PR

 広告を悪用して利益を上げるクリック詐欺に,新たな「隠密」手段が現れた。トロイの木馬「TROJ_FFSEARCH.A」によるものだ。クリック詐欺とは,「ペイ・パー・クリック(PPC)型のWeb広告を悪用する詐欺である。この手のWeb広告は第三者のサイトに広告情報を掲載し,このリンクがクリックされると,広告主はその第三者に対して,クリック数に応じた広告料を支払う。

 今年5~6月,4万強のWebサイトが改ざん攻撃を受けた。その調査を進める中でトレンドマイクロのウイルス解析チームは,クリック詐欺の新手法に関連する動作を確認した。

 PPC型の広告では,広告ネットワーク(advertising networks)と呼ばれる中間業者がクリック数をカウントし,Webサイトの所有者には,広告主から得た報酬の中からクリック数に応じた広告料を支払う。従来のクリック詐欺では,スクリプトまたはボットネットのコマンドを使って,ユーザーがクリックしたように見せかけることにより,システムを悪用していた。

 これに対して,今回見付けたTROJ_FFSEARCH.Aでは,検索エンジンのアフィリエイト・プログラムを悪用する。ユーザーが感染したコンピュータを使って何かの情報を検索すると,入力された検索語や検索結果を傍受し,改ざんする。TROJ_FFSEARCH.Aは,まず,以下のようにレジストリ値を変更する。

HKEY_CLASSES_ROOT\CLSID\
{5B035261-40F9-11D1-AAEC-00805FC1270E}\
InProcServer32
(Default) = "%System%\netcfgx.dll:Zone.Identifier"

 上記のレジストリ値内にある「netcfgx.dll」は,ネットワーク環境設定ファイルである。この種のファイルは,コンピュータが外部のドメインにアクセスする方法を変更する際に使われる。一方,同じくレジストリ値内にある「Zone.Identifier」は,このトロイの木馬型不正プログラムが,Windows のファイル・システム「NTFS」の「Alternate Data Stream」(ADS)機能を利用することを示している。ADS機能は,ファイルの存在を「エクスプローラ」または「タスクマネージャ」などのWindows標準装備のファイル・プロセス管理ソフトから隠ぺいできる機能で,コマンドラインなどから簡単に作成できる。この機能を組み合わせられると,実行プロセスはほぼ追跡不可能になる。

 TROJ_FFSEARCH.Aは特定のURL にアクセスして環境設定ファイルをダウンロードし,これを“gifnoc.xtx”というファイル名で“All User”フォルダ内に保存する。このファイルには,監視するWebサイト名,ユーザーのブラウザのアドレスバーに表示されるURL文字列,そして改ざん用のURL文字列など,詐欺活動に利用する情報が含まれている。このファイルの中で検索サイトのURLを指定しておくと,不正プログラムは感染したコンピュータのWeb ブラウザを監視し,ユーザーが該当する検索エンジンを利用するのを待つ。その後,ネットワーク関連のAPIをフックして情報を傍受し,ブラウザが環境設定ファイルで指定された文字列(例えばgoogle.com)を含むアドレスにアクセスした場合,アクセス時のURLを置き換える。

 ユーザーがGoodleで「cash cow」を検索したとしよう。検索結果ページのアトレスバーは,「http://www.google.com/search?<文字列>cash+cow<文字列>」のような表示になるはずだ。しかし,上記のトロイの木馬型不正プログラムは,これを傍受し,「http://<指定のWebサイト>search?<文字列>cash+cow<文字列>」に書き換える(<指定のWebサイト>は,上記の環境設定ファイルで指定されたWebサイト)。そしてサイバー犯罪者は,ブラウザのアドレスバーに表示されるはずだったURL文字列(http://www.google.com/search?<文字列>cash+cow<文字列>)で改ざんされたURLを覆い隠し,ユーザーがこの改ざんに気付かないように細工する。

 Googleをはじめとする検索エンジンの広告プログラムでは,アフィリエイト・プログラムのパートナは自分のWebサイトに検索ウィジェットをインストールする。パートナのWebサイトを訪れたユーザーがこれらの検索ウィジェットを使って検索すると,検索結果ページに広告を表示。これらの広告のいずれかがクリックされると,検索サイト(Googleなど)から検索ウィジェットのオーナーに広告料が支払われる。ユーザーは通常通りの検索操作をしているつもりでも,検索結果ページをクリックすると,知らずにサイバー犯罪者の金儲けに加担してしまうことになる。

[画像のクリックで拡大表示]

 従来のクリック詐欺は,自動的にクリックを発生させるスクリプトやプログラムを使って利益を得るものだった。このため,広告主が不審なクリックを調査すれば,比較的容易に攻撃を見破れる。ところが今回の新手法では,実際のユーザーの検索活動を悪用するため「不審なクリック」の判別は難しい。サイバー犯罪者は,検索サイトの警戒の目を避けて攻撃を仕掛ける,複雑かつ有効な方法を発見したと言える。

 この攻撃自体では,その影響が直接的にユーザーに及ぶことはない。ユーザーにとって本当の脅威なのは,既に改ざんされているWebサイトに自分がアクセスすることによって攻撃が始まり,自分がサイバー犯罪に加担することになるという事実だろう。

 インターネットを利用する際,「安全を確認できないWebサイトにはアクセスしないように」とよく言われる。これはネット利用時の有効な自衛策だ。ただ「安全」だと思いこみやすい正規サイトにも,攻撃者が不正コードを埋め込んでいる可能性があることは,あまり考慮に入れられていない。そういった場合もサイバー犯罪の罠にはまらないようにするためには,ユーザーは最低でも,不正なURL,スクリプト,ファイル(今回の攻撃では「TROJ_FFSEARCH.A」)を検出する機能を備えたセキュリティ・ソフトをインストールしておく必要がある。

 サイバー犯罪に加担しないためには,既に「TROJ_FFSEARCH.A」に感染しているユーザーはセキュリティ・ベンダーなどが提示する削除手順に従って,不正プログラムを削除する。

 予防策の一つは,スクリプト実行機能をオフにするブラウザのプラグインを利用すること。これによって,ユーザーの許可なしにスクリプトが実行されることがなくなる。ただ,このプラグインは不正スクリプトと無害なスクリプトを判別できないため,すべてのスクリプト実行機能をオフにすることになる。その結果,双方性が重視されたWebサイトにユーザーがアクセスした場合,問題が生じる可能性がある。

 それでも結局,どのWebサイトを信用するか,どのプラグインを利用するかを決めるのはユーザー次第。ユーザーの判断を待つことなく,攻撃に利用される不正なサイトをブロックし,サイバー犯罪への加担を防ぐためには,Webレピュテーション技術が搭載されているセキュリティ製品の利用が有効と言えるだろう。

参考:
・The Washington Post. "FFSearcher: A Stealthy Evolution in Click Fraud." (英語情報)http://voices.washingtonpost.com/securityfix/2009/06/ffsearcher_a_stealthy_evolutio.html
(2009年8月訪問)
・トレンドマイクロ ウィルスデータベース 「TROJ_FFSEARCH.A」http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FFSEARCH.A
(2009年8月訪問).


Copyrights (C) 2009 Trend Micro Inc. All rights reserved. 本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。◆このコラムでは,フィリピンのトレンドラボの研究者が,最近のセキュリティ・インシデントについて解説します。記事はすべて新たに書き下ろしたものです。