先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった:
![fbspam (75k image)](http://www.f-secure.com/weblog/archives/fbspam.png)
興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:
![fakesecuritycheck (36k image)](http://www.f-secure.com/weblog/archives/fakesecuritycheck.png)
ユーザは基本的に、スクリプトのコピー・ペーストを実行する:
![fbspamcode (67k image)](http://www.f-secure.com/weblog/archives/fbspamcode.png)
そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。
それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。
受け取ったスパムは以下のようなものだ:
![friendspam (36k image)](http://www.f-secure.com/weblog/archives/friendspam.png)
次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)
次に、ブラウザの下に以下の表示が現れた:
![fbspamcode_latest (5k image)](http://www.f-secure.com/weblog/archives/fbspamcode_latest.png)
このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。
次に、ポップアップボックスが現れた:
![verificationfailnotice (36k image)](http://www.f-secure.com/weblog/archives/verificationfailnotice.png)
さらに、以下のページにリダイレクトされる:
![redirect (66k image)](http://www.f-secure.com/weblog/archives/redirect.png)
作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。
傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:
![fbspamcode2 (45k image)](http://www.f-secure.com/weblog/archives/fbspamcode2.png)
例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。
----
Threat Insight post by Shantini and Rauf
![fbspam (75k image)](http://www.f-secure.com/weblog/archives/fbspam.png)
興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:
![fakesecuritycheck (36k image)](http://www.f-secure.com/weblog/archives/fakesecuritycheck.png)
ユーザは基本的に、スクリプトのコピー・ペーストを実行する:
![fbspamcode (67k image)](http://www.f-secure.com/weblog/archives/fbspamcode.png)
そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。
それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。
受け取ったスパムは以下のようなものだ:
![friendspam (36k image)](http://www.f-secure.com/weblog/archives/friendspam.png)
次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)
次に、ブラウザの下に以下の表示が現れた:
![fbspamcode_latest (5k image)](http://www.f-secure.com/weblog/archives/fbspamcode_latest.png)
このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。
次に、ポップアップボックスが現れた:
![verificationfailnotice (36k image)](http://www.f-secure.com/weblog/archives/verificationfailnotice.png)
さらに、以下のページにリダイレクトされる:
![redirect (66k image)](http://www.f-secure.com/weblog/archives/redirect.png)
作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。
傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:
![fbspamcode2 (45k image)](http://www.f-secure.com/weblog/archives/fbspamcode2.png)
例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。
----
Threat Insight post by Shantini and Rauf