PR

 数週間前のブログ記事で,ユーザーをだましてインストールさせようとする悪質なプログラム「ミスリーディング・アプリケーション(Misleading Application)」(関連記事:新たな脅威「ミスリーディング・アプリケーション」に注意)が,Web上でどのような宣伝をしているのか確認した。今回は,これらの広告を別の面から詳しく取り上げてみたい。ミスリーディング・アプリケーションはどのようにマシンに侵入し,ダウンロード購入するよう仕向けるのだろうか。

 犯罪者が重要な情報を盗み出す,あるいは詐欺を働く目的で,ありとあらゆる手を使ってマルウエアをユーザーのマシンに感染させようとするのを,我々は目の当たりにしてきた。これらすべての根源となっているのは何か?当然といえば当然だが,お金だ。犯罪者たちは,ユーザーが自分からお金を出すからこそ,わざわざ新しい策略を思い巡らせたり,新たなマルウエアを生み出したりするのだ。

 ミスリーディング・アプリケーションの仕組みは次の通りだ。このアプリケーションは,ダウンローダ,単純なブラウザ広告など,さまざまな形でユーザーの前に登場する。ユーザーが目にするであろうメッセージの例を挙げると,「Your computer is in danger!(あなたのパソコンは危険な状態にあります)」「Get a better PC(より快適なパソコンを手に入れよう)」「Protect your PC from hackers!(ハッカーからパソコンを守ろう)」といったものがある。ユーザーがこれらの罠にまんまとはまり,インストーラや無償スキャナなどを実行すると(ちなみに,実行にあたってはユーザーの同意を求める場合とそうでない場合がある),ここからが同アプリケーションの見せ場となる。あらゆる視覚的な手段を用いて,恐ろしい脅威が差し迫っていることをユーザーに警告するのだ。

システム・トレイ(通知領域)に表示されたメッセージ:

図1~3 通知領域のアイコン表示およびバルーン表示の例
アクティブ・デスクトップで表示されたメッセージ:

図4 マシンのデスクトップが感染し,脅威を知らせるメッセージが表示された状態
[画像のクリックで拡大表示]
 あるいはメッセージ・ボックスのみが表示される場合がある:

図5 ミスリーディング・アプリケーションは,システムで用いられているようなメッセージ・ボックスも盗用する

 これらの警告にユーザーが反応を示すと,トリガーが作動し特定のアプリケーションをダウンロードし,インストールする。これらのアプリケーションの目的は,「マシンがセキュリティ上の脅威にさらされている」「パソコンに複数のエラーがあり,パフォーマンスの低下を余儀なくされている」などのメッセージを通じて,ユーザーを脅えさせることだ。見栄えもよく,点滅式アイコンや洗練されたアニメーション,多彩なカラーなど「人目を引く」仕掛けをたくさん使っており,それらしく見せようとあらゆる手を打っている。これらのアプリケーションの使命はほぼ同じで,インストールを実行し,「スキャン」を自動的に開始する。


図6 ミスリーディング・アプリケーションは,インストール後にスキャンを自動実行する
[画像のクリックで拡大表示]

 スキャン後の結果では,スパイウエア,マルウエア,エラー,プライバシー侵害にあたるようなリスクが山のように存在していると報告される。重要なポイントとなるのが「ただならぬ事態を想起させる」ことだ。実際のところ,これらの報告された項目の大半は,存在しなかったり,重大なリスクではなかったり,果ては全く危険のないものだったりする。


図7 上記のミスリーディング・アプリケーションは,おびただしい数の「プライバシー侵害」があることを報告している
[画像のクリックで拡大表示]

 パニックは,ミスリーディング・アプリケーションにとって願ったりかなったりだ。ユーザーは,このような報告を目にした途端,まず「自分のクレジットカード番号が盗まれているかもしれない」「息子のお気に入りのゲームが削除されるかもしれない」「妻がよく利用しているファッションWebサイトのリンクが,誰のものともしれない怪しげなWebサイトにリダイレクトされるかもしれない」などと考え,これらのリスクが「解決できなければ一巻の終わり」のように思えてくる。ここでほぼ間違いなく登場するのが,一目で分かる,問題を解決してくれるボタンだ。ボタンを押すのはちょっと待ってほしい。ここにはカラクリが潜んでいる。


図8 よくありがちな「代金を支払って問題を解決」するメッセージ・ウィンドウ

 「パソコンを長く利用したければ,できることはただ一つ,このアプリケーションを購入することです。料金はわずか数ドルで,一般に出回っている商用品よりもお求めやすくなっています。パソコンのセキュリティにはうってつけです」といった宣伝文句に,「これは何だ?」「このメッセージはどこから来ているんだ?」と引き続き懐疑的な姿勢を見せるユーザーもいるかもしれない。このような猜疑心の強いユーザーを納得させるため,最近のミスリーディング・アプリケーションは,実際のシステム・コンポーネントやセキュリティ・アプリケーションの名前,あるいは内容をそっくり摸倣している。


図9 米マイクロソフトのWindows Vistaを摸倣したミスリーディング・アプリケーション
[画像のクリックで拡大表示]

 それでも「よく分からないから,パソコンに詳しい友人に後で尋ねてみよう」と考えるユーザーもいるかもしれない。このようなユーザーが問題解決,あるいは購入のための手続きをキャンセルしようとすると,とどめの一手となる警告が表示される。


図10 ミスリーディング・アプリケーションのインストールを中断しようとすると,強制的に,脅威を示す警告が繰り返しポップアップされる

 さらに悪いことに,同アプリケーションの一部は,この警告を繰り返し表示するようになっている。ユーザーが購入を希望しない場合でも,引き続き作動したり,ウィンドウを閉じると再起動したり,あるいは別の作業中に警告をポップアップしたりする。要するに,この悪魔のようなプログラムはユーザーの予期せぬ場所に出没してくるのだ。注意してほしい。

 この記事は,2007年11月15日に公開した「世界のセキュリティ・ラボから」の記事を再掲載したものです。

Symantec Security Response Weblog

We pwn your Desktop!」より
October 26,2007 Posted by Andrea Lelli
Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「We pwn your Desktop!」でお読みいただけます。