ソーシャル ネットワーキング セキュリティ脅威

Facebook のセキュリティ脅威を理解する

1 | 2 | 3 次へ >

Facebook: 多発するセルフ XSS、クリックジャック、アンケート詐欺

膨大な数のユーザーを抱える Facebook は、友達以外の人がユーザーの個人情報を知ることもできるため、詐欺を行うサイバー犯罪者の格好のターゲットとなっています。

ユーザーは Facebook の収入源がユーザーではなく、広告であることを認識しておく必要があります。広告主の目的は可能な限り多くの人にメッセージを届けることであるため、Facebook は「友達」以外のすべての人にもユーザーの個人情報を提供しています。Facebook の顔認識機能によってユーザーがこの機能を無効に設定しない限り、写真に自動的にタグ付けが行われてしまいます。

Facebook では、クロスサイト スクリプティング、クリックジャック、偽のアンケート調査、なりすましなどの詐欺行為が横行しています。現在、サイバー犯罪者たちの人気を最も集めている攻撃の 1 つが、クロスサイト スクリプティングあるいは「セルフ XSS」と呼ばれる方法です。Facebook に表示される「何で君がこのビデオでタグ付けされているの?」などのメッセージや、偽のFacebook「Dislike」(よくない!) ボタンなどをクリックしてしまうと、ユーザーを騙して悪意ある JavaScript コードをブラウザのアドレスバーに貼り付けさせる Web ページが表示されます。セルフ XSS 攻撃では、隠蔽・難読化された JavaScript がユーザーのコンピュータ上で実行され、知らないうちにマルウェアがインストールされる可能性があります。

また、Facebook における詐欺攻撃では、ニュースやレジャーなどの話題に対するユーザーの興味を利用して、自発的に個人情報を開示するように仕向けることができます。Facebook の「ロイヤルウェディングの招待客名のリストを作る遊び」と称して自分の祖父母の姓名やペットの名前などを組み合わせるように求める投稿や、「母の日を祝して」として自分の子供の名前、誕生日、体重の入力を求める投稿は、一見問題がなさそうに思えてしまいます。しかし、子供の名前や誕生日、ペットの名前、詳細な住所などを一度入力してしまうと、それらの情報は永遠にインターネット上に残ります。このような情報はパスワードまたはパスワードを忘れた際の質問に使用されるため、なりすましに悪用される可能性があります。

ほかにも、Facebook ユーザーに対する攻撃には「Like (いいね!) ボタンジャック」あるいは「UI 着せ替え攻撃」とも呼ばれる「クリックジャック」があります。クリックジャックは、一見無害に見える Web ページでユーザーにクリックを行わせて、ユーザーの重要な情報を開示させたり、コンピュータを乗っ取ったりする攻撃方法です。クリックジャックには、ユーザーに気付かれることなく実行可能な埋め込みコードまたはスクリプトが使用されます。表示内容とは異なる機能を実行するボタンが使用されることもあります。このボタンがクリックされると、ステータスアップデートを介して、登録されている連絡先が攻撃を受け、詐欺が広まっていきます。詐欺師たちは、「巨大赤ちゃん出産の驚愕のシーン」や「世界一おかしなコンドームの CM (爆笑)」といった題名のメッセージによってユーザーの好奇心をかき立てます。上記のどちらのクリックジャックも、ユーザーに動画の閲覧を勧める Web ページが表示されます。動画を再生すると、ユーザーがそのリンクを気に入って「いいね!」ボタンを押したことを示す投稿が友達に共有され、Facebook 全体に拡散されます。

クリックジャック攻撃は多くの場合、スパムのリンクからアプリケーションをインストールされてしまう「アンケート詐欺」と関連しています。サイバー犯罪者は、オサマ・ビンラディンの動画など新しい話題を利用して、ユーザーを偽の YouTube サイトに誘導し、アンケートに答えさせようとします。そして、ユーザーがアンケートに回答するたびに、手数料を受け取ります。アンケートに回答した場合、そのユーザーのFacebook の友達にも同様の詐欺攻撃が広がっていきます。

Facebook の新しいセキュリティ機能は理論上、ユーザーを詐欺行為およびスパムから守ってくれるはずですが、残念ながらその多くは効果がありません。セルフ XSS、クリックジャック、アンケート詐欺は、ほんの数年前には存在していませんでした。しかし、これらの不正行為は現在、毎日のように Facebook などのソーシャルネットワークで発生しています。

ソフォスはアンケート調査を実施し、セキュリティ上最もリスクが大きいと感じるソーシャルネットワークを尋ねたところ、回答者の 81% が、Facebook が最大のセキュリティリスクになっていると感じていました。1 年前に同じ質問をしたときの 60% から大幅に増加しています。ちなみに、Twitter と MySpace がそれぞれ 8% で、LinkedIn はわずか 3% でした。

download 無償評価版の試用
無償評価版のダウンロード

お客様の評価

"ソフォス製品は、時間、リソース、コストの節約を可能にしました"
Sam Ghelfi、Raymond James

詳細情報

アワードとレビュー

Awards