Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

画像で見るワンクリック詐欺サイトの新たな手口

“消えない”請求画面が表示されるまで

 「ワンクリック不正請求」の新たな手口が2月ごろから出回っているとして、情報処理推進機構(IPA)が注意を喚起している。

 新たな手口では、アダルトサイトで動画を閲覧しようとすると、悪意のあるスクリプトの実行が促される。これに従うとPCの設定が改ざんされ、画面上に請求画面が表示される。この請求画面は、「閉じる」ボタンで消せないだけでなく、画面の端に移動することもできないという。

 本稿では、新たな手口を理解してもらうために、悪意のあるスクリプトによってPCの設定が改ざんされ、“消えない”請求画面が表示されるまでの一連の流れを画面キャプチャーで紹介する。記事後半では、新たな手口への予防策と事後対策も紹介する。

 なお、画面キャプチャーはIPAから提供を受けた。いずれもWindows XPで撮影したもので、必要に応じてモザイク処理を施している。


新たな手口を使ったワンクリック不正請求サイト。IPAでは、同様のサイトを4月7日までに5件確認した。なお、このサイトへ誘導するサイトについては、「アニメ・ゲームのサイトからリンクされている」という相談者の情報以外、IPAでは把握していないという

新たな手口を使ったワンクリック不正請求サイトで「20以上なので、入室する。」というボタンをクリックすると表示される画面

アダルト動画の再生ボタンをクリックすると、年齢確認とサイトの利用規約の同意が求められる。利用規約には、「当サイトは料金体系を定額制とし九十日五万八千円の利用料金が発生します。」と書かれている

年齢確認とサイトの利用規約に同意すると、改めて「最終確認」画面が表示される

「最終確認」に同意すると、動画再生手順の説明画面が表示される。ここで再生ボタンをクリックすると、「dougafile173.hta」というHTA形式のファイルのダウンロードに対するセキュリティの警告画面が表示される。「dougafile173.hta」の正体は悪意のあるスクリプトで、この警告を無視して実行してしまうと、“消えない”請求画面が表示されることになる。ちなみに、動画再生手順にはセキュリティの警告画面で「実行」ボタンをクリックするように仕向けているが、これはワナである

「dougafile173.hta」(悪意のあるスクリプト)を実行すると表示される請求画面のウィンドウ。「有料アダルトサイトへご入会ありがとうございます!」という文言とともに、期限内に料金を指定口座へ振り込むように求められる。このウィンドウはInternet Explorerで表示されている。画面右上には「×」(閉じる)ボタンがあるが、押してもウィンドウが消えないほか、動かすこともできない。これは「dougafile173.hta」によってウィンドウの描画設定が指定されているためだ

請求画面の「確認」ボタンをクリックすると表示される画面

請求画面の「ご案内」ボタンをクリックすると表示される画面。「お客様のIPアドレス」と「お客様のプロバイダ」を表示することで、業者がユーザーの個人情報を把握しているような印象を与えている。しかし、IPアドレスやプロバイダ名がわかっていても個人名や住所を把握することはできないので、あせって振り込んだり、業者に問い合わせるのは避けるべきだ

請求画面を消すには、Windowsのシステム構成を診断・修復するソフトウェア「システム構成ユーティリティ」を利用して、追加されたスタートアップ項目を解除する方法がある。スタートアップ項目の上から7番目にある「mshta」が請求画面に該当する。IPAによれば、「mshta(.exe)」はWindowsに標準搭載されている正規のシステムファイルで、セキュリティゾーンを無効にした状態で指定したサイトへアクセスさせられるという

「システム構成ユーティリティ」のスタートアップ項目から「mshta」を解除したところ

改ざん前のレジストリのRunキー

改ざん後のレジストリのRunキー。「mshta」が登録されていることがわかる

 IPAによれば、新たな手口を使ったワンクリック不正請求サイトは、4月7日時点までに5件確認された。うち、4件のサイトが配布する悪意のあるスクリプトはウイルス対策ソフトで検知できたものの、残りの1件のサイトでは全く検知されなかったという。

 IPAでは、同様の手口を利用するワンクリック不正請求サイトが今後も増える可能性があると指摘。被害に遭わないようにするには、スクリプトが実行される前に表示されるWindowsのセキュリティ警告画面の内容を良く読み、安易に「実行」ボタンを押さないようする必要があるとしている。


セキュリティ警告画面の例

 悪意のあるスクリプトを実行してしまった場合は、Windowsのシステム構成を診断・修復するソフトウェア「システム構成ユーティリティ」を利用して、追加されたスタートアップ項目を解除する方法がある。

 ただし、完全に設定情報を元に戻すためにはレジストリを編集する必要があり、編集を誤るとPCが起動しなくなる危険があるため、自信がない場合は編集しないよう呼びかけている。

 対処方法がわからない場合は、IPAの電話相談窓口「コンピュータウイルス 110番」に連絡してほしいとしている。


関連情報

URL
  ニュースリリース(ワンクリック不正請求の新たな手口について)
  http://www.ipa.go.jp/security/txt/2009/04outline.html
  コンピュータウイルス 110番
  http://www.ipa.go.jp/security/virus110/

関連記事
ワンクリ詐欺に新たな手口、PC設定改ざんで請求画面が消えず(2009/04/02)
画像で見るワンクリック詐欺サイトのよくある手口(2006/07/26)


( 増田 覚 )
2009/04/08 11:59

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.