Internet Watch logo
記事検索
最新ニュース

HTAファイル悪用するワンクリ詐欺、巧妙な仕組み明らかに

トレンドマイクロが検証結果を報告

動かせないウインドウと「×」ボタンで表示される「入会完了ページ」
 HTAファイルを悪用したワンクリック詐欺の新たな手口について、トレンドマイクロは7日、検証した結果を同社ブログで公表し、その巧妙な仕組みを明らかにした。

 この手口では、アダルトサイトで動画を閲覧しようとするとHTA形式のファイルがダウンロード。これを実行してしまうと、画面にアダルト動画のウィンドウが表示され、マウスで動かすことができなくなる。また、ウィンドウの右上にある「×」ボタンをクリックしても、閉じるどころか請求画面を表示。以降、Windowsを再起動しても繰り返される。同様の手口については、情報処理推進機構(IPA)も報告していた。

 トレンドマイクロによれば、このHTAファイルのソースには、実行時のウィンドウ内に表示される動画ページの転送先URLが指定されており、ウィンドウの描画設定を細かく指定することで、ウィンドウを移動できなくしていた。しかし、Windows起動時に動作するようなレジストリ改変コードなどは見あたらなかったという。

 ところが、転送先URLのHTMLソースを見ると、「mshta http://<blocked>.com/regist2.php」というコードをレジストリの自動実行キーに追加するVBScriptコードが、暗号化されたかたちで埋め込まれていることがわかった。

 ここで指定されている「mshta(mshta.exe)」は、Windowsに標準搭載されている正規のシステムファイルで、セキュリティゾーンを無効にした状態で指定のサイトへアクセスさせることができる。そのため、Internet Explorer上では本来ブロックされるVBScriptコードも、「mshta.exe」経由でアクセスさせることで警告なしに実行されてしまうという。これが、Windows起動時に表示されるウィンドウの正体である。

 このほか、ウィンドウの「×」ボタンは実はGIFファイルで、「入会完了」画面に誘導するリンクが指定されていることも判明した。

 トレンドマイクロではこの手口の特徴として、1)EXEファイルより警戒するユーザーが少ないと思われるHTAファイルを使っている、2)HTAの中で転送させるため、ダウンロードファイルのソースだけではレジストリを改変させる悪質なコードを確認できない、3)転送先のHTMLには、暗号化されたVBScriptを使用し、人の目では動作が判別できないようにしている、4)「mshta.exe」を利用し、警告を出すこと無くスクリプトコードを実行させている――ことを挙げ、いかに巧妙かを指摘している。

 トレンドマイクロによれば、HTAファイルを利用するワンクリック詐欺サイトをこれまでに複数把握しているが、いずれも国内のサーバーで運営されているという。これらのサイトは、すべてほぼ同じサイト構成であることも確認しており、「詐欺サイトを少ない工数で広く分散させ、より多くの被害者を集めようとしていることがわかる」としている。


HTAファイルのソース HTAファイル内部で転送されるページのHTMLソース

関連情報

URL
  トレンドマイクロ公式ブログ
  http://blog.trendmicro.co.jp/archives/2729

関連記事
画像で見るワンクリック詐欺サイトの新たな手口(2009/04/08)
ワンクリ詐欺に新たな手口、PC設定改ざんで請求画面が消えず(2009/04/02)


( 増田 覚 )
2009/04/09 19:30

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.