 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
画像で見るスパイウェアの巧妙な配布方法 |
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
動画コーデックやセキュリティ対策ソフトを装う手口に騙されるな
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||
この数値は、トロイの木馬やアドウェアなどのほかに、不正なCookieも含んだものだ。感染率が7割程度だった2005年下半期に比べると、着実に感染率が高まっている。 感染率が高まっている背景として、ウェブルート・ソフトウェアの野々下幸治テクニカルサポートディレクターは、「スパイウェアの配布方法が巧妙化している」と指摘。そこで同社の協力を得て、日本人が多く被害を受けているスパイウェアの巧妙な配布方法を画像キャプチャとともに解説したい。 ウェブルート・ソフトウェアは、スパイウェア対策ソリューションを提供する米Webroot Softwareの日本法人。個人向けにはスパイウェア対策ソフト「Spy Sweeper」を販売している。 ● Windows Media Player用のコーデックに見せかけるトロイの木馬
Zlobは、Windows Media Player用のコーデックと見せかけてインストールさせるトロイの木馬。感染すると、アドウェアや偽のスパイウェア対策ソフトなどのマルウェアを勝手にインストールするという被害がもたらされる。 Zlobは、海外のアダルトサイトで配布されることが多いという。感染例としては、次のようなものだ。 まず、ユーザーがあるアダルト動画を閲覧しようと試みると、「動画を再生するには新たなコーデックが必要」といったメッセージが表示される。この指示に従ってコーデックをインストールすると、Zlobもあわせてインストールされてしまうのだ。 「Zlobは、海外のアダルトサイトで配布されているにもかかわらず、日本人の被害が多い。おそらく、アダルトサイトのリンクを開いていくうちに、Zlobを配布するWebサイトにたどり着いたのでは」(野々下氏) Zlobは、亜種が大量に発生していることも特徴だ。そのため、「ウイルス対策ソフトの定義ファイルでは、登場したばかりのZlobの亜種を検知できない状況」という。
● 実在しない脅威を“検知”、偽セキュリティ対策ソフトを押し売り
これらの偽セキュリティ対策ソフトでスキャンを実行すると、実際にPCからウイルスやスパイウェアを検出したようなふりをし、これを駆除するために正規版を購入するように促す。なお、偽セキュリティ対策ソフトは、押し売りをする以外に、ユーザーのPC上の行動を監視するなど、その他の被害をもたらすことはないという。 ユーザーを騙す手口としては、「エラーが見つかりました」などと警告するポップアップ広告を経由して、偽のセキュリティ対策ソフトを配布するWebサイトに誘導するケースが多い。Webサイト上には、クレジットカードによる決済画面が用意されている。決済可能なクレジットカード会社では、VISAやMasterのほかに、日本人を標的としてJCBに対応しているケースもある。 これらのWebサイトは日本語で書かれているため、一見セキュリティベンダーのWebサイトと勘違いしやすい。しかし、注意深く読むと誤字や不自然な日本語が目立つことから、海外の詐欺団が使用していたWebサイトを日本語化したものだと推測できる。例えば、Webサイト上の購入画面では、金額が「4999円」や「\4500.00」など、不自然な価格設定が見られる。 にもかかわらず、これを真に受けてしまったユーザーが、騙されてお金を支払う被害が後を絶たない。野々下氏によれば、詐欺団は、支払い代行業者を通じてクレジットカード決済を行なっているという。被害者によれば、Webサイトで表示されている金額の引き落としが確認されたとしている。また、一部の偽セキュリティ対策ソフトは、支払い契約で更新契約が自動で行なわれる旨を記述していることから、毎年、ソフトウェアの金額が引き落とされる可能性もあるという。 詐欺団が顧客のカード番号を悪用する可能性については、「クレジットカード会社は、支払い代行業者に対してカード番号の保存を禁じている。違反した場合は、クレジットカード会社と契約できなくなるため、代行業者から詐欺団にカード情報が流されることは考えにくい」(野々下氏)との見解を示す。
● セキュリティ対策ソフトを装うアドウェア、新作も“リリース”
最近では、偽セキュリティ対策ソフトの新種として、「SystemDoctor」が“リリース”された。SystemDoctorも、これまでのWinAntiVirus ProやWinAntiSpyware 2005と同様の手口で、実際には存在しない脅威が見つかったと警告。これを修復するには登録料が必要だとして、SystemDoctorを押し売りする。 偽のセキュリティ対策ソフト以外にも、「RealPlayer」とそっくりの「Really?」というロゴマークを掲げる動画プレーヤーソフト「MagPlayer」をダウンロードさせて、押し売りする手口も報告されている。あるサイトにおいて、世界のプレミアムムービーにアクセスできると説明し、プレーヤーをダウンロードさせようとするものだ。説明通りにインストールすると、「本ソフトウェアの購入料金をお支払い下さい」との画面が一定時間ごとに表示される。
● SNS「MySpace」を悪用してスパイウェアを配布、日本に上陸する可能性も
この手口ではまず、MySpace上のプロフィールから、MySpaceとは関係ない動画配信サイトに誘導する。そのWebサイトで動画を閲覧しようとすると、コーデックをインストールするように求められるという。Zlobと同様のパターンだ。 これに従いコーデックをインストールすると、アドウェア「Zango」に感染してしまう。Zangoは、ユーザーの検索キーワードやWebサイトの閲覧履歴を監視し、ユーザーの嗜好に応じたポップアップ広告を表示する。 ただし、Zlobと異なる点としては、Zangoの場合、コーデックをインストールする際にEULA(使用許諾契約書)が表示されることだ。EULAでは、コーデックとともにZangoをインストールすることを明記している。一方、ZlobはEULAが表示されることなく、インストールされてしまう。そのため、ZangoはZlobと比べると、多少は“良心的”と言える。 また、MySpaceを介したスパイウェアの配布方法では、さらに悪質な手口も確認されている。MySpaceのプロフィール上で動画を再生するためのソースコードを悪用したものだ。このソースコードはWebサイトで公開されていて誰でも利用できるようになっているが、ソースコードはスパイウェアを配布するように仕組まれている。 これを知らずに、このソースコードをMySpaceのプロフィール上に貼り付けるケースが出ているという。MySpaceに訪れるユーザーは、MySpaceに掲載されている動画ということで、警戒心を緩めてしまいがちだが、動画の閲覧を試みると、コーデックのインストールが求められ、これに従うとZangoがインストールされてしまう。 こうしたSNSを悪用したスパイウェアの配布方法は、現在のところ海外でしか確認されていない。しかし、偽のセキュリティ対策ソフトのように、海外で登場したスパイウェアの配布手段が時期を遅くして日本に上陸していることを考えると、SNSを悪用してスパイウェアを配布する手口が、日本にも出てくる可能性は否定できないという。 このほか、iframeなどを利用してスパイウェアが埋め込まれたWebサイトを閲覧したユーザーが、スパイウェアに感染するケースもある。ユーザーが、Windowsメタファイルの脆弱性を解消していないと、Internet Explorerを通じてスパイウェアがインストールされてしまうのだ。
● ウイルス対策ソフトでは、トロイの木馬の新種を検知しきれない
「スパイウェア対策ソフトを利用し、定期的に定義ファイルを更新することが重要。最近では、ウイルス対策ソフトでもスパイウェアを検知するものが増えてきたが、亜種が大量発生するトロイの木馬を検知することは難しい。ウイルス対策ソフトは、PCに侵入するのを防ぐのが目的。そのため、いったんトロイの木馬に侵入されると、その後、トロイの木馬がさまざまなマルウェアをダウンロードしても検知できないのが現状だ」 関連情報 ■URL ウェブルート・ソフトウェア http://www.webroot.com/jp/ ■関連記事 ・ 偽セキュリティ対策ソフト「SystemDoctor 2006」に日本語版が登場(2006/09/05) ・ 動画コーデックやSNSでのスパイウェア配布に注意~ウェブルート(2006/08/23) ・ 日本でもセキュリティソフトを装うスパイウェア被害が増加~ウェブルート(2006/06/29) ・ 画像で見るワンクリック詐欺サイトのよくある手口(2006/07/26)
( 増田 覚 )
- ページの先頭へ-
|
