2016 年 9 月 28 日 Marc Laliberte 著

秘密の情報を知りたいと思う人間の好奇心につけこむ方法は、サイバー犯罪のよくある手口です。先週は、ブラッド・ピットとアンジェリーナ・ジョリーの離婚騒動を悪用し、Facebook ユーザーを標的としたフィッシング攻撃が発生しました。この攻撃は、ブラッド・ピットが自殺を図ったという偽の Fox ニュースへのリンクを使って、悪意ある Web サイトへと誘導していました。そして、不正サイトにアクセスすると、ユーザーの Facebook プロファイルを閲覧するための Facebook の権限がそのページから要求されるようになっていました。

Facebook は、悪意あるブラウザの拡張機能によって感染したアカウントにこの偽の記事へのリンクが投稿されたことを認めました。ブラウザの拡張機能を悪用して Facebook 経由で攻撃を開始するというサイバー犯罪の手口は、今回が初めてではありません。今年初めに発生した別の攻撃では、Chrome の悪意ある拡張機能を利用してマルウェアがダウンロードされ、Facebook の投稿によって自動的にマルウェアが拡散されました。

また、この種のフィッシングサイトが、標的のコンピュータにマルウェアを送り込むエクスプロイトキットのホスティングに利用されることも少なくありません。今回の攻撃で盗まれたのは、被害者が Facebook に公開しているプロフィールから入手できる情報だけだったようですが、Facebook はリンクにアクセスしたユーザーに対し、自分のアカウントのパスワードを変更し、コンピュータでマルウェア感染のスキャンを実行することを推奨しています。

ユーザーは常に、Facebook の投稿や他の Web サイト、あるいは電子メールのいずれのリンクも、むやみにクリックしないように注意する必要があります。利用しているブラウザやブラウザのプラグインに最新のセキュリティパッチを含む最新のアップデートが適用されていないと、巧妙な方法で誘導されて、悪意あるリンクにアクセスしただけでコンピュータがマルウェアに感染してしまう恐れがあります。Facebook の場合であれば、サイトに投稿されているリンクやアプリでどのような権限が要求されているのかをよく確認する必要があります。正当な（あるいは、少なくとも悪意はない）リンクで特定の権限が必要になることもありますが、その場合であっても、機密情報や個人情報を簡単に盗まれる手段となり得ることに変わりありません。 – Marc Laliberte