偽対策ソフトの手口が巧妙に
偽セキュリティー対策ソフトの感染報告が増えている。マイクロソフトをかたったメールで導入させたり、大手検索サイトの広告にも登場しているので警戒したい。(テクニカルライター・三上洋)
偽対策ソフトの検出数が増加
IPAによる偽対策ソフトの検出数推移。9月以降に急激に増えている(IPA コンピュータウイルス・不正アクセスの届出状況[10月分])
IPA(情報処理推進機構)とセキュリティー対策大手のトレンドマイクロが、相次いで偽セキュリティー対策ソフト(以下、偽対策ソフト)の警告を出している。IPAの10月度の届出状況によると、偽対策ソフトの検出数が1年ぶりに増加傾向を見せており、9月には約40万件、10月も約30万件の報告がある。
偽対策ソフトの手口は、以前の記事「偽セキュリティーソフトが爆発的に増加」でも紹介したように、存在しないウイルスを検知したと警告画面を出すところから始まる。派手な警告画面でユーザーを驚かせ、「今すぐ対策が必要です」などとして偽対策ソフトを買わせようとする。クレジットカード番号を入力させて、金銭を詐取する。当然ながらソフト自体も偽物で、ウイルス駆除すらできないインチキソフトである。
IPAでは感染ルートとして二つのパターンを紹介している。一つは大手企業を装った迷惑メールの添付ファイルを経由するパターン。最近の例では、マイクロソフトからのメールに見せかけたウイルス警告メール、国際貨物輸送大手、DHLを装った不在通知メールなどがある。いずれも添付ファイルを開くと「ダウンローダー」と呼ばれる不正ソフトが入り、それを通じて偽対策ソフトが勝手に導入されてしまう。
もう一つのパターンとしては、正規サイトの改ざんがある。正規のサイトに攻撃をかけ、不正なスクリプトを埋め込んで、訪れた一般ユーザーを感染させるものだ。見た目では改ざんされたかどうかわからないが、実際には犯人が用意した不正サイトへ誘導されて前述の「ダウンローダー」がインストールされてしまう。これにより、訪れた一般ユーザーのパソコンが偽対策ソフトなどのウイルスに感染してしまう。
検索サイトに偽ソフトの広告
マイクロソフトの検索サイト「bing」に掲載された偽対策ソフトの広告(猛威を振るう偽セキュリティーソフト、その手口と実態:トレンドマイクロ)
トレンドマイクロは「猛威を振るう偽セキュリティーソフト、その手口と実態」として具体例を紹介している。最も悪質なのは、大手検索サイト、bingの広告を使ったものだ。bingは、GoogleやYahoo!に次ぐ大手検索サイトでマイクロソフトが運営している。
左の画像がその広告で「FREE Anti−Malware Download」というタイトルで、偽対策ソフト配布サイトに誘導している。この広告はキーワード検索に連動しており、正規の無料対策ソフトである「malwarebytes」というキーワードで検索すると広告が表示された。広告をクリックして導入すると、「MalwareRemoval」なる偽ソフトが入り、存在しないウイルスを検知して金銭を詐取しようとする。
ユーザーの一部は、マイクロソフトのサイトにあった広告だからと安心してクリックしてしまいそうだ。しかし実際には、審査なしで出されている広告であり、信用できるものではない。現在は表示されていないが、今後も同様の手口が使われる可能性があるので注意したほうがいい。
ゴミファイルを作ってウイルスだと思い込ませる偽対策ソフト(猛威を振るう偽セキュリティーソフト、その手口と実態:トレンドマイクロ)
別の手口としては、偽対策ソフトがウイルスらしきファイルを作成するパターンもある。右の画面は「PC Antispyware 2010」なる名前の偽対策ソフトで、検知したウイルスを表示して金銭を詐取しようとしている。多くの偽対策ソフトは「存在しない」ウイルスを検知したフリをするのだが、このソフトは巧妙でわざわざゴミファイルを作る。
具体的にはマイドキュメントや、ウィンドウズのシステムフォルダー、設定ファイルであるレジストリーなどに、複数のゴミファイルを作り出す。そのゴミファイルをウイルスだとして検知して警告を出すという手口だ。ユーザーから見ると、見たことのない怪しいファイルが実際に存在するため、「ウイルスに感染した!」とだまされてしまうかもしれない。
このほかにも、キーワード検索の結果を悪用するSEOポイズニング(以前の記事「新型インフル便乗のウイルスメール」を参照)を使って導入させるパターン、SNSのプロフィル経由で導入させるパターンなどがあり、偽対策ソフトの手口がどんどん巧妙になってきている。
対策ソフトは店頭で購入を
マイクロソフトをかたった偽メール。ウイルスの警告メールと思わせて偽対策ソフトを導入させる手口だ(トレンドマイクロ・インターネット脅威レポート2009年10月度)
導入される偽対策ソフト。マイクロソフトが9月中旬に発表した無料ウイルス対策ソフトの話題に便乗している(トレンドマイクロ・インターネット脅威レポート2009年10月度)
今回紹介した偽対策ソフトはすべて英語だったが、以前の記事「偽の対策ソフト『ZeroVirus』とは」で紹介しているように、日本語の偽対策ソフトもあるので注意が必要だ。
また英語版ながら日本国内での感染報告が増えている例もある。それはマイクロソフトからのメールを装って導入させる「TROJ_FAKEAV(フェイクエイブイ:トレンドマイクロでの名称)」だ。トレンドマイクロのインターネット脅威レポート2009年10月度によると「9月中旬から国内での感染報告が増えている」とのことで、これはどうもマイクロソフトが9月中旬にリリースしたウイルス対策ソフト「Microsoft Security Essentials」にタイミングを合わせた詐欺のようだ。「Microsoft Security Essentials」は無料のウイルス対策ソフトとして話題を集めており、それに便乗して偽メールをまき散らし、偽対策ソフトを導入させようとしている。
もし偽対策ソフトに感染した場合は、原則としてパソコンの初期化、クリーンインストールが必要だ。正規のウイルス対策ソフトでも駆除できない可能性が高い。というのは、偽対策ソフトが正規のソフトの活動を抑止したり、ウィンドウズアップデートにアクセスさせないようにするなどの妨害を行うからだ。正規のウイルス対策ソフトの目的はあくまで「予防」であり、感染後にできる処置は限られている。もし感染したら、IPAのサイトを参考にしたうえで、システムの復元か初期化をしたほうがいいだろう。
偽対策フトに感染しないための予防策としては、以下のことを覚えておきたい。
・メールの添付ファイルは信頼できるものしか開かない(判断できない場合は絶対に開かない)
・ウィンドウズアップデートは自動に
・Adobe Reader、Flash Playerなどのソフトも最新版に
・正規のウイルス対策ソフトを導入し、最新のパターンファイルにする
特に正規のウイルス対策ソフトを導入することは重要だ。偽対策ソフトにだまされる人の多くは、ウイルス対策ソフトが入っていないか、無料版を使っている人だろう。どこかに不安があるため、偽の警告画面にだまされて偽対策ソフトを導入してしまう。信頼できるメーカーのウイルス対策ソフトを事前に入れておくべきだ。インターネットでの購入は、偽対策ソフトにだまされる可能性もあるので、できるだけ店頭で直接購入したほうがよい。
●参考リンク
・偽のセキュリティ対策ソフトの脅威が再び拡大!−手口を知って被害を未然に防ごう−(IPA・コンピュータウイルス・不正アクセスの届出状況[10月分])
・猛威を振るう偽セキュリティーソフト、その手口と実態(トレンドマイクロ・インターネットセキュリティナレッジ)
・偽セキュリティーソフトが爆発的に増加:サイバー護身術
(2009年11月6日 読売新聞)