Facebookビジネスページに偽reCAPTCHA型フィッシングーMeta Manegerを名乗る偽ページから受信箱に誘導

セキュリティニュース

投稿日時: 更新日時:

Facebookビジネスページに偽reCAPTCHA型フィッシングーMeta Manegerを名乗る偽ページから受信箱に誘導

当サイト「セキュリティ対策Lab」のFacebookビジネスページ受信箱(メタビジネスマネージャー)に、Metaのサポートを装ったClickFix型フィッシングが届きました。実際に届いた攻撃の手順を6枚のスクリーンショットとともに解説します。

攻撃者はFacebook上で「レビュー処理センター」という偽ページを作成し、「Meta Maneger(スペル:本来は”Manager”)」と称してビジネスページの管理者へ「通報を受けたため24時間以内にページが制限される」と偽の緊急通知を送信。

クリックすると偽reCAPTCHAが表示され、最終的にverified-business.centerというFacebookと無関係のドメインで氏名・メールアドレス・生年月日・電話番号等の個人情報を窃取しようとします。

この記事のサマリー

  • 攻撃経路:FacebookビジネスページのMetaビジネスマネージャー受信箱に偽の「Meta Maneger」ページからメッセージが届きます。
  • 最終的な偽サイトverified-business.center/contact/...でMetaの「プライバシーセンター」を模した「ポリシー違反」画面を表示。「異議申し立てフォーム」でフルネーム・個人メール・ビジネスメール・生年月日・Facebookページ名・携帯電話番号を収集しようとします。
  • 即時に分かる偽物の証拠:URLがfacebook.comでもmeta.comでもなくverified-business.center。送信元の名前が「Meta Maneger」(スペルミス)。送信元ページが「マーケティング会社」として登録されています。
  • Metaはビジネスページへのメッセージで警告を発することはありません。公式通知はメール(facebookmail.comドメイン)またはMetaビジネスマネージャーの通知欄から確認できます。

攻撃の全フロー—6ステップの詳細解説

ステップ1:Facebookビジネスページ受信箱への偽警告メッセージ

攻撃の起点はMetaビジネスマネージャーの受信箱に届く一通のメッセージです。

送信元は「Meta Maneger」という名前のFacebookページ。「Meta Manager」ではなく「Maneger」という明確なスペルミスがある点が最初の異変です

このページはプロフィールに水色の認証バッジを付けて本物らしく見せていますが、Facebookの公式ページ分類では「マーケティング会社」として登録されています(スクリーンショット3枚目)。

メッセージの文面は以下の通りです。

⚠️ 警告!

お客様のページは、通報を受けたため一時的に制限されています。

この制限は24時間適用されます。

必要な是正措置を直ちに行ってください。お問い合わせください。

そして「レビュー処理センター」というボタンが表示されています。

ステップ2:Facebookの投稿「本人確認のため〔お問い合わせ〕にアクセスしてください。」

「Meta Maneger」ページは投稿も行っており、「Meta Business Support」という偽のタグを付けた投稿で「本人確認のため、【お問い合わせ】にアクセスしてください。」と誘導します(スクリーンショット3枚目)。Facebookの投稿に埋め込まれた「お問い合わせ」リンクをクリックすると次のステップへ進みます。

ステップ3:偽reCAPTCHAによる誘導(verified-business.center/live)

誘導先URLはhttps://verified-business.center/live?fbclid=...です

このページはMetaのロゴとGoogleのreCAPTCHA「I’m not a robot」チェックボックスを表示しています。一見すると正規のCAPTCHA認証に見えますが、これは偽物で見た目上本物のページである事を誤認させようとしています

下部のテキストには「reCAPTCHA Enterpriseを使用してハードウェアおよびソフトウェア情報を収集する」という本物らしい説明文まで添えられており、精巧に作られています。

ステップ4:偽「Metaプライバシーセンター」——「ポリシー違反」ページ(verified-business.center/contact/…)

reCAPTCHAを「クリア」すると、https://verified-business.center/contact/1778544394268へ遷移します(スクリーンショット4・5枚目)。

このページはMetaの「プライバシーセンター」を模したデザインで、左サイドバーには「プライバシーセンターのホームページ」「検索」「プライバシーポリシー」「その他の規則および条項」「設定」というナビゲーションまで再現されています。

メインコンテンツには赤いアイコンで「ポリシー違反」と表示され、以下の文が記載されています。

不審なアクティビティ、または利用規約違反の可能性が検出されました。Metaプラットフォームとそのユーザーを保護するため、お客様のアカウントは無効化される予定です。この措置が誤りであると思われる場合は、直ちにセキュリティチームに審査依頼を提出してください。

青いボタン「レビューを依頼する」が表示されています。

ステップ5:「異議申し立てフォーム」による個人情報収集(スクリーンショット6枚目)

「レビューを依頼する」をクリックすると「異議申し立てフォーム」のモーダルが表示されます。収集しようとする情報は以下の通りです。

項目 危険度
フルネーム
個人用メールアドレス
ビジネスメール
生年月日 非常に高
Facebookページ名
携帯電話番号(+81形式) 非常に高

「利用規約に同意します」のチェックボックスと「提出する」ボタンが配置されており、フォームの最下部には「∞ Meta」のロゴが表示されて正規サービスのように偽装されています。


偽物を見分ける5つのポイント

URLを確認するとして、本物のMetaのサポートURLは必ずfacebook.commeta.comfb.comのいずれかのドメインです。今回のverified-business.centerは完全に無関係の第三者ドメインです。「verified」という単語が含まれていても、それはドメイン名に過ぎず信頼性の保証にはなりません。

送信元の名前のスペルミスを確認するとして、「Meta Manager」が正しいスペルですが、今回の攻撃では「Meta Maneger」というスペルミスがあります。急いで作成された偽アカウントでは、こうした誤字が見られることがあります。

ページの種類を確認するとして、Facebookページの「情報」セクションを確認してください。正規のMetaのページが「マーケティング会社」に分類されているはずはありません。

Metaは受信箱で警告を送らないとして、Metaからのビジネスページへのアカウントステータスやポリシー違反に関する公式通知は、登録メールアドレス宛の@facebookmail.comドメインのメール、またはビジネスマネージャーの通知欄からのみ届きます。受信箱(メッセージ)での連絡はありません。

フォームで求められる情報の種類を確認するとして、Meta・Facebookのアカウント確認で「生年月日」「携帯電話番号」を異議申し立てフォームで収集することはありません。これらの情報は、フィッシングで入手した後になりすまし・SIMスワッピング・二要素認証突破に悪用されます。

被害を受けた・フォームを送信してしまった場合の対処

フォームを送信してしまった場合の緊急対応として以下を実施してください。

Facebookアカウントのパスワードを直ちに変更し、二要素認証(2FA)の設定状況を確認してください(設定先:Facebookの設定→セキュリティとログイン)。

登録メールアドレスのパスワードも変更してください。メールアカウントを乗っ取られると、連鎖的に他のサービスへの不正アクセスが発生します。

携帯電話番号を入力した場合は、キャリアへ連絡してSIMスワッピング詐欺への警戒をお願いしてください。

フィッシングサイトへの報告として、Googleセーフブラウジングへの報告(https://safebrowsing.google.com/safebrowsing/report_phish/)と、フィッシング対策協議会(https://antiphishing.jp/)への通報が有効です。


参考情報