米Facebookが先週発表したビデオ電話に絡んだ詐欺手口が登場した。英Sophosが英国時間2011年7月8日にセキュリティ関連のブログ「Naked Security」で明らかにした。
Facebookは7月6日に、ルクセンブルクSkype Technologiesとの協力によるビデオ電話機能を順次導入すると発表した。チャット機能から直接アクセスでき、オンライン接続中の友達を選んでチャットウィンドウの右上にあるビデオアイコンまたは、相手のプロフィール画面の上部にあるビデオアイコンをクリックすることで、手軽にビデオ電話がかけられる。別のアプリケーションを起動する必要はない(関連記事:Facebook、Skypeと協力しビデオ電話サービスを開始)。
Sophosが発見した詐欺手口は、ビデオ電話機能の話題に乗じてユーザーをだまそうとするもので、同機能に見せかけた「Video Call」と呼ぶアプリケーションの使用をユーザーに促す。
承認を求める画面では、同アプリケーションがユーザーの氏名、プロフィール画像、性別、ユーザーID、友達リストといった基本情報のほか、ユーザーの行動を通知する「News Feed」のコンテンツにアクセスする可能性があること、ウォールにメッセージを投稿する可能性があることなどが説明されている(画面1)。
ユーザーがアプリケーションを承認すると、友達にスパムコンテンツが投稿されるとともに、ユーザーはよくあるアンケートに誘導され、これにより攻撃者は手数料を手に入れる。
もしウォールで「Enable video calls」に関する投稿があれば、それは友達が詐欺アプリケーションを承認した結果であるため、決してその投稿をクリックしてはならない(画面2)。またSophosは、ビデオ電話機能の話題に乗じた攻撃は今後も登場する可能性があるとして、むやみにファイルやコンテンツをダウンロードしたりしないよう注意を呼びかけている。
[発表資料へ]