昨日の記事で、Cost Per Action(CPA)サーベイを「apps.facebook.com」でFacebookアプリケーションに埋め込む方法を見つけたスパマーについて書いた。
Matthewという名の注意深い読者が、まったく同様のテクニックを使用したフィッシング攻撃について、我々に知らせてくれた。
そのフィッシャーのフォームは、「facebook.com」にシームレスにフィットしている:
![Account Security on Facebook](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing01.png)
幸いなことに、これはまだ初期段階にあるようで、数値を見ると広まってはいない。
![Department of Facebook Security](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing02.png)
Facebookセキュリティ部門? キュートだ。
同アプリページのIFrameが問題の原因だ:
![IFrame](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing03.png)
application.phpページではなく、アプリのページだ。(これが何と呼ばれているのか、我々にはよく分からない… 「Go to App」ボタンをクリックすると、開くページだ。)
このIFrameは、改ざんされたWebサイトからロードされるが、それは衣類のショップのようで、インドネシアでホスティングされている。
![okrek.com](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing04.png)
我々はこのフィッシングフォームに、偽の情報を含めて入力しようとしたところ、以下のプロンプトが現れた:
![The password you entered is incorrect](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing05.png)
このフォームは、入力された際に詳細をテストしているようだ。
このサイトでは右クリックも使えない。
![Right click is not allowed on this page.](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing06.png)
Facebookで、これに関する話は多くないようだ。フィッシングリンクは潜在的な犠牲者に電子メールで送られているのかもしれない。
以下は我々が見つけた1例だ:
![Security Warning From Facebook](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing07.png)
Facebookは数ヶ月前、アプリケーションにIFramesを導入した。TrendのRik Fergusonは、この問題について2月にブログで記事を書いている。
InformationWeekのDavid F. Carrは、「Facebook iFrame:ビジネスには好ましく、セキュリティには好ましくない?」という記事を3月21日に書いている。
そして現在、ついにこの問題に対処する必要があるように思われる。IFramesを介したFacebook.comでのスパム、フィッシングそしてマルウェアのホスティングはすぐに、非常に深刻な悩みの種になる可能性がある。
我々はFacebookのセキュリティチームとコンタクトをとっており、彼らはこの問題について調査中だ。
Matthewという名の注意深い読者が、まったく同様のテクニックを使用したフィッシング攻撃について、我々に知らせてくれた。
そのフィッシャーのフォームは、「facebook.com」にシームレスにフィットしている:
![Account Security on Facebook](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing01.png)
幸いなことに、これはまだ初期段階にあるようで、数値を見ると広まってはいない。
![Department of Facebook Security](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing02.png)
Facebookセキュリティ部門? キュートだ。
同アプリページのIFrameが問題の原因だ:
![IFrame](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing03.png)
application.phpページではなく、アプリのページだ。(これが何と呼ばれているのか、我々にはよく分からない… 「Go to App」ボタンをクリックすると、開くページだ。)
このIFrameは、改ざんされたWebサイトからロードされるが、それは衣類のショップのようで、インドネシアでホスティングされている。
![okrek.com](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing04.png)
我々はこのフィッシングフォームに、偽の情報を含めて入力しようとしたところ、以下のプロンプトが現れた:
![The password you entered is incorrect](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing05.png)
このフォームは、入力された際に詳細をテストしているようだ。
このサイトでは右クリックも使えない。
![Right click is not allowed on this page.](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing06.png)
Facebookで、これに関する話は多くないようだ。フィッシングリンクは潜在的な犠牲者に電子メールで送られているのかもしれない。
以下は我々が見つけた1例だ:
![Security Warning From Facebook](http://www.f-secure.com/weblog/archives/FacebookAppsIFramePhishing07.png)
Facebookは数ヶ月前、アプリケーションにIFramesを導入した。TrendのRik Fergusonは、この問題について2月にブログで記事を書いている。
InformationWeekのDavid F. Carrは、「Facebook iFrame:ビジネスには好ましく、セキュリティには好ましくない?」という記事を3月21日に書いている。
そして現在、ついにこの問題に対処する必要があるように思われる。IFramesを介したFacebook.comでのスパム、フィッシングそしてマルウェアのホスティングはすぐに、非常に深刻な悩みの種になる可能性がある。
我々はFacebookのセキュリティチームとコンタクトをとっており、彼らはこの問題について調査中だ。