Torrent サイトには海賊版のコンテンツが出回っていますが、気付かないところでそれが影響をもたらすことがあります。利用者の多い Torrent サイトをシマンテックが調査したところ、潜在的に迷惑なアプリケーション(PUA)を拡散する活動が確認されています。『アサシン クリード シンジケート』とか『ウィッチャー3 ワイルドハント』といった人気ゲームタイトルの名を騙る偽の Torrent が、ユーザーを欺いて密かに PUA をインストールするために悪用されていることが、複数のサイトで確認されました。PUA を拡散するこの攻撃活動では、ペイパーインストール型の正規のアフィリエイトプログラムが悪用されているようです。
潜在的に迷惑なアプリケーション(PUA)
PUA とは、セキュリティやプライバシー、リソース消費に悪影響を及ぼす可能性がある、あるいは他のセキュリティリスクに関係しているソフトウェアのことです。PUA がコンピュータやデバイスにインストールされる経路は複数あり、フリーウェアアプリケーションの形をとることもあれば、サードパーティソフトウェアにバンドルされていることもあります。たいていはユーザーの同意が必要ですが、侵入力の強い PUA になると、ユーザーに知られないままサイレントインストールを実行することも考えられます。
ゲームに偽装した偽 Torrent を使う PUA ダウンローダの活動
今回の攻撃活動では、偽の .torrent ファイルをダウンロードすることによって悪質な PUA プログラムがインストールされます。ゲーマーを誘導して Torrent ファイルをダウンロードするために、以下のような人気のゲームが悪用されています。
- 『World of Warcraft: Legion』(Blizzard Entertainment)
- 『アサシン クリード シンジケート』(Ubisoft)
- 『ウィッチャー3 ワイルドハント』(CD Projekt)
- 『ディビジョン』(Ubisoft)
- 『ジャストコーズ3』(Square Enix)
- 『The Walking Dead: Michonne』(Telltale Games)
ダウンロードの指示に従って進むと、ユーザーはゲームの .torrent ファイルをダウンロードしていると思い込まされます。たとえば、確認ウィンドウに表示されるファイルサイズ(バイト単位)が小さいので、ダウンロードしているのが .torrent ファイルだと考えてしまうわけです。続行する方法を具体的に指示するステップまで用意されています。
図 1. ダウンロードの指示が書かれたオーバーレイウィンドウ
ユーザーがそのまま続行すると、ユーザーアカウント制御(UAC)のセキュリティダイアログが開き、ダウンロードの実行を確認するよう促されます。
図 2. ファイルを実行すると UAC セキュリティ警告が表示される
これを承認するとリダイレクトが発動し、最終的には Google ドライブにホストされている実行可能ファイルがダウンロードされます。Google はすでに、この活動で使われている PUA ダウンローダが悪質なファイルであることを確認しています。
図 3. Google ドライブでは、PUA ダウンローダが悪質であると識別されている
この時点で、ダウンロードしたファイルが、期待した .torrent ファイルではなく、実行可能ファイル(.exe)であることに気付くユーザーもいるかもしれません。ダウンロードしたファイルのサイズ(約 3.5 MB)を簡単に調べるだけでも、これが .torrent ファイルではないことはわかるからです。
図 4. Windows の[ファイルのダウンロード]ダイアログボックスでも、ファイルは .torrent ではなく .exe と判別される
ユーザーがダウンロードを承認し、実行可能ファイルを実行すると、PUA ダウンローダが次の PUA のダウンロードとインストールを実行します。シマンテックは、この PUA ダウンローダのサンプルを PUA.ICLoader!g3 の検出定義で検出します。
PUA ダウンローダは、アドウェアをホストしている以下のリモートサイトに POST 要求を送信することがあります。
- 188.42.244.143
- 188.42.244.207
- apibiggo.ru
- apifastmake.ru
- apifastrun.ru
- apiitheynow.ru
- apiquicklygo.ru
- apirapidlygo.ru
- lolappiifastr.ru
- lappiifaster.ru
PUA ダウンローダは、密かに次の PUA をダウンロードする前に、仮想環境の有無を確認する場合もあります。追加の PUA ソフトウェアのインストールは、ユーザーの操作を必要とせず、また使用許諾書(EULA)を表示することもなく進みます。インストールされた PUA プログラムは、ブラウザでデフォルトのホームページを変更したり、特定のブラウザショートカットを隠したりすることが、シマンテックの解析で判明しています。また、既存のブラウザショートカットを、広告入りのサードパーティブラウザへのショートカットに書き換える場合もあるようです。
まとめ
ゲームを悪用する偽 Torrent の攻撃についてお伝えしましたが、この活動は無警戒な Torrent ユーザーに PUA ダウンローダを拡散するために、ダウンローダの実行可能ファイルにユーザーをリダイレクトしており、最終的には複数の PUA がインストールされます。この活動の背後に潜む攻撃者は、ペイパーインストール型のアフィリエイトプログラムを数多く悪用して、警戒網をかいくぐろうとしていると考えられます。この攻撃で拡散しているのは PUA ダウンローダだけですが、同じ拡散手法を使って、今以上のセキュリティリスクが広がったり、マルウェアが拡散されたりする可能性はありそうです。
対処方法
今回お伝えした攻撃活動の影響を避けるには、以下の推奨事項に従ってください。
- Torrent サイトから海賊版コンテンツをダウンロードしない。攻撃者が Torrent サイトを利用してセキュリティリスクやマルウェアを拡散するときには、人気の映画やテレビ番組、ゲームなどのタイトルを悪用するのが常套手段です。
- セキュリティソフトウェアは常に最新状態に保ち、セキュリティリスクに備える。
- ファイルを開こうとしてセキュリティウィンドウが表示された場合は、注意する。今回の攻撃でも、コンピュータのポップアップウィンドウで偽の .torrent ファイルは .exe と判別されており、ファイルがタイプを偽装していることは明らかです。
保護対策
シマンテック製品とノートン製品を使えば、この攻撃活動に伴う PUA ダウンローダは、以下の検出定義で検出されます。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】