偽セキュリティ対策ソフトの見破り方 第2回 ホンモノと偽物を見分けるポイント | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

偽セキュリティ対策ソフトの見破り方 第2回 ホンモノと偽物を見分けるポイント

特集 特集

2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的な偽セキュリティ対策ソフト名称、実践的対策方法について解明します。



●購入サイト誘導の手口

前回は、偽セキュリティソフトに見られる詐欺までの流れを説明しました。偽セキュリティソフトはユーザを購入サイトに誘導するために、その他にも様々な手口を使います。その手口をいくつか紹介しましょう。

●バブル・メッセージ

バブル・メッセージは偽セキュリティソフトでよく利用される手法です。偽の感染アラートがバブル・メッセージに表示され、クリックすると購入を促す画面に誘導されます。購入手続きを終了するまで、このアラートは表示されます。

図4:バブル・メッセージによる偽の感染アラート

●Windows Security Centerの悪用

Windows Security Centerも偽セキュリティソフトに頻繁に悪用されています。例えば、Virus Protectionの項目をクリックすると偽セキュリティソフトを購入するサイトへ誘導されるよう仕込んでいます。図は、「XP Antivirus 2010「に感染したSecurity Centerです。FirewallとVirus Protectionに「XP Antivirus 2010」に関するメッセージが表示されています。

図5: Windows Security Centerの悪用

●ブラウザ・ハイジャキング

ブラウザが偽セキュリティソフトウェアにハイジャックされることもあります。その場合、ブラウザを開くたびに、図のような偽の感染アラートが表示されます。

図6: ブラウザ・ハイジャキングによる偽のアラート

●アプリケーションの実行停止 ・ランサムウェア

アプリケーションを実行しようとすると、「感染しているために実行できなかった」といった偽のアラートが表示されます。実際には、偽セキュリティソフトがシステムを監視しており、他のアプリケーションがプロセスとして存在していると、そのプロセスを終了するように機能しています。利用者が正規版を購入するまでアプリケーションの実行は妨げられます。また、偽セキュリティソフトが「ファイルが破損している」といったアラートを表示することもあります。実際には偽ソフトがファイルを暗号化しており、ファイルの修復に正規版を購入させる、といった手口です。ユーザのファイルを人質に取り、身代金(ランサム)を要求することから、こういった手口をとるマルウェアをランサムウェアと呼びます。

図7: 「感染しているために実行できなかった」偽のアラート

図8:ランサムウェアによるメッセージ

●何をもって偽セキュリティソフトと判断するのか?

これまで見たように、このような偽セキュリティソフトには、本物のセキュリティソフトにはない特徴がいくつか存在しています。しかし、本物と偽物を見分けるのは、一般のユーザには容易ではないでしょう。そのために、偽のセキュリティソフトに感染しているかどうか判断するためのチェックリストを載せておきます。次の兆候がある場合、偽のセキュリティソフトに感染している恐れがあります。

(1)デスクトップまたはスタート メニューに知らないアイコンがある。

(2)ウイルス スキャンのような画面に大量の感染項目が報告されている。

(3)ウイルス スキャンのような画面に感染が報告され、感染項目を駆除するために製品を登録するように要求される。

(4)ウイルス スキャンに試用版がない。ウイルスを駆除するためにソフトウェアの購入が必要というメッセージが表示される。

(5)感染を通知するポップアップ、バルーン メッセージ、警告などが繰り返し表示される。

(6)警告を無視するオプションを選択しても、製品登録を要求するメッセージが頻繁に表示され、操作が邪魔される。

(7)EULA (ソフトウェアの利用許諾)が表示されない。EULA のように見える場合でも、インストールの取り消しオプションがなくソフトウェアがインストールされてしまう。

(8)ネット閲覧中にブラウザがハイジャックされる。

(9)広告がまったくなく、一つの製品(不正なアプリケーション)のみを販売する登録サイトが表示される。コンテンツが少なく、各ページに購入ページへのリンクが含まれている。購入ページに他のページへのリンクがない。

【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔


【関連記事】
偽セキュリティ対策ソフトの見破り方 第1回 その動作と特徴
https://www.netsecurity.ne.jp/3_15896.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×