Video Screencast Help
Security Response

最新かつ最も巧妙な偽ウイルス対策ソフトウェアによるソーシャルエンジニアリング

Created: 17 Sep 2010 03:26:38 GMT • Translations available: English
Sujit Magar's picture
0 0 Votes
Login to vote

不正なセキュリティソフトウェアを用いた詐欺では、ユーザーを巧妙に脅して偽のセキュリティ製品を購入させようとします。これまでに、多くのソーシャルエンジニアリングの手法が、この詐欺を成功させるために進化をとげてきました。ここで紹介する手法は、その中でも最新かつ最も巧妙なものです。

この手法は、最近発見され悪用が確認されている偽のセキュリティソフトウェアで用いられています。このソフトウェアは、正当な「Microsoft Security Essentials」であると称してユーザーを欺きます。製品名にはたいしたソーシャルエンジニアリングは使われていませんが、段階的にユーザーを欺いて正体不明のセキュリティ製品を購入させようとする手口は、ソーシャルエンジニアリングそのものです。この種の実行可能ファイルを実行すると、次のような Microsoft Security Essentials を騙ったダイアログが表示されます。
 

偽のウイルス対策ソフトウェアでよく見られるように虚偽の検出結果が多数表示されるわけではなく、脅威を 1 つしか報告していない点に注目してください。常に同じファイル(c:\windows\system32\cmd.exe)が「Unknown Win32/Trojan」として報告され、ユーザーは[Apply actions]をクリックするように求められますが、[Apply actions]と[Clean computer]のどちらのボタンをクリックしても、識別した脅威をオンラインスキャナでスキャンする画面に遷移します。この画面には偽のオンラインスキャナウィンドウが表示され、シマンテック製品など、定評のあるウイルス対策製品がほぼすべてリストされますが、中には不明な製品も 5 つ含まれています。

1.    AntiSpySafeguard .. World’s leading security solution
2.    MajorDefenseKit .. World’s leading security solution
3.    PeakProtection2010 .. World’s leading security solution
4.    PestDetector4.1 .. World’s leading security solution
5.    RedCross Antivirus .. World’s leading security solution

上に挙げた 5 つの製品は、同じ偽セキュリティ製品のクローンです。オンラインスキャンでは、偽ウイルス対策製品であるこの 5 つだけが前述の脅威を「検出」し、それ以外の有名な(そして正当な)ウイルス対策製品はこの脅威を検出しないことが示唆されます。そのうえで、これらの偽セキュリティ製品のいずれかを無料でインストールできるオプションが表示されます。

 

上の図にリストされている偽の製品のいずれかに対応する[Free install]をユーザーがクリックすると、この脅威はインターネットからは何もダウンロードせず、自身を「%APPDATA%/antispy.exe」にコピーします。ユーザーが選択した製品に応じて、次に示す 5 種類の製品ウィンドウのいずれかが表示されます。
 

続いて偽のインストールメッセージが表示され、インストールが完了すると偽のスキャンが始まります。
 

(他の 4 つのインターフェースでも似たような結果が表示されます。)

最終的には他の偽ウイルス対策製品と同様に、SecurityEssentialFraud も、「検出された」脅威を除去するために製品を購入するようにユーザーに求めてきます。

ユーザーが購入を選択しない場合には、偽の検出結果に関する警告ダイアログがポップアップ表示され、ユーザーを脅して製品を購入させようとします。

この詐欺ソフトウェアが段階的にユーザーを誘導する手口は注目すべきものであり、非常に巧妙なやり方です。有名なセキュリティ製品が検出に失敗したと思わせる最新の手口を調べ、その成功例を追跡すれば、これと同じ手法または改造したものが他の偽セキュリティソフトウェアでも採用されていることを確認できるかもしれません。

シマンテック製品をお使いのユーザーは、この脅威から保護されています。シマンテック製品では、この脅威を SecurityEssentialFraud として検出します。