Pocket

※任意団体SPREAD当時に公開されたコラムです。

トレンドマイクロ株式会社  小屋 晋吾 氏

以前消防法が改正され家庭にも消火器の設置が義務付けられた頃、「消防署の方から来ました。 法律改正により消火器の設置が義務付けられるのでぜひこれを!」と市価より随分と高く消火器を売り付ける詐欺商法があったことを記憶されている方も多いのではないでしょうか。
「かたり商法」と呼ばれるこの手口、実はインターネット上にも古くからあり、この数カ月は再び多くの被害報告が来ています。

「偽セキュリティソフト」と呼ばれる不正プログラムは、アンチウイルスソフトを装ってウイルス感染を警告したり、ハードディスクの診断ツールが故障を発見したように見せかけたりして有償のソフトの購入を促し、直接金銭を搾取、あるいはクレジットカードの情報を窃取するものです。
感染や動作には色々なバリエーションがありますが代表的な動作にはこのようなものがあります。

  1. どこかの正規サイトを何らかの手段で改ざんし、不正なスクリプトを埋め込む
  2. そのサイトにアクセスした人のパソコンに脆弱性があればそれを利用し、ダウンローダーと呼ばれるプログラムを埋め込む
  3. 埋め込まれたダウンローダーは、攻撃者が用意した「偽セキュリティソフト」を持つ別のサーバーにアクセスし、ダウンロードを行う
  4. ダウンロードされた「偽セキュリティソフト」が活動し、ユーザーにウイルス感染を知らせる画面を表示。駆除を促すボタンを表示
  5. ボタンを押すと、クレジット支払いの画面が表示され、クレジット情報の入力を促す

そしてこの「偽セキュリティソフト」は時とともに少しずつ変化もしているようです。
まず、狙われる脆弱性ですが、以前はWindowsの脆弱性を狙うものが多かったのですが、Windowsのアップデートが標準的に自動で行われるようになると、Adobe社の製品の脆弱性が狙われるようになりました。そのAdobe社の製品も近年自動アップデートできるようになり、最近はJAVAの脆弱性を狙うものが多くなりました。

またWindows、Adobe社製品、JAVAと複数の製品の脆弱性を狙うものも存在しています。
埋め込まれるダウンローダーにもさまざまなものがあり、それ自体にID/パスワードの漏えい機能を持っているものや、目的を達した後に自己消去するものなどもあり、発見を困難にしています。

また、「偽セキュリティソフト」以外に複数の不正プログラムをダウンロードするケースも確認されています。さらに「偽セキュリティソフト」本体に至っては、製品さながらにバリエーションに富んでいます。ユーザーインターフェースの言語としては英語のものが最も多いようですが、どう見ても機械翻訳のたどたどしい日本語版、さらには全く違和感のない正しい日本語で表示するものも存在しています。(図1)

偽装するプログラムはアンチウイルスソフトをはじめとして、脆弱性チェックプログラム、ハードディスク診断ソフト、パフォーマンス改善ソフト等これもまた多くの種類があります。
近年のものは、被害者に除去されにくくするために、同一の「偽セキュリティソフト」であっても、表示するプログラム名が感染の度に変更されるものもありました。(図2、図3)

名称が変更されるとそのプログラムが「偽セキュリティソフト」なのか、どのように駆除するのか被害者は検索をしにくくなりますし、アンチウイルスベンダーも即座に回答をすることが困難になります。サーバサイド・ポリモーフィズムという技術も利用します。これは同一の「偽セキュリティソフト」であってもダウンロードするタイミングで、サーバー上でプログラムの中身を変化させるものです。

このようなタイプは従来からのウイルス対策ソフトの発見手法である「パターンマッチング技術」では発見が非常に困難になります。以上の複数の要因により、現在でも多くの方が感染し、情報の漏えいや、金銭被害を起こしてしまうのでしょう。

では、この「偽セキュリティソフト」にどのように対処するのがよいのでしょうか。
以下にまとめてみます。

第一にソフトウェアの脆弱性をできる限り速やかに解消することです。

WindowsやAdobe製品のように自動アップデート可能なものは、必ず自動でアップデートできるようにしておきましょう。そして自動でアップデートできないものは、まめにアップデートを入手し、脆弱性の解消に努めてください。
独立行政法人情報処理振興機構(IPA)とJPCERT/CCからは、パソコンに導入されている多くのソフトウェアのアップデートの有無をチェックできる「My JVNバージョンチェッカ」を無償で提供しています。このようなものを利用するのもよいでしょう。

第二にウイルス対策ソフトの正しい選択と使用です。

ウイルス対策ソフトにも様々なものがありますが、前述のように「偽セキュリティソフト」には「パターンマッチング技術」だけでは対応に限りがあります。最新のパターンアップデートは必須としたうえで、「WEBレピュテーション」といわれる機能が実装されているものを選ぶことが重要でしょう。「WEBレピュテーション」とは日本語に直すと「WEBの評判」でしょうか。

これは、「偽セキュリティソフト」や不正プログラムが存在している、あるいは存在していたWEBサイトを登録したデータベースを参照する機能で、ユーザーが不正なサイトや改ざんされてしまったサイトにアクセスしようとした時、あるいは、既に入り込んでいるダウンローダーがそのようなサイトに接続しようとした時にブロックを掛けてくれる機能です。
この機能は「パターンマッチング技術」の効果が低いサーバサイド・ポリモーフィズムのものでも、WEBサイト自体をブロックしてしまうので有効に働くことが可能です。

第三はウイルス対策ソフトベンダーとの関係です。

パターンマッチングで発見できなかったものでも、なにか不正な挙動を発見した時にすぐにサポートしてもらえるベンダーを選ぶべきです。「偽セキュリティソフト」が起動し、虚偽の報告をしてきた、クレジット情報入力画面が出てきた、このようなときにすぐ連絡し対処方法を仰げる、そのようなベンダーの製品を選択することも必要だと思います。

そして最後に、バックアップや復元ポイントの設定等のパソコンの運用を行っておくことです。

「偽セキュリティソフト」やその他ウイルスもプログラムです。意図しないシステム破壊などが起きることもあり、やむを得ず初期化や復元をする必要が出ることもあるでしょう。

バックアップや復元ポイントの設定は必ず行うようにしてください。

インターネットの中の社会にも残念ながら物理的な世界と同様に多くの犯罪が発生しています。確かなセキュリティ対策で健康的なインターネットライフを送れるように自ら気をつけなければならない時代になったようです。