Facebookメッセージを利用した動画スパムが出回っている。引っかかると、友人に動画スパムを送ったり、自分のタイムラインに友人をタグ付けしたアダルト動画の書き込みをする厄介なものだ。手口を追いかけたところ、グーグルのWebブラウザー「Chrome」の拡張機能を利用したものだった。

 このFacebookスパムについて、トレンドマイクロ シニアスペシャリストの鰆目順介氏は「Facebookでのスパムは以前からあったが、ここ1~2年で多くなっているように感じられる。Facebookアプリによって勝手な投稿をされる例や、アカウントを乗っ取ってニセの通販サイトの宣伝をするスパムもある。Facebookならではの友人同士のつながりを利用して、ニセの通販サイトへの誘導やスパムの拡散などの被害が出ている。今回のようなブラウザーの拡張機能を使ったスパムはほかにも把握しており、詳細な手口を分析中だ」とコメントする。

FacebookのメッセージからYouTube動画の埋め込みに見せかけたサイトへ飛ばす手口が横行

 2015年6月8日ごろから、Facebookスパムが数多く出回っている。下の画像のように、自分がタグ付けされたアダルト動画の書き込みをされたり、同様のFacebookメッセージが届くスパムだ。

5月下旬からFacebookメッセージによるスパムが、6月8日ごろからはFacebookのタイムラインへ書き込むスパム(タグ付けによる拡散)が流行している。短縮URL、もしくはAmazonのAWS(Amazon Web Services、Amazonが提供するクラウドサービス)を経由して、偽YouTube動画(アダルト動画)が埋め込まれたサイトへ誘導するスパムだ
[画像のクリックで拡大表示]

 これらにはアダルト動画へのリンクが貼ってあり、クリックすると下のようなYouTube動画を埋め込んだように見せかけているサイトへ飛ぶ仕組みだ(AWS上に置いたサイトを経由する)。

誘導されるWebサイト。YouTubeの埋め込み動画のように見せているが、実際はサイトにあるChrome拡張機能へのリンクを読み込むもので、動画は再生されない
[画像のクリックで拡大表示]

 この動画の再生ボタンを押すと、下記のようなChromeの拡張機能(エクステンション)のインストール窓が開く流れだ。動画の再生にはこの拡張機能が必要なように見せかけている。

最終的には、Google公式のChromeストアにある、Chrome拡張機能を追加するポップアップが表示される。Facebookを乗っ取って、スパムを勝手に書き込む不正な拡張機能だ
[画像のクリックで拡大表示]

 ところが、実際にはこのChrome拡張機能は不正なものだった。筆者が調査したところ、ChromeでFacebookのアカウントを乗っ取り、勝手にタイムラインへの書き込みやメッセージ送信をする機能があるようだ(詳細は後述)。既存のChrome拡張機能と同じ名前を装っているが、実際にはFacebookスパム送信のためのニセの拡張機能だったのである。

 この拡張機能をChromeに導入してしまうと、以下のようなことがおきてしまう。

■不正なChrome拡張機能を導入するとおきること
・Chromeで使っているFacebookアカウントのIDとパスワードを取得
・Facebookアカウントを乗っ取り、友人あてにアダルト動画へのリンクが付いたスパムメッセージを送る
・Facebookのタイムラインにアダルト動画を投稿する。友人あてにタグ付けもする

 この手口は、2014年の7月頃から見受けられるもので、筆者が検証した「Facebookスパム送信の不正プラグインに注意」でも手口と対策を紹介している。手口と背景については、このあとで紹介したい。