─
●購入サイト誘導の手口
前回は、偽セキュリティソフトに見られる詐欺までの流れを説明しました。偽セキュリティソフトはユーザを購入サイトに誘導するために、その他にも様々な手口を使います。その手口をいくつか紹介しましょう。
●バブル・メッセージ
バブル・メッセージは偽セキュリティソフトでよく利用される手法です。偽の感染アラートがバブル・メッセージに表示され、クリックすると購入を促す画面に誘導されます。購入手続きを終了するまで、このアラートは表示されます。
●Windows Security Centerの悪用
Windows Security Centerも偽セキュリティソフトに頻繁に悪用されています。例えば、Virus Protectionの項目をクリックすると偽セキュリティソフトを購入するサイトへ誘導されるよう仕込んでいます。図は、「XP Antivirus 2010「に感染したSecurity Centerです。FirewallとVirus Protectionに「XP Antivirus 2010」に関するメッセージが表示されています。
●ブラウザ・ハイジャキング
ブラウザが偽セキュリティソフトウェアにハイジャックされることもあります。その場合、ブラウザを開くたびに、図のような偽の感染アラートが表示されます。
●アプリケーションの実行停止 ・ランサムウェア
アプリケーションを実行しようとすると、「感染しているために実行できなかった」といった偽のアラートが表示されます。実際には、偽セキュリティソフトがシステムを監視しており、他のアプリケーションがプロセスとして存在していると、そのプロセスを終了するように機能しています。利用者が正規版を購入するまでアプリケーションの実行は妨げられます。また、偽セキュリティソフトが「ファイルが破損している」といったアラートを表示することもあります。実際には偽ソフトがファイルを暗号化しており、ファイルの修復に正規版を購入させる、といった手口です。ユーザのファイルを人質に取り、身代金(ランサム)を要求することから、こういった手口をとるマルウェアをランサムウェアと呼びます。
●何をもって偽セキュリティソフトと判断するのか?
これまで見たように、このような偽セキュリティソフトには、本物のセキュリティソフトにはない特徴がいくつか存在しています。しかし、本物と偽物を見分けるのは、一般のユーザには容易ではないでしょう。そのために、偽のセキュリティソフトに感染しているかどうか判断するためのチェックリストを載せておきます。次の兆候がある場合、偽のセキュリティソフトに感染している恐れがあります。
(1)デスクトップまたはスタート メニューに知らないアイコンがある。
(2)ウイルス スキャンのような画面に大量の感染項目が報告されている。
(3)ウイルス スキャンのような画面に感染が報告され、感染項目を駆除するために製品を登録するように要求される。
(4)ウイルス スキャンに試用版がない。ウイルスを駆除するためにソフトウェアの購入が必要というメッセージが表示される。
(5)感染を通知するポップアップ、バルーン メッセージ、警告などが繰り返し表示される。
(6)警告を無視するオプションを選択しても、製品登録を要求するメッセージが頻繁に表示され、操作が邪魔される。
(7)EULA (ソフトウェアの利用許諾)が表示されない。EULA のように見える場合でも、インストールの取り消しオプションがなくソフトウェアがインストールされてしまう。
(8)ネット閲覧中にブラウザがハイジャックされる。
(9)広告がまったくなく、一つの製品(不正なアプリケーション)のみを販売する登録サイトが表示される。コンテンツが少なく、各ページに購入ページへのリンクが含まれている。購入ページに他のページへのリンクがない。
【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔
【関連記事】
偽セキュリティ対策ソフトの見破り方 第1回 その動作と特徴
https://www.netsecurity.ne.jp/3_15896.html