世界ベンダーが公開しているセキュリティ関連ブログから、気になる話題を紹介する。今回はまず、Facebookのプロフィールを乗っ取ろうとするブラウザー拡張機能について。米マイクロソフトが注意を促している

 この脅威は最初にブラジルで確認され、マイクロソフトは「Trojan:JS/Febipos.A」として検出している。特に米グーグルの「Chrome」と米モジラの「Firefox」をターゲットにする。同マルウエアは、インストールされると、Chromeに対しては「du-pont.info/updates/削除済み/BL-chromebrasil.crx」というURLを、Firefoxに対しては「du-pont.info/updates/削除済み/BL-mozillabrasil.xpi」というURLを使って自身をアップデートする。

 その後、ユーザーがFacebookにログインしているかどうか確認し、Webサイト「削除済み.info/sqlvarbr.php」から設定ファイルの取得を試みる。ファイルには、ブラウザー拡張機能が行動するべきコマンドのリストが含まれている。

 ファイルの内容によって、マルウエアは感染ユーザーのFacebookプロフィールから、ページへの「いいね!」付加、共有、投稿、グループへの参加、グループへの友達招待、友達へのチャット、投稿へのコメント付加などを実行する。

 マイクロソフトが確認した設定ファイルには、ポルトガル語で「いじめを受けた15歳の女の子が、胸の写真をFacebookにアップされたあと自殺した」と書かれたメッセージを投稿するコマンドが含まれていた。メッセージにはビデオのリンクも加えられているが、すでにリンクはFacebookによって遮断されている。

 また、「1日当たり13ブラジルレアルで新車のCeltaを手に入れよう!」あるいは「1000ブラジルレアル割引券が当たる!」とポルトガル語で書かれた「Consorcios Brasil」Facebookページの投稿リンクにコメントを加えようとする。

Consorcios BrasilのFacebookページ

 マイクロソフトが最初に同Facebookページの分析を始めたとき、ページには2746人から「いいね!」が集まり、投稿リンクには165件のコメントと167回の「いいね!」が付いていた。数時間後には、ページへの「いいね!」は3177人、投稿リンクへのコメントは183件、「いいね!」は201回に増えていた。これはマイクロソフトが確認した挙動だが、メッセージやURL、使われるFacebookページが変更されて感染が広がっている可能性があると、マイクロソフトは指摘している。