世界ベンダーが公開しているセキュリティ関連ブログから、気になる話題を紹介する。今回はまず、Facebookのプロフィールを乗っ取ろうとするブラウザー拡張機能について。米マイクロソフトが注意を促している

 この脅威は最初にブラジルで確認され、マイクロソフトは「Trojan:JS/Febipos.A」として検出している。特に米グーグルの「Chrome」と米モジラの「Firefox」をターゲットにする。同マルウエアは、インストールされると、Chromeに対しては「du-pont.info/updates/削除済み/BL-chromebrasil.crx」というURLを、Firefoxに対しては「du-pont.info/updates/削除済み/BL-mozillabrasil.xpi」というURLを使って自身をアップデートする。

 その後、ユーザーがFacebookにログインしているかどうか確認し、Webサイト「削除済み.info/sqlvarbr.php」から設定ファイルの取得を試みる。ファイルには、ブラウザー拡張機能が行動するべきコマンドのリストが含まれている。

 ファイルの内容によって、マルウエアは感染ユーザーのFacebookプロフィールから、ページへの「いいね!」付加、共有、投稿、グループへの参加、グループへの友達招待、友達へのチャット、投稿へのコメント付加などを実行する。

 マイクロソフトが確認した設定ファイルには、ポルトガル語で「いじめを受けた15歳の女の子が、胸の写真をFacebookにアップされたあと自殺した」と書かれたメッセージを投稿するコマンドが含まれていた。メッセージにはビデオのリンクも加えられているが、すでにリンクはFacebookによって遮断されている。

 また、「1日当たり13ブラジルレアルで新車のCeltaを手に入れよう!」あるいは「1000ブラジルレアル割引券が当たる!」とポルトガル語で書かれた「Consorcios Brasil」Facebookページの投稿リンクにコメントを加えようとする。

Consorcios BrasilのFacebookページ

 マイクロソフトが最初に同Facebookページの分析を始めたとき、ページには2746人から「いいね!」が集まり、投稿リンクには165件のコメントと167回の「いいね!」が付いていた。数時間後には、ページへの「いいね!」は3177人、投稿リンクへのコメントは183件、「いいね!」は201回に増えていた。これはマイクロソフトが確認した挙動だが、メッセージやURL、使われるFacebookページが変更されて感染が広がっている可能性があると、マイクロソフトは指摘している。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら