平素より「is702」をご利用いただき誠にありがとうございます。
本サイトでは新しいニュース情報の公開を終了しております。
インターネットセキュリティに関する最新ニュースは、法人のお客さま向けの「トレンドマイクロ セキュリティブログ」または、個人のお客さま向けの「ウイルスバスター セキュリティトピックス」をご利用ください。
トレンドマイクロ株式会社
2009/10/30
「あなたのパソコンはウイルスに感染している」とウソのメッセージを出し、金銭や重要情報を盗み取る「偽セキュリティソフト」(FAKEAV)の被害が広まっています。今回は、猛威を振るう偽セキュリティソフトについて、攻撃の手口と最近確認されたソフトの例を紹介します。
有名なニュースサイトに偽セキュリティソフトへ誘導する不正な広告が表示されるという事件は、世間に衝撃を与えました。ほかにも、改ざんされた政府関連サイトや、検索エンジンでの検索結果から、偽セキュリティソフトを侵入させる手口が次々に発見されました。
米国大手メディア「New York Times」が、まんまとサイバー犯罪者の罠にはまり、同社のWeb版ニュースサイトに不正広告を掲載したという事件が起こりました。
この広告をクリックすると、パソコンが感染しているという偽の警告が表示され、偽セキュリティソフトの購入を促します。New York Timesは、迅速に事実を公表し、読者に注意を促しましたが、このような大手メディアの正規Webサイトは、人々が最も安心して利用する情報源だけに、今回の攻撃は世間に動揺を与えました。
タイの政府関連サイトが複数改ざんされました。
ここにアクセスすると、複数の不正Webサイトへリダイレクトし、ダウンローダタイプのウイルスがダウンロードされます。これにより、偽セキュリティソフト、ルートキット、キーロガーなどがダウンロードされ、個人情報漏えいなどの被害が起こります。
偽セキュリティソフトをインストールさせる手口として、人々が検索しそうなキーワードの検索結果に、悪質なURLを登場させるSEO攻撃(SEOポイズニング)がしばしば使われます。
最近使われたキーワードには、フィリピンに大洪水をもたらした台風16号(「Ketsana(ケッツァーナ)」)、911アメリカ同時多発テロ事件記念、カリフォルニアの山火事などがありました。
話題の出来事の検索結果だけではなく、なんと正規のセキュリティソフトを検索して、偽セキュリティソフトへ誘導される例も確認されました。検索エンジン「bing」および「altavista」で無料のセキュリティソフト「Malwarebytes」を検索すると、スポンサー広告欄に不正広告が表示され、偽セキュリティソフトに誘導されることになります。
ビジネスに特化したSNS(ソーシャル・ネットワーキング・サイト)「LinkedIn」のプロフィールに、偽セキュリティソフトに誘導するリンクを含む不正なものが含まれていることが確認されました。
攻撃手法だけでなく偽セキュリティソフト自体も進化しており、本物と区別がつかないほど洗練された見た目を持つものも出現しています。最近確認された偽セキュリティソフトを紹介します。
なお、ここに挙げた偽セキュリティソフトは、トレンドマイクロ製品で「FAKEAV」等のウイルス名で検出します。
ウイルス名「TROJ_FAKEALE.SMF」「TROJ_FRAUDPAC.LH」
この偽セキュリティソフトの一部がまず侵入します。実行するためには、追加のファイルをダウンロードする必要がありますが、該当のURLが現在アクセス不能であるため、インストールすることができず、「Installation error!(インストールエラー!)」というメッセージが表示されます。
New York TimesのWeb版に掲載された不正広告が誘導した偽セキュリティソフトです。
ウイルス名:「TROJ_FAKEREAN.BW」
コンピュータに侵入した不正ファイルを削除するために、「完全版」を購入するように促します。購入しようとすると、特定のWebサイトに誘導され、クレジットカード番号などの個人情報を入力するよう指示されます。
改ざんされたタイ政府関連のWebサイトから侵入する偽セキュリティソフトです。
ウイルス名:「TROJ_FAKEAV.BND」
偽の感染警告およびスキャン結果を表示します。この偽セキュリティソフト自身に不具合があるため、インストールすることができません。しかし、特定のWebサイトへに勝手にアクセスするため、ほかの被害に遭うおそれがあります。
「Philippine Flood(フィリピンの洪水)」で検索した結果から誘導される偽セキュリティソフトです。
ウイルス名「TROJ_FAKEAV.DMZ」
この偽セキュリティソフトは、コンピュータが感染しているという警告を表示しますが、このソフトが“検出”するファイルは、実際には、コンピュータ上に存在しません。
検索エンジン「bing」および「altavista」で無料のセキュリティソフト「Malwarebytes」を検索した結果から誘導される偽セキュリティソフトです。
ウイルス名「TROJ_FAKEAV.FGR」
SNS「Facebook」等で蔓延している「KOOBFACE」というウイルスによって侵入します。「Facebook」の偽ページを閉じると、「KOOBFACE」の一種がインストールされ、そのウイルスによって、「Internet Antivirus Pro」がダウンロードされます。
ウイルス名「TROJ_FAKEAV.BMZ」
偽セキュリティソフトのインストール時に、複数のゴミファイルも同時に作成し、“検索”時にゴミファイルをウイルスとして“検出”します。実際にファイルがコンピュータ内に存在するため、だまされやすくなります。
ほかのウイルスによって作成されたり、不正なWebサイトにアクセスしたことが原因で、インストールされます。
ウイルス名「TROJ_FAKEAV.BOH」
この偽セキュリティソフトには不具合があり、幸いにもインストールされることはありません。しかし、コードの解析によると、あるWebサイトへアクセスをするようです。
9月に入り、「911」というキーワードでアメリカ同時多発テロ事件を記念するニュースを検索しようとすると、悪質なSEO操作により、この偽ソフトに誘導されました。
ここに紹介した以外にも偽セキュリティソフトは多数確認されています。基本的な流れは、まずウソのウイルス感染画面でビックリさせます。そして、「ウイルスを駆除するために正規版の購入が必要」として、購入画面を表示し、個人情報やクレジットカード番号などを盗み取ります。中には、実際にクレジットカード決済を行うものもあります。
偽セキュリティソフト自身の不具合により、インストールされない場合もあります。しかし、そのようなときも、コンピュータが安全だとは言い切れません。信頼、実績のある正規のセキュリティソフトを使用し、コンピュータ内のウイルス検索をするようにしてください。
トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。
※この記事は制作時の情報をもとに作成しています。