Facebookは、今週同社に対して行われた大規模なスパム攻撃の背後に誰がいたかを把握していると述べたが、名前は明らかにしていない。同社はその人物に対して法的措置を取るつもりだ。
Facebookはメディア各社に発表した声明の中で、専任の執行チームが「すでに責任者を特定しており、適切な対応が取られるよう法務チームと協力している」と述べた。
Facebookとスパマーとの関わりに詳しい人なら、Facebookがジュンコ・アーティストに関しては安易な脅しをしないことをご存知だろう。Facebookはスパム王のサンフォード・ウォレスを2年間追及し、今年初めに起訴に至った。
起訴状は、ウォレス氏が2008年と2009年にフェイスブックに2,700万件のスパムメッセージを大量に送りつけたと告発している。また、この迷惑メール王はフィッシング攻撃を使って被害者からユーザー名とパスワードを盗み、盗んだ認証情報を使って被害者のウォールにスパムを投稿したとも述べている。
今年初め、ハッカー集団「アノニマス」の一部メンバーがFacebookを攻撃すると脅迫したため、当初は攻撃の実行犯として同集団の名前が浮上した。しかし、同集団が11月5日に予定されていたFacebookへの攻撃を中止しただけでなく、攻撃に衝撃的なスパムを使うのが彼らのやり方ではないため、その可能性は低い。
今週のスパム攻撃
Facebookへのスパム攻撃は今週初めに始まり、多くのFacebookユーザーが、ニュースフィードにポルノや衝撃的なスパムが、どのようにしてそこにたどり着いたのか全くわからないまま表示され始めました。しばらく時間が経ちましたが、Facebookはついに攻撃があったことを認めました。
このソーシャルネットワークには、優れたセキュリティ対策が施されています。1秒間に65万件のアクションを分析するFacebook免疫システム(FIS)は、ソーシャルネットワークユーザーをアカウントを狙った悪意のある迷惑行為から効果的に保護していますが、欠点もあります。
例えば、今月初め、研究者たちはFISに検知されずに会員から情報を収集するボットネットを構築する方法を示しました。そして、言うまでもなく、最近のスパムメールの大量送信は検知を逃れました。
この攻撃は、メンバーを騙してブラウザのアドレスバーにJavaScriptコードを貼り付けさせることで行われました。このコードによって、メンバーは不快なコンテンツを友人と共有するようになりました。
Facebookの対応を称賛する一方で、あるセキュアブラウザメーカーは、ネットワーク上で自己感染型のJavaScript感染の問題が依然として残っていると付け加えた。「Facebookは最近のキャンペーンで使用された攻撃的なコンテンツのほとんどを削除しました」と、Zscalerのブログでマイク・ガイデ氏は述べている。「しかし、具体的な検索をしてみたところ、Facebookでこの自己感染型のJSインジェクション手法が使用されている例がいくつか見つかりました。」
「最も一般的なケースは、参加を促し、URL バーにいくつかの JS を入力する Facebook グループです」と彼は付け加えた。
Facebook メンバーにとって、ここでの教訓は自明の理です。ブラウザのアドレス バーにコンピューター コードを貼り付けないでください。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
