香港の同僚から先日,ソーシャル・ネットワーキング・サービス(SNS)「Facebook」経由で広まるマルウエアが増えている,との報告を受けた。
読者の中には,「友人」からと思われる上に示したようなメッセージを受け取ったFacebookユーザーがいるかもしれない。友人から届いたメッセージなので,掲載されているリンクをクリックしてしまう可能性は極めて高い。このリンクをクリックすると,以下に示した「hi5.com」というWebサイトにリダイレクトされる。
hi5.comにアクセスすると,ファイルをダウンロードして「Adobe Flash Player」をアップデートする必要がある,というメッセージが表示される。もちろん,何度ダウンロードしてアップデートを試みても,掲載されているビデオは再生できない。その代わり,パソコンがマルウエアに感染する。
我々が報告を受けた時点で調査したところ,問題のリンクは切れており,分析用サンプルを取得できなかった。ところが,近所の騒ぎのせいで夜中に起こされたLordian氏が再び試したら,うまくサンプル入手に成功した。エフセキュアのセキュリティ・ソフトウエアは,このサンプルを「Net-Worm.Win32.Koobface.bp」として検出する。アクセス時のユーザー・エージェントによっては,「Net-Worm.Win32.Koobface.bm」になることもある。
ただし,Windows以外の環境でリンクをクリックすると,本物の「YouTube」にリダイレクトされる。
どうもFacebookは,ありとあらゆる攻撃の目標として選ばれることが増えているようだ。Facebookの公開掲示板に目を通すと,この種の話題が大量に見つかる。この掲示板の投稿記事には有効なリンクを掲載しているものあるので,クリックする際には十分注意してほしい。
別の事例として,我々はFacebookをかたるフィッシング・サイト「http://www.faceiibook.com」を見つけた。このサイトは中国で登録されたもので,今も機能している。
Copyrights (C) 2008 F-Secure Corporation. All rights reserved.
◆この記事は,エフ・セキュアの許可を得て,フィンランドのセキュリティ・ラボの研究員が執筆するブログWeblog:News from the Labの記事を抜粋して日本語化したものです。本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。オリジナルの記事は,「JavaScript Injection Attack」でお読みいただけます。
