新たな手口を使ったワンクリック不正請求サイト。IPAでは、同様のサイトを4月7日までに5件確認した。なお、このサイトへ誘導するサイトについては、「アニメ・ゲームのサイトからリンクされている」という相談者の情報以外、IPAでは把握していないという

新たな手口を使ったワンクリック不正請求サイトで「20以上なので、入室する。」というボタンをクリックすると表示される画面

アダルト動画の再生ボタンをクリックすると、年齢確認とサイトの利用規約の同意が求められる。利用規約には、「当サイトは料金体系を定額制とし九十日五万八千円の利用料金が発生します。」と書かれている

年齢確認とサイトの利用規約に同意すると、改めて「最終確認」画面が表示される

「最終確認」に同意すると、動画再生手順の説明画面が表示される。ここで再生ボタンをクリックすると、「dougafile173.hta」というHTA形式のファイルのダウンロードに対するセキュリティの警告画面が表示される。「dougafile173.hta」の正体は悪意のあるスクリプトで、この警告を無視して実行してしまうと、“消えない”請求画面が表示されることになる。ちなみに、動画再生手順にはセキュリティの警告画面で「実行」ボタンをクリックするように仕向けているが、これはワナである

「dougafile173.hta」（悪意のあるスクリプト）を実行すると表示される請求画面のウィンドウ。「有料アダルトサイトへご入会ありがとうございます！」という文言とともに、期限内に料金を指定口座へ振り込むように求められる。このウィンドウはInternet Explorerで表示されている。画面右上には「×」（閉じる）ボタンがあるが、押してもウィンドウが消えないほか、動かすこともできない。これは「dougafile173.hta」によってウィンドウの描画設定が指定されているためだ

請求画面の「確認」ボタンをクリックすると表示される画面

請求画面の「ご案内」ボタンをクリックすると表示される画面。「お客様のIPアドレス」と「お客様のプロバイダ」を表示することで、業者がユーザーの個人情報を把握しているような印象を与えている。しかし、IPアドレスやプロバイダ名がわかっていても個人名や住所を把握することはできないので、あせって振り込んだり、業者に問い合わせるのは避けるべきだ

請求画面を消すには、Windowsのシステム構成を診断・修復するソフトウェア「システム構成ユーティリティ」を利用して、追加されたスタートアップ項目を解除する方法がある。スタートアップ項目の上から7番目にある「mshta」が請求画面に該当する。IPAによれば、「mshta（.exe）」はWindowsに標準搭載されている正規のシステムファイルで、セキュリティゾーンを無効にした状態で指定したサイトへアクセスさせられるという

「システム構成ユーティリティ」のスタートアップ項目から「mshta」を解除したところ

改ざん前のレジストリのRunキー

改ざん後のレジストリのRunキー。「mshta」が登録されていることがわかる

セキュリティ警告画面の例

（ 増田 覚 ）
2009/04/08 11:59

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.