猛威を振るう偽セキュリティソフト、その手口と実態

is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。

is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。

2009/10/30

猛威を振るう偽セキュリティソフト、その手口と実態

「あなたのパソコンはウイルスに感染している」とウソのメッセージを出し、金銭や重要情報を盗み取る「偽セキュリティソフト」（FAKEAV）の被害が広まっています。今回は、猛威を振るう偽セキュリティソフトについて、攻撃の手口と最近確認されたソフトの例を紹介します。

偽セキュリティソフトの攻撃事例

有名なニュースサイトに偽セキュリティソフトへ誘導する不正な広告が表示されるという事件は、世間に衝撃を与えました。ほかにも、改ざんされた政府関連サイトや、検索エンジンでの検索結果から、偽セキュリティソフトを侵入させる手口が次々に発見されました。

米紙「New York Times」のWeb版が不正広告を掲載

米国大手メディア「New York Times」が、まんまとサイバー犯罪者の罠にはまり、同社のWeb版ニュースサイトに不正広告を掲載したという事件が起こりました。
この広告をクリックすると、パソコンが感染しているという偽の警告が表示され、偽セキュリティソフトの購入を促します。New York Timesは、迅速に事実を公表し、読者に注意を促しましたが、このような大手メディアの正規Webサイトは、人々が最も安心して利用する情報源だけに、今回の攻撃は世間に動揺を与えました。

複数のタイ政府関連サイトが改ざん

タイの政府関連サイトが複数改ざんされました。
ここにアクセスすると、複数の不正Webサイトへリダイレクトし、ダウンローダタイプのウイルスがダウンロードされます。これにより、偽セキュリティソフト、ルートキット、キーロガーなどがダウンロードされ、個人情報漏えいなどの被害が起こります。

改ざんされたタイ警察のWebサイト。ウイルスをダウンロードさせる不正な記述が挿入されている

インターネットの検索結果を操作する悪質なSEO攻撃が多発

偽セキュリティソフトをインストールさせる手口として、人々が検索しそうなキーワードの検索結果に、悪質なURLを登場させるSEO攻撃（SEOポイズニング）がしばしば使われます。
最近使われたキーワードには、フィリピンに大洪水をもたらした台風16号（「Ketsana（ケッツァーナ）」）、911アメリカ同時多発テロ事件記念、カリフォルニアの山火事などがありました。

「フィリピンの洪水」を検索すると偽セキュリティソフトをダウンロードさせるURLが検索結果に表示。「911」の関連キーワードで検索すると偽セキュリティソフトをダウンロードさせるURLが検索結果に表示。

正規のセキュリティソフトをダウンロードしようとして偽ソフトに誘導される

話題の出来事の検索結果だけではなく、なんと正規のセキュリティソフトを検索して、偽セキュリティソフトへ誘導される例も確認されました。検索エンジン「bing」および「altavista」で無料のセキュリティソフト「Malwarebytes」を検索すると、スポンサー広告欄に不正広告が表示され、偽セキュリティソフトに誘導されることになります。

「bing」のスポンサー広告欄に表示される不正広告（赤枠内の表示）

「altavista」のスポンサー広告欄に表示される不正広告（赤枠内の表示）

ビジネスSNS「LinkedIn」も偽セキュリティソフトに利用される

ビジネスに特化したSNS（ソーシャル・ネットワーキング・サイト）「LinkedIn」のプロフィールに、偽セキュリティソフトに誘導するリンクを含む不正なものが含まれていることが確認されました。

最近確認された偽セキュリティソフト

攻撃手法だけでなく偽セキュリティソフト自体も進化しており、本物と区別がつかないほど洗練された見た目を持つものも出現しています。最近確認された偽セキュリティソフトを紹介します。
なお、ここに挙げた偽セキュリティソフトは、トレンドマイクロ製品で「FAKEAV」等のウイルス名で検出します。

Personal Antivirus

ウイルス名「TROJ_FAKEALE.SMF」「TROJ_FRAUDPAC.LH」
この偽セキュリティソフトの一部がまず侵入します。実行するためには、追加のファイルをダウンロードする必要がありますが、該当のURLが現在アクセス不能であるため、インストールすることができず、「Installation error!（インストールエラー！）」というメッセージが表示されます。
New York TimesのWeb版に掲載された不正広告が誘導した偽セキュリティソフトです。

ウイルス名「TROJ_FAKEALE.SMF」「TROJ_FRAUDPAC.LH」Personal Antivirusの画面

Antivirus Pro 2010

ウイルス名：「TROJ_FAKEREAN.BW」
コンピュータに侵入した不正ファイルを削除するために、「完全版」を購入するように促します。購入しようとすると、特定のWebサイトに誘導され、クレジットカード番号などの個人情報を入力するよう指示されます。
改ざんされたタイ政府関連のWebサイトから侵入する偽セキュリティソフトです。

ウイルス名：「TROJ_FAKEREAN.BW」Antivirus Pro 2010の画面

Total Security

ウイルス名：「TROJ_FAKEAV.BND」
偽の感染警告およびスキャン結果を表示します。この偽セキュリティソフト自身に不具合があるため、インストールすることができません。しかし、特定のWebサイトへに勝手にアクセスするため、ほかの被害に遭うおそれがあります。
「Philippine Flood（フィリピンの洪水）」で検索した結果から誘導される偽セキュリティソフトです。

ウイルス名：「TROJ_FAKEAV.BND」Total Securityの画面

Malware Removal Bot

ウイルス名「TROJ_FAKEAV.DMZ」
この偽セキュリティソフトは、コンピュータが感染しているという警告を表示しますが、このソフトが“検出”するファイルは、実際には、コンピュータ上に存在しません。
検索エンジン「bing」および「altavista」で無料のセキュリティソフト「Malwarebytes」を検索した結果から誘導される偽セキュリティソフトです。

ウイルス名「TROJ_FAKEAV.DMZ」Malware　Removal Botの画面

Internet Antivirus Pro

ウイルス名「TROJ_FAKEAV.FGR」
SNS「Facebook」等で蔓延している「KOOBFACE」というウイルスによって侵入します。「Facebook」の偽ページを閉じると、「KOOBFACE」の一種がインストールされ、そのウイルスによって、「Internet Antivirus Pro」がダウンロードされます。

ウイルス名「TROJ_FAKEAV.FGR」Internet Antivirs Proの画面

PC Antispyware 2010

ウイルス名「TROJ_FAKEAV.BMZ」
偽セキュリティソフトのインストール時に、複数のゴミファイルも同時に作成し、“検索”時にゴミファイルをウイルスとして“検出”します。実際にファイルがコンピュータ内に存在するため、だまされやすくなります。
ほかのウイルスによって作成されたり、不正なWebサイトにアクセスしたことが原因で、インストールされます。

ウイルス名「TROJ_FAKEAV.BMZ」PC Antispyware 2010の画面

Quick VirusScanner

ウイルス名「TROJ_FAKEAV.BOH」
この偽セキュリティソフトには不具合があり、幸いにもインストールされることはありません。しかし、コードの解析によると、あるWebサイトへアクセスをするようです。
9月に入り、「911」というキーワードでアメリカ同時多発テロ事件を記念するニュースを検索しようとすると、悪質なSEO操作により、この偽ソフトに誘導されました。

ここに紹介した以外にも偽セキュリティソフトは多数確認されています。基本的な流れは、まずウソのウイルス感染画面でビックリさせます。そして、「ウイルスを駆除するために正規版の購入が必要」として、購入画面を表示し、個人情報やクレジットカード番号などを盗み取ります。中には、実際にクレジットカード決済を行うものもあります。
偽セキュリティソフト自身の不具合により、インストールされない場合もあります。しかし、そのようなときも、コンピュータが安全だとは言い切れません。信頼、実績のある正規のセキュリティソフトを使用し、コンピュータ内のウイルス検索をするようにしてください。