージの一例: 「Hey, What the hell are you doing in this video? Is this dancing or what?? lol(このビデオ、いったい何やってるところ? 踊ってるんだか何だかwww)http://[削除済み]」
挿入された悪質なスクリプトには、あらゆる損害を与える機能が潜在しています。プロフィールを書き換えたり、この場合のように感染したメッセージを送信したり、あるいはアプリケーションや友達を追加することさえ考えられます。スクリプトの実行内容によって CAPTCHA の解決が必要な場合でも、ユーザーに送り返し、ソーシャルエンジニアリングの手口を使ってユーザーにそれを解決させることも可能でしょう。
これは、Facebook 上で連日確認されている高度な攻撃の一例にすぎません。補足情報として、偽のログイン画面を使う Facebook フィッシングサイトの表示にも同じドメインが利用されています。このことから、攻撃者がひそかにさまざまな詐欺を行っていることは明らかです。
幸い、このインジェクションの脆弱性が他の攻撃グループによって使われていることは、まだ確認されていません。Facebook のセキュリティチームにはすでに報告済みで、この脆弱性のパッチを速やかに適用するべく準備が進められています。これ以上の悪用が試みられないように、回避手段はすでに実装されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。