セキュリティ最前線 （2010年2月25日）

有名人や話題の情報検索にはご用心！

●サイバー犯罪における新しい組み合わせ：SEOポイズニングと「FAKEAV」

「FAKEAV」は、2009年より複数の亜種が急速にインターネット上で出回りました。2004年にはすでにこの種の脅威が確認されていましたが、2009年には大幅に増加。最も一般的な「Webからの脅威」に名を連ねることとなりました。

SEOポイズニングは、サイバー犯罪者がFAKEAVをばら撒く際のお決まりの手口になってきています。彼らは、確かな金儲け手段であるFAKEAVをダウンロードさせるためには、検索結果を悪質に操作することが非常に効果的な方法であることを熟知しています。こうして、不正なリンクをクリックさせ、FAKEAVのダウンロードが待ち受けている不正Webサイトにユーザを誘導するのです。

▲ SEOポイズニングとFAKEAVが組み合わされた典型的な感染フロー

SEOポイズニングではない他の方法でFAKEAVがばら撒かれることもありますが、検索結果を悪質に操作する「SEOポイズニング」の手口は特に危険です。というのも、検索エンジンを悪用するだけで、大抵のユーザが被害者となってしまう可能性が高いからです。実際、サイバー犯罪者は、当たり前のように、話題のニュースや出来事に便乗した不正サイトを作成し、FAKEAVを拡散しています。

SEOポイズニングとFAKEAVがセットになった脅威については、以下の3つの最新事例からも明らかになっています。

• 「米国人俳優ジョニー・デップの自動車事故死」の偽ニュース
• 絶大な人気を誇るテレビ番組のひとつ、アメリカン・フットボール中継『Super Bowl 44』の最新シーズン版
• 「米国の伝説的コメディアン、ビル・コスビーの死去」の偽ニュース---本人によりデマだと訂正される

これら各攻撃において、共通点が2つあります。1つ目は、SEOポイズニングを用いてFAKEAVをダウンロードさせる、という点です。どの攻撃においても、上記出来事に関連した文字列で検索した結果を悪用しています。人々の好奇心、有名俳優やアメリカン・フットボール「Super Bowl」の人気を利用しました。検索結果はどれも、以下のFAKEAVの亜種が組み込まれた不正サイトにユーザを誘導するようになっていました。

• TROJ_DLOADER.GRM　（別名：Drive Cleaner 2006）
• TROJ_FAKEAL.SMDP　（別名：Security Antivirus）

2つ目は、今回の攻撃の背後に潜むサイバー犯罪者の目的です。どの攻撃においても、サイバー犯罪者の念頭にあったのは、言うまでもなく、「金儲け」でした。

一方、この2つの不正プログラムについて、多少の違いも確認できます。「TROJ_DLOADER.GRM」は、ジョニー・デップの自動車事故のビデオを見るためにダウンロードする必要がある「コーデック」を装っていました。一方、「TROJ_FAKEAL.SMDP」は、偽セキュリティソフト型マルウェアの常とう手段で、かついまだ効果的な「スケアウェア」の手口を用いていました。つまり、ユーザのコンピュータが感染したかのように装って不正プログラムを削除するために、偽セキュリティソフトを買うように促すのです。

●SEOポイズニングを用いてどのようにFAKEAVをばら撒くのか

SEOポイズニングとFAKEAVの組み合わせは、これからもまだまだ続く可能性があります。トレンドマイクロのウイルス解析研究機関トレンドラボでは、両者の組み合わせがどのように悪事を働くか分析し、以下のような手口の可能性を予想しています。

• サイバー犯罪者は、今後も「Keyword stuffing（キーワードスタッフィング）」を利用したり検索語を悪用して、話題のニュースの上位検索結果に自分たちが作成した不正サイトを表示するように画策するでしょう。
• サイバー犯罪者は、また、「Page stuffing（Webページスタッフィング）」を用いたり、正規Webサイトに不正侵入して、上位検索結果に表示される細工を施すでしょう。
• サイバー犯罪者は、また、「Farming links（リンクファーム）」や大量のリンクを掲載したWebページを用いて、検索結果の上位に表示される細工を施すでしょう。また、自分たちが用意した不正サイトにリダイレクトするリンクを挿入する場合もあるでしょう。
• 最後に、サイバー犯罪者は、より効果的な「Cloaking（クローキング）」手法を改良し続けるでしょう。クローキングとは、SEO対策のひとつの手法で、検索エンジンにおいて、検索結果の順位を上げるためにWebサーバに細工を施すことです。これにより、検索エンジンのロボットには、閲覧者とは異なるWebページを見せます。この結果、ユーザは、偽のWebサイトや偽の検索エンジンに誘導されることになります。

近年のインターネットの人気は、ユーザがより積極的にオンライン上で情報を探すようになったということだけではなく、これまで以上にもっと素早く情報を得たいということも意味しています。またこれは、このような急いでたくさんの情報を求める無防備なユーザを標的として、いかがわしい「製品」を売りつけるようとするサイバー犯罪者たちにとっても、格好の「市場」がますます拡大していくことでもあります。より多くのユーザが情報検索するほど、悪質に操作された検索結果のリンクをクリックし偽セキュリティソフトをダウンロードすることとなるからです。

偽セキュリティソフト型不正プログラム「FAKEAV」の不正活動が、この数か月の間に何度も確認されているのは、冒頭で述べた通りです。少なくともユーザは、偽の警告に対応したりウィンドウを閉じたりするのに時間を取られることになります。ただし、ユーザがセキュリティソフトを販売する正規サイトと信じ、誤ってクレジットカード番号のような金融情報を偽サイトに入力してしまった場合、直ちに金銭的な損失を被ることになります。また、FAKEAVが売り付ける偽セキュリティソフトは、50～70米ドル程度で正規のセキュリティ製品に比べてかなりお手頃なため、誤って金融情報を入力してしまう危険がかなり高くなると言えるでしょう。

このようなことから、企業は、FAKEAVがもたらす脅威や他のWeb攻撃から安全を確保するために厳重なセキュリティ対策を実施しなければなりません。ただし、今日の複雑化した脅威の全体像を考慮すると、セキュリティ製品をインストールすることだけでは、もはや安心できません。もっと積極的なセキュリティ対策を講じて、顧客や従業員にサイバー犯罪者の巧妙なたくらみを認識させる必要があります。

Trend Micro Smart Protection Network（SPN）は、従来のアプローチよりもさらに進んだセキュリティ対策で、新種の脅威がユーザを襲う前にこれをブロックします。このSPNは、トレンドマイクロのさまざまなソリューションおよびサービスの中で用いられ、トレンド独自のクラウド型技術と軽量のクライアントアーキテクチャを組み合わせたもので、これにより、ユーザがどこで接続していてもその個人情報が即座に自動的に保護されます。このSPNは、攻撃全体から必要なセキュリティ対策を識別し、それらを「相関分析」することにより、総合的な防御を可能にしたセキュリティ技術です。

この攻撃では、SPNの「Webレピュテーション」技術により、FAKEAVがダウンロードされる不正Webサイトにユーザがアクセスする前にブロックします。また、「ファイルレピュテーション」技術により、「TROJ_DLOADER.GRM」および「TROJ_FAKEAL.SMDP」として検出される不正ファイルを検知し削除します。

ユーザは、FAKEAVの亜種が組み込まれている可能性があるサイトや未知のWebサイトへ無防備にアクセスしないことを強くおすすめします。また、検索結果の上位に表示されていても、そのURLをよく知らない場合も同様に、聞いたことのないWebサイトは避け、見覚えのあるドメイン名で認知されているサイトを閲覧するようにしてください。こうすることでユーザは、被害に遭う可能性を回避することができます。

トレンドマイクロ製品のユーザでない場合は、無料サービス「オンラインスキャン」を利用し、感染していないかどうか確認することをおすすめします。

今回の脅威に関するブログ

SEOポイズニングから偽セキュリティソフトへ誘導させる事例（TrendLabs MALEARE BLOG・英語）

• Blackhat SEO and FAKEAV: A Dangerous Tandem
• Rogue AV Scams Result in US$150M in Losses
• FAKEAV Gets First Dibs in Profits from Apple iPad
• Hackers Exploit Actor Johnny Depp’s Death Hoax
• Searches for Super Bowl News and Bill Cosby’s Supposed Death Lead to FAKEAV
• Searches for Free Printable Items Lead to Malicious Domains

関連情報

偽セキュリティソフトの対策（インターネット・セキュリティ・ナレッジ）

• 偽セキュリティソフト詐欺にご用心