is702

「セキュリティの脅威」グローバルレポート~世界中の最新セキュリティ脅威動向をご紹介~

検索結果に潜む偽セキュリティソフトの罠

インターネットで情報を得ようとするとき、検索サイトでキーワードを入力して表示された検索結果から情報を探す、という方法が一般的でしょう。検索結果の上位に、不正なWebサイトを表示させる攻撃手法が「SEOポイズニング」です。
最近、SEOポイズニングによって偽セキュリティソフトに誘導し、金銭や個人情報を盗もうとする手口が相次いで見つかっています。
多くの利用者は、いつも利用している検索結果に不正なものが含まれているとは思いもよらず、無防備にクリックしてしまいがちです。そこがサイバー犯罪者の思うつぼなのです。


SEOポイズニングで偽セキュリティソフトへ誘導する事例

アップルの新製品「iPad」

世界中から注目が集まっているアップルのタブレット型PC「iPad」。サイバー犯罪者もこの注目度の高さに目を付け、偽セキュリティソフトの拡散に利用しています。
iPad関連のキーワードの検索結果をクリックすると、偽セキュリティソフトへ誘導される攻撃が確認されました。この攻撃で誘導される偽セキュリティソフトは、見た目が洗練されているだけでなく、複数のサービスを停止させ、さらに別のウイルスをダウンロードするといった活動を行います。

iPad関連キーワードで検索した結果に出現する多数の不正サイトへのリンク/iPad関連キーワードでの検索結果から誘導される偽セキュリティソフトの画面

多数の被災者を出した「ハイチ大地震」

ハイチ大地震関連キーワードでの検索結果から誘導される偽セキュリティソフトの画面2010年1月12日、ハイチを襲った大地震。この悲惨な出来事も、サイバー犯罪者に使われています。ここで誘導される偽セキュリティソフトは、最近報告された偽セキュリティソフトの中でも、特に活発に不正活動を実行します。
多数のレジストリ値を追加するだけでなく、HOSTSファイルの改変や不正なファイルの作成、実行が可能です。見た目も、先ほど紹介したiPad関連のものによく似ており、非常に精巧です。

有名人の訃報「ブリタニー・マーフィ」

ブリタニー・マーフィ関連キーワードでの検索結果から誘導される偽セキュリティソフトが出す偽ウイルス検索画面近ごろ亡くなったアメリカの女優ブリタニー・マーフィさん。彼女の突然死に関する情報を得ようと検索すると、たどり着く先は偽セキュリティソフトになる可能性があります。偽のウイルス検索画面を表示し、利用者を焦らせます。

デマ情報「ジョニー・デップ死去」

ジョニー・デップ死去関連キーワードでの検索結果から誘導されるファイルが出す画面2010年1月下旬、アメリカの人気俳優ジョニー・デップさん死去の偽のニュースがインターネット上を駆け巡りました。これは、何者かが偽のニュースサイトを作り、偽のニュースを載せたものです。この出来事に便乗し、SEOポイズニングで不正なWebサイトへ誘導する事例が確認されました。
ここで誘導されるプログラムは、「Drive Cleaner 2006」なる名前のソフトのインストーラです。名前からするとハードディスクをクリーンにしてくれるユーティリティのようですが、実は偽セキュリティソフトやほかのウイルスなどをダウンロードするものです。


スパムメール(迷惑メール)から始まる攻撃事例

公共放送局BBCからの「ハイチ大地震」ビデオメール

BBCが配信したかのように装うスパムメールSEOポイズニングでも悪用されたハイチ大地震。イギリスの公共放送局「BBC」からを装い、アマチュア写真家が現地で撮影したビデオが埋め込まれているように装って送られるスパムメールが確認されました。ビデオ内のリンクをクリックすると、ウイルスがダウンロードされます。

アメリカ国防総省の契約企業宛て会議メモ

添付されているPDFファイルの中身。会議の内部メモのように見せかけているトレンドラボが、アドビ システムズのPDFファイルの脆弱性を利用しようとするスパム活動を初めて報告したのは、2005年9月。それ以来、この手口を利用したスパム活動は、巧妙さを増してきています。
最新事例は、Adobe ReaderおよびAdobe Acrobatの特定のバージョンに存在する脆弱性を悪用したケース。アメリカ国防総省の契約企業が標的となりました。添付ファイルのPDFファイルは、3月にラスベガスで開催される会議の内部メモのように見せかけていました。この特別に細工されたPDFファイルは、両アドビ製品に存在する脆弱性を突いて、ウイルスを作成、実行します。

アメリカ内国歳入庁「源泉徴収票フォーム」

源泉徴収票フォームを添付したかのように装うWordファイル。添付のPDFファイルの実態はウイルスアメリカ内国歳入庁(IRS)を装うスパムメールが確認されました。メール内には、IRSの正規Webサイトおよび問い合わせ先電話番号が記載されています。メールの件名は「W2-Form update(W2フォームの更新)」となっており、W2-Form(日本の源泉徴収票に相当)の更新のため雇用主に記入してもらう必要があるとかかれています。通常、メールでこのような依頼をすることはあり得ませんが、受信者は思わず添付ファイルを開いてしまいがちです。
添付ファイルのWordファイルには、PDFファイルが埋め込まれています。「W2-Form」という名前のPDFファイルは、不正な実行ファイルで、キー入力操作情報の記録やシステム情報の送信といったバックドア活動をします。

オンライン銀行のセキュリティ強化

オンライン銀行「Fifth Third Bank」の顧客宛に送信されたスパムメールが確認されました。メールによると、顧客は銀行のセキュリティ強化に必要なデジタル証明書をダウンロードするために、臨時Webサイトにアクセスする必要があるとのこと。リンク先は同銀行の偽ログインページで、ユーザ名やパスワードなどの重要情報を入力するよう求められます。
この攻撃では、さらなる罠がしかけられています。偽ログインページで重要情報を盗まれた後、“デジタル証明書”をダウンロードさせます。しかし、この証明書の実態はキーロガー。これにより、キーボードに入力したさまざまな情報を盗まれます。

オンライン銀行からを装ったスパムメール/偽のログイン画面。ここでパスワードなどを盗まれたあと、さらなる罠が待ちかまえている

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ