PR

 古いものは廃れ,新しいものがはやる――。ごく一般的な話だが,だからと言って古いものがすべて不要だというわけでもない。例えばサイバー犯罪者にとって頼りがいがある「FAKEAV」は,長く影響力を保ち続けるものの一つである。

日々増加する偽セキュリティソフト型「FAKEAV」

 最近の脅威状況を見ると,様々な経路で配布された偽セキュリティ・ソフトがまん延している。その配布方法は,比較的害の少ないものから,はた迷惑なものまで多岐にわたる。偽セキュリティ・ソフト詐欺の首謀者が不正活動に使う話題には,911アメリカ同時多発テロ事件の追悼記念イベントからカルフォルニア山火事まで,関心の高いニュースが利用された。当然ながら,米ミュージシャンのカニエ・ウェストや米俳優パトリック・スウェイジなどセレブリティのニュースも含まれる。

 トレンドラボの分析によると,最近の偽セキュリティ・ソフト関連攻撃には新しい技術が使われている。最新の攻撃では,「Googleトレンド」や「GeoIP」からの地理情報が利用されている。

図1●偽セキュリティ・ソフト型「FAKEAV」の典型的な感染フロー
[画像のクリックで拡大表示]

 GoogleトレンドはGoogle検索の傾向がわかるWeb機能で,Google自身が提供している。この機能を使うと,様々な地域から異なる言語で行われるGoogle検索全体のうち,特定の検索用語がどのくらいの比率で検索されているかがわかる。サイバー犯罪者はこのサイトを使って,特定の時期に,どのような用語が最も検索ワードとして人気があったのかという情報を入手する。その後,これらの人気の高い用語を使うことにより,より多くのユーザーを不正サイトに誘導し,不正活動を行うのである。

 Googleトレンドの悪用のほかに,サイバー犯罪者はGeoIPからの地理情報を利用してソーシャル・エンジニアリングの罠を仕掛けていることもわかっている。GeoIPのデータベースを使うと,インターネットに接続しているコンピュータ,モバイル機器またはWebサイト閲覧者が実際どこにいるかがわかる。IPアドレスにひも付けられた地理情報には,国,地域,市町村,郵便番号,緯度,経度,タイムゾーンなどの情報が含まれている。サイバー犯罪者は入手した地理情報を利用してスパム・メールやURLをカスタマイズし,無害な送信者から送られたように見せかける。これにより,不正なメールがより効率的に送信され,より多くの無防備なユーザーがクリックする恐れがある。

 上記のような手口を用いて配布される,偽セキュリティ・ソフト型「FAKEAV」の最近の亜種は,以下の通りである。

・「TROJ_FAKEAV.BOH」 - 911アメリカ同時多発テロ事件に関するニュースの検索結果をクリックすると,不正サイトからこの不正プログラムがダウンロードされる恐れがある。
・「OSX_JAHLAV.M」 - カルフォルニア山火事に関わる用語で検索した結果をクリックすると,この不正プログラムがダウンロードされる可能性がある。
・「TROJ_FAKEAV.BND」 - 「Total Security」というセキュリティソフトを装う。

図2●悪質に操作された「911」に関する検索結果
[画像のクリックで拡大表示]
図3●偽セキュリティソフト型「TROJ_FAKEAV.BND」のインストーラ
図3●偽セキュリティソフト型「TROJ_FAKEAV.BND」のインストーラ

 このような事例の分析をさらに進めた結果,「FAKEAV」の配布に利用される検索用語は,最近の出来事に限られないことがわかってきている。用語の新旧にかかわらず,特定の言葉がどれだけ検索されているかによって検索結果が悪質に利用されるかどうかが決まる。