偽セキュリティ対策ソフトの見破り方 第4回 偽セキュリティ対策ソフトカタログ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

偽セキュリティ対策ソフトの見破り方 第4回 偽セキュリティ対策ソフトカタログ

特集 特集

2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的な偽セキュリティ対策ソフト名称、実践的対策方法について解明します。



●入れ替わる「ブランド」

偽セキュリティソフトは様々なブランドが存在しています。ここでは、執筆時においてよく見られる種類をいくつか紹介しましょう。なお、偽セキュリティソフトは入れかわりが激しく、時期によって感染の多い種類が異なります。あくまでも執筆時点(2010年9月)でのカタログであると理解してください。

●SpyProシリーズ

SpyProは非常に亜種が多いブランドの一つです。数か月おきに名称やインターフェースを変更しています。

図12: AntiySpyware Soft

図13:AV Security Suite

図14:Security Suite

Security Suiteの最近の亜種には、アプリケーションの実行を許さないランサムウェアとしての機能があります。なお、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。

図15: notepad.exeを実行すると“感染しているため実行できない”という偽のアラートが表示される

●My Security Shield /MySecurity Engine/Security Master AV/Clean upシリーズ

このブランドも亜種の発生が活発な脅威の一つです。頻繁に名称を変更させるリブランドを実施している傾向がうかがえます。実際、この数カ月に以下のように名称を変化させています。

CleanUp Antivirus
    ↓
MS Security Engine
    ↓
Security Master AV
    ↓
My Security Shield

また、多数のレジストリを追加・変更する特徴があります。特にシステムツールや他のセキュリティ製品の起動を無効にするために、以下の様なレジストリも変更します。

HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options(実行ファイル名)

●Debugger = "svchost.exe"

この変更により、実行ファイル名で指定されたファイルを起動するとsvchost.exeが起動することになります。例えば、以下のレジストリによって、タスクマネージャー(taskmgr.exe)を実行してもsvchost.exeが実行されることになります。

HKEY_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options askmgr.exe

●Debugger = "svchost.exe"

この偽セキュリティソフトによって無効化されるツール、セキュリティ製品は数百に及びます。また、正規のツールやセキュリティ製品だけでなく、競合する他の偽セキュリティソフトの実行も無効化しています。詐欺の成功のためには、他の詐欺師を排除することも必要なのでしょう。

図16:Cleanup Antivirus

図17:My Security Engine

図18:Security Master AV

図19: My Security Shield

●SecurityTool

このSecurityToolは単独ブランドで亜種が非常に多い偽セキュリティソフトです。現在ところ、リブランド版は確認されていません。上の例も説明しましたが、多言語化されているのが特徴です。

図20: SecurityTool

●Sysinternals Antivirus/Wireshark Antivirus

それほど亜種の数は多くありませんが、最近発見された偽セキュリティソフトのブランドです。実際に存在するTool名を名乗っているのが特徴です。

図21:Sysinternals Antivirus

図22: Sysinternals Antivirus

このSysInternals Antivirus/Wireshark Antivirusにも、アプリケーションの実行を許さないランサムウェアとしての機能があります。SpyProと同様に、購入サイトにアクセスする必要があるためInternet Explorerだけは問題なく実行できます。

図23: notepad.exeを実行すると“感染しているため実行できない”という偽のアラートが表示される


●XP Antivirusシリーズ

このシリーズはWindowsのセキュリティセンターに自身を登録することで知られています。

図24: XP Antivirus Pro 2010

図25:セキュリティセンターに登録されたXP Antivirus Pro 2010

図26: 同じ種類のXP Smart Security 2010


【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔


【関連記事】
偽セキュリティ対策ソフトの見破り方 第1回 その動作と特徴
https://www.netsecurity.ne.jp/3_15896.html
偽セキュリティ対策ソフトの見破り方 第2回 ホンモノと偽物を見分けるポイント
https://www.netsecurity.ne.jp/3_15938.html
偽セキュリティ対策ソフトの見破り方 第3回 成功モデルとしての偽セキュリティ対策ソフト
https://www.netsecurity.ne.jp/3_16007.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×