Facebookスパムメール-マルウェア感染への道

2013年8月12日

皆さんはFacebookをお使いでしょうか?

Facebookによると現在の月間アクティブユーザー数は11億5000万人*1、インターネット関連サービスを提供するセレージャテクノロジーによると日本のFacebook推定ユーザー数は1900万人*2に上ります。

fbspam-title

Facebookから届くメールには、Facebookで繋がった友達の最近のアクティビティの紹介や友達リクエスト、パスワードの変更リクエストがあり、Facebookユーザーであれば誰もが受け取ったことがあるでしょう。

そんなFacebookのお知らせを装ったスパムメールが、現在増加しています。気を付けなければいけないのは、メール本文にあるリンクやリンクボタンです。

以下の図は、Facebookを名乗る差出人から届いたスパムメールです。この中から、例として偽のパスワード変更リクエストメールを取り上げてみましょう。

fbspam_mail 

本物のFacebookからのメールだと思った受信者が、パスワードを変更するために「Change Password」のリンクをクリックすると、マルウェアに感染してしまいます。では、具体的にどのような攻撃を受けるのか見てみましょう。

まず初めに、ユーザーが偽のメールであることに気づかずクリックすると、そのリンクに隠されたURLにリダイレクトされます。

以下の図は、隠されたURLのソースの一例です。このソースの中には2つのJavascriptが埋め込まれています。

fbspam_javascript1

次に、これらのJavascriptはさらに別のJavascriptを読み込みます。

下の図は、読み込まれた別のJavascriptをテキストで開いたもの(例)です。

fbspam_javascript2

暗号化されていて、ぱっと見ただけではどんな内容が書かれているかわからないようになっています。

埋め込まれたこれらのJavascriptは、使用しているOSの種類、使っているブラウザー、Javaのバージョン、古いアプリケーションの有無などをチェックします。攻撃が成功する確率を高めるために、ユーザーの環境に合わせて攻撃をカスタマイズするのが目的です。

続いて、攻撃者はそのユーザーの環境に合わせて調整したマルウェアをダウンロードさせます。

ダウンロードされるマルウェアのタイプは多岐にわたり、情報の窃取や、新たなマルウェアを更にダウンロードするなど、さまざまな被害をもたらします。

 

では、マルウェアに感染しないためにはどうすればいいでしょうか?

心当たりのないパスワードの変更リクエストや、知らない人からの友達リクエストのメールは無視するのが一番です。本物のFacebookのお知らせそっくりに作られたリンクを不用意にクリックしないよう注意してください。

Facebookには、不審なメールを受け取った場合の対処方法が記載されていますので、ぜひ参考にしてください。

http://ja-jp.facebook.com/help/225602007465207

  

*1  2013年度 第2四半期の決算報告による http://investor.fb.com/releasedetail.cfm?ReleaseID=780093
*2  2013年7月8日、セレージャテクノロジー調べ http://www.cereja.co.jp/press_release20130708.pdf