Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

画像で見るスパイウェアの巧妙な配布方法

動画コーデックやセキュリティ対策ソフトを装う手口に騙されるな

個人のスパイウェア感染率(不正なCookieも含む)
 ウェブルート・ソフトウェアが8月23日、2006年第2四半期(4〜6月)におけるスパイウェアの被害状況をまとめた調査「State of Spyware」を発表した。それによると、個人ユーザーのスパイウェア感染率は89%に上るという。

 この数値は、トロイの木馬やアドウェアなどのほかに、不正なCookieも含んだものだ。感染率が7割程度だった2005年下半期に比べると、着実に感染率が高まっている。

 感染率が高まっている背景として、ウェブルート・ソフトウェアの野々下幸治テクニカルサポートディレクターは、「スパイウェアの配布方法が巧妙化している」と指摘。そこで同社の協力を得て、日本人が多く被害を受けているスパイウェアの巧妙な配布方法を画像キャプチャとともに解説したい。

 ウェブルート・ソフトウェアは、スパイウェア対策ソリューションを提供する米Webroot Softwareの日本法人。個人向けにはスパイウェア対策ソフト「Spy Sweeper」を販売している。


Windows Media Player用のコーデックに見せかけるトロイの木馬

Windows Media Playerの動画コーデックに見せかけて、「Zlob」を含む実行ファイルをダウンロードさせようとする
 野々下氏によれば、多くの日本人が被害に遭っているスパイウェアとして、動画のコーデックと一緒にインストールされるトロイの木馬「Zlob」と、セキュリティ対策ソフトを装うアドウェア「WinAntiVirus Pro 2006」や「WinAntiVirusPro」などを挙げる。

 Zlobは、Windows Media Player用のコーデックと見せかけてインストールさせるトロイの木馬。感染すると、アドウェアや偽のスパイウェア対策ソフトなどのマルウェアを勝手にインストールするという被害がもたらされる。

 Zlobは、海外のアダルトサイトで配布されることが多いという。感染例としては、次のようなものだ。

 まず、ユーザーがあるアダルト動画を閲覧しようと試みると、「動画を再生するには新たなコーデックが必要」といったメッセージが表示される。この指示に従ってコーデックをインストールすると、Zlobもあわせてインストールされてしまうのだ。

 「Zlobは、海外のアダルトサイトで配布されているにもかかわらず、日本人の被害が多い。おそらく、アダルトサイトのリンクを開いていくうちに、Zlobを配布するWebサイトにたどり着いたのでは」(野々下氏)

 Zlobは、亜種が大量に発生していることも特徴だ。そのため、「ウイルス対策ソフトの定義ファイルでは、登場したばかりのZlobの亜種を検知できない状況」という。


「Zlob」に感染すると、スパイウェア対策ソフトを装うアドウェア「Spyware Quake」をインストールされることが多い さまざまなウイルス対策ソフトでオンラインウイルスチェックを行なうWebサイト「VirusTotal」で、発生したばかりの「Zlob」亜種を含む実行ファイルを検索した結果。定義ファイルに登録されているのはわずかしかない。

実在しない脅威を“検知”、偽セキュリティ対策ソフトを押し売り

セキュリティ対策ソフトを装う「WinAntiVirusPro」の操作画面
 セキュリティ対策ソフトを装うアドウェアとしては、「WinAntiVirusPro」や「WinAntiSpyware 2005」などが挙げられる。

 これらの偽セキュリティ対策ソフトでスキャンを実行すると、実際にPCからウイルスやスパイウェアを検出したようなふりをし、これを駆除するために正規版を購入するように促す。なお、偽セキュリティ対策ソフトは、押し売りをする以外に、ユーザーのPC上の行動を監視するなど、その他の被害をもたらすことはないという。

 ユーザーを騙す手口としては、「エラーが見つかりました」などと警告するポップアップ広告を経由して、偽のセキュリティ対策ソフトを配布するWebサイトに誘導するケースが多い。Webサイト上には、クレジットカードによる決済画面が用意されている。決済可能なクレジットカード会社では、VISAやMasterのほかに、日本人を標的としてJCBに対応しているケースもある。

 これらのWebサイトは日本語で書かれているため、一見セキュリティベンダーのWebサイトと勘違いしやすい。しかし、注意深く読むと誤字や不自然な日本語が目立つことから、海外の詐欺団が使用していたWebサイトを日本語化したものだと推測できる。例えば、Webサイト上の購入画面では、金額が「4999円」や「\4500.00」など、不自然な価格設定が見られる。

 にもかかわらず、これを真に受けてしまったユーザーが、騙されてお金を支払う被害が後を絶たない。野々下氏によれば、詐欺団は、支払い代行業者を通じてクレジットカード決済を行なっているという。被害者によれば、Webサイトで表示されている金額の引き落としが確認されたとしている。また、一部の偽セキュリティ対策ソフトは、支払い契約で更新契約が自動で行なわれる旨を記述していることから、毎年、ソフトウェアの金額が引き落とされる可能性もあるという。

 詐欺団が顧客のカード番号を悪用する可能性については、「クレジットカード会社は、支払い代行業者に対してカード番号の保存を禁じている。違反した場合は、クレジットカード会社と契約できなくなるため、代行業者から詐欺団にカード情報が流されることは考えにくい」(野々下氏)との見解を示す。


「WinAntiVirusPro」では“スキャン”を実行できるが、その効果は疑問視される。実在しない脅威を“検知”して、ユーザーに正規版を購入させることも 「WinAntiVirusPro」の決済画面。「全対安全パッケージ」や「70%以上を貯金!」「情報の盗人」など、ツッコミどころが満載だ。日本人を狙って、JCBカードによる決済にも対応している。押し売りサイトとはいえ、SSLをサポートしていることも注目

セキュリティ対策ソフトを装うアドウェア、新作も“リリース”

IPAに寄せられる、偽セキュリティ対策ソフトの押し売りに関する相談件数の推移
 従来、このような偽セキュリティ対策ソフトは英語版が広まっていたが、日本語にローカライズされたことにより、日本人の被害が急増。情報処理推進機構セキュリティセンター(IPA/ISEC)によれば、偽セキュリティ対策ソフトに関する相談件数は、4月に40件、5月に41件を記録。その後、6月は24件に減少したが、7月に43件、8月に33件と、継続的に相談が寄せられているという。

 最近では、偽セキュリティ対策ソフトの新種として、「SystemDoctor」が“リリース”された。SystemDoctorも、これまでのWinAntiVirus ProやWinAntiSpyware 2005と同様の手口で、実際には存在しない脅威が見つかったと警告。これを修復するには登録料が必要だとして、SystemDoctorを押し売りする。

 偽のセキュリティ対策ソフト以外にも、「RealPlayer」とそっくりの「Really?」というロゴマークを掲げる動画プレーヤーソフト「MagPlayer」をダウンロードさせて、押し売りする手口も報告されている。あるサイトにおいて、世界のプレミアムムービーにアクセスできると説明し、プレーヤーをダウンロードさせようとするものだ。説明通りにインストールすると、「本ソフトウェアの購入料金をお支払い下さい」との画面が一定時間ごとに表示される。


セキュリティ対策ソフトを装うアドウェアの新種「SystemDoctor」 日本語版「SystemDoctor」のもととなった英語版のWebサイト

「SystemDoctor」がインストールされているところ 「SystemDoctor」で“スキャン”を実行しているところ

「SystemDoctor」の“スキャン”結果。「システムエラーが300個見つかりました」として、実在しない脅威を“検知” 脅威を修復するためにはユーザー登録が必要だとして、製品版の購入を促す。登録料の「¥4500.00」という表記方法に違和感が

「MagPlayer」という、「RealPlayer」と類似した動画プレーヤーを押し売りする手法も確認されている

SNS「MySpace」を悪用してスパイウェアを配布、日本に上陸する可能性も

「MySpace」のプロフィールから、MySpaceとは関係のない動画配信サイトに誘導。動画を閲覧しようとすると、コーデックのダウンロードを要求される
 海外における事例としては、世界最大のSNS「MySpace」を悪用してスパイウェアを配布する手口が報告されている。

 この手口ではまず、MySpace上のプロフィールから、MySpaceとは関係ない動画配信サイトに誘導する。そのWebサイトで動画を閲覧しようとすると、コーデックをインストールするように求められるという。Zlobと同様のパターンだ。

 これに従いコーデックをインストールすると、アドウェア「Zango」に感染してしまう。Zangoは、ユーザーの検索キーワードやWebサイトの閲覧履歴を監視し、ユーザーの嗜好に応じたポップアップ広告を表示する。

 ただし、Zlobと異なる点としては、Zangoの場合、コーデックをインストールする際にEULA(使用許諾契約書)が表示されることだ。EULAでは、コーデックとともにZangoをインストールすることを明記している。一方、ZlobはEULAが表示されることなく、インストールされてしまう。そのため、ZangoはZlobと比べると、多少は“良心的”と言える。

 また、MySpaceを介したスパイウェアの配布方法では、さらに悪質な手口も確認されている。MySpaceのプロフィール上で動画を再生するためのソースコードを悪用したものだ。このソースコードはWebサイトで公開されていて誰でも利用できるようになっているが、ソースコードはスパイウェアを配布するように仕組まれている。

 これを知らずに、このソースコードをMySpaceのプロフィール上に貼り付けるケースが出ているという。MySpaceに訪れるユーザーは、MySpaceに掲載されている動画ということで、警戒心を緩めてしまいがちだが、動画の閲覧を試みると、コーデックのインストールが求められ、これに従うとZangoがインストールされてしまう。

 こうしたSNSを悪用したスパイウェアの配布方法は、現在のところ海外でしか確認されていない。しかし、偽のセキュリティ対策ソフトのように、海外で登場したスパイウェアの配布手段が時期を遅くして日本に上陸していることを考えると、SNSを悪用してスパイウェアを配布する手口が、日本にも出てくる可能性は否定できないという。

 このほか、iframeなどを利用してスパイウェアが埋め込まれたWebサイトを閲覧したユーザーが、スパイウェアに感染するケースもある。ユーザーが、Windowsメタファイルの脆弱性を解消していないと、Internet Explorerを通じてスパイウェアがインストールされてしまうのだ。


「MySpace」のプロフィール上で動画を再生するためのソースコードが公開されている。ソースコードはスパイウェアを配布するように仕組まれている iframeを利用してスパイウェアが埋め込まれたWebサイトを閲覧したユーザーが、スパイウェアに感染するケースもある。ユーザーが、Windowsメタファイルの脆弱性を解消していないと、Internet Explorerを通じてスパイウェアがインストールされる

ウイルス対策ソフトでは、トロイの木馬の新種を検知しきれない

スパイウェア対策ソフトの導入を勧めるウェブルート・ソフトウェアの野々下幸治テクニカルサポートディレクター
 日に日に配布方法が巧妙化されるスパイウェア。それでは、スパイウェアの被害からPCを守るには、どうすればよいのか野々下氏に聞いてみた。

 「スパイウェア対策ソフトを利用し、定期的に定義ファイルを更新することが重要。最近では、ウイルス対策ソフトでもスパイウェアを検知するものが増えてきたが、亜種が大量発生するトロイの木馬を検知することは難しい。ウイルス対策ソフトは、PCに侵入するのを防ぐのが目的。そのため、いったんトロイの木馬に侵入されると、その後、トロイの木馬がさまざまなマルウェアをダウンロードしても検知できないのが現状だ」


関連情報

URL
  ウェブルート・ソフトウェア
  http://www.webroot.com/jp/

関連記事
偽セキュリティ対策ソフト「SystemDoctor 2006」に日本語版が登場(2006/09/05)
動画コーデックやSNSでのスパイウェア配布に注意〜ウェブルート(2006/08/23)
日本でもセキュリティソフトを装うスパイウェア被害が増加〜ウェブルート(2006/06/29)
画像で見るワンクリック詐欺サイトのよくある手口(2006/07/26)


( 増田 覚 )
2006/09/12 11:38

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.