この脅威はどのようにしてユーザのコンピュータに侵入しますか?

偽セキュリティソフトは、様々な方法でユーザのコンピュータに侵入してきます。実際、サイバー犯罪者は、スパムメールの送信など、様々な手口を駆使してきます。スパムメールの場合、受信したスパムメール内のリンクをユーザが不用意にクリックすると、偽セキュリティソフトもしくはFAKEAVのマルウェア自体がダウンロードされるWebページに誘導されることになります。また、サーチエンジンの検索結果ページの上位にランクインさせて、正規のアプリケーションを装ってコンピュータに侵入する場合もあります。さらにFAKEAVの亜種の中には、「特定の動画視聴のためにダウンロード・インストールが必要なコード」などを装ってユーザのコンピュータに侵入する場合もあります。

特にサーチエンジンを駆使した手口は、「SEOポイズニング」と呼ばれ、ユーザを不正なWebサイトに誘導させる方法として、サイバー犯罪たちが使用します。また、ソーシャル・ネットワーキング・サイト(SNS)やインターネット上の広告もサイバー犯罪たちに悪用され、ユーザを不正なWebサイトへと誘導し、最終的にFAKEAVなどの偽セキュリティソフト関連のマルウェアがダウンロードされることになります。

FAKEAVなどのマルウェアに感染すると、どのようなことが起こりますか?

FAKEAV関連のマルウェアは、本物そっくりの「Graphical User Interfaces (GUI)」を駆使して、正規のセキュリティソフトを装います。侵入したコンピュータ上では、まずポップアップ・ウインドウにより、「あなたのコンピュータはウイルスに感染しています」という「(偽の)警告」が表示されます。そして、「感染したウイルスを削除するには、有償版のセキュリティソフトを購入する必要がある」というメッセージにより、ユーザに購入を促します。このように「(偽の)警告」でユーザを脅して購入(クレジットカード等の情報の入力)を促す手口は、偽セキュリティソフトの常とう手段です。また、FAKEAVの亜種の中には、いわゆる「身代金要求型マルウェア(ランサムウェア)」の手口を使用するものもあります。この場合、侵入したコンピュータ内のファイルが暗号化され、ユーザが開けないようになります。つまり、ファイルを「人質」にした上で、「ファイルを開くためにはソフトウェアの購入が必要」などと、ユーザに購入(身代金の支払い)を迫るわけです。

また、最近の亜種の中でも、アクセス数の多い有名なサイトなどに組み込まれたFAKEAVの場合、スクリプトを駆使して感染拡大を意図したものも確認されています。特にごく最近の亜種では、「Layered Service Provider (LSP)を変更する」という手口を使用しています。この手口により、ユーザがブラウザで特定のWebサイトにアクセスを試みた際、それを阻止して、代わりに「(偽の)警告」を表示させることが可能になります。 

この脅威は、どのような影響をユーザに与えますか?

FAKEAV関連のマルウェアの場合、ユーザへの影響は、広範囲に及ぶといえるでしょう。まず、自身を隠ぺいする機能に長けていることがあげられます。自身のDLLコンポーネントやSYSコンポーネントを実行中の正規にプロセス("explore.exe" "winlogon.exe" など)、もしくは自身の実行中のプロセスにも組み込み、巧みに自身を隠ぺいします。これにより、不正なファイルや不正なコンポーネントの存在がユーザにも気づかれたり、セキュリティソフトにも検知される可能性が低くなり、これらのファイルが削除されるのを避けることができます。 

また、最近の亜種の中には、「プロセスの強制終了」の機能を備えたものも確認されています。なお、ポップアップ・ウインドウなどによる「(偽の)警告」の頻繁な表示は、FAKEAV関連の不正プロセスに感染した際に生じる典型的な現象ですが、いくつかの亜種の中には、ユーザがサーチエンジンを使用しようとしただけでWebブラウザから「(偽の)警告」が表示されるという手口を駆使したものも確認されています。 

むろん、こうしたコンピュータ自体への影響の他に、金銭に絡む被害もユーザへの深刻な影響といえます。偽の有償版セキュリティソフトを購入するように促され、最終的には、偽セキュリティソフトのライセンスに金を支払うばかりか、クレジットカード等の個人情報までもが、サイバー犯罪の手に渡ってしまうことになります。

なぜ、多くのユーザがこの脅威の被害に見舞われているのでしょうか?

大きな理由の1つは、ユーザに対して「(偽の)感染警告」を提示した上で、オンライン上で偽セキュリティソフトの有償版さえ購入すれば(つまりオンライン上で情報さえ入力すれば)、「(偽の)感染」を解決できると思い込ませる点にあるといえます。今日、インターネットは、様々な情報を共有・交換したり、コミュニケーションのツールとして多くのユーザにとって身近な存在となっており、こうした「思い込み」を受けてごく気軽に対応できてしまうため、非常に多くのユーザが被害に見舞われる結果となっています。 

このように、インターネットは、サイバー犯罪たちが不正活動を行う上で非常に都合のよい場所になっています。多くのユーザは、よく知られた正規のWebサイトであれば、ブログであろうとSNSであろうと、サイト内のリンクを躊躇なくクリックし、簡単に被害を受けてしまいます。これらの正規サイトに掲載されたリンクなどが感染経路につながるとはほとんど考えないからです。しかし、こういった正規サイトを介したFAKEAVの被害はすでに数多く確認されています。ユーザは、単に「(偽の)警告」に煩わされて時間を無駄にするだけでなく、誘導された不正なサイト上で安易に(クレジットカード番号などの)個人情報を入力することで、金銭的な被害にも見舞われてしまいます。

なぜ、この脅威による被害がいつまでも後を絶たないのでしょうか?

今日、余程の初心者ユーザでもない限り、偽セキュリティソフトの手口について理解しているはずです。にもかかわらず、この種の被害が後を絶たないのは、いまだに多くの亜種が様々な手口を駆使して攻撃をしかけてくるからです。とりわけ「SEOポイズニング」に関しては、サイバー犯罪たちは、この手口に非常に長けているため、検索結果のページに巧みに仕掛けられたリンクからユーザは簡単に不正サイトへと誘導されてしまいます。また、「不正サイトへの誘導を何回も繰り返す」という手口も、この種の被害が後を絶たない大きな原因だといえます。何度もリダイレクトを繰り返されると、最終的に被害をもたらす不正サイトのURLを効果的に検知してブロックすることが困難になるからです。

「動画の視聴に必要などと思い込ませて偽のコードをダウンロードさせる」というソーシャルエンジニアリングの手口も、非常に効果があり、この種の被害が後を絶たない大きな原因だといえます。また、マイクロブログサイト「Twitter」やソーシャル・ネットワーキング・サイト「Facebook」といったソーシャルメディア関連サイトを利用するユーザ数が急増していることも、サイバー犯罪たちがそういったサイトのユーザを標的するため、この種の被害が拡大する要因となっています。

偽セキュリティソフトを見分ける方法はありますか?

コンピュータに偽セキュリティソフトが侵入しているかどうかを見分ける際、まず、その典型的な兆候は、ユーザの許可なく勝手にインストールされ、「(偽の)ウイルススキャン」が開始されるという点です。また、勝手にインストールされた)偽セキュリティソフトの「(偽の)更新」や「(偽の)有効化」を促すメッセージを装って、以下のようなダイアログボックスを表示させる場合もあります。


その他の「偽セキュリティソフトを見極める方法」は、以下のブログでも公開されていますが、要約すると次の5項目となります。
  • ユーザが気づかない内にインストールされ、スキャンが実行されるようなセキュリティソフトは、偽物と考えてよいでしょう。
  • 最近のセキュリティソフトは、できるだけユーザに手間を取らせない仕様になっているはずであり、ユーザを不安にさせるような機能・メッセージがある場合も、偽物といえます。
  • 「有償版を購入しないと完全には駆除されない」と称して支払いを促すようなセキュリティソフトも、偽物でしょう。通常は、「30日無料体験版」などが提供されているはずです。
  • 疑わしい場合は、「製品名」でGoogle検索してみること。偽物の場合、製品関連のWebサイトではなく、感染事例の記事等を確認することになるでしょう。
  • 無償のマルウェア検出ツール「HouseCall」による確認も有効です。

具体的にはどのような偽セキュリティソフトが確認されていますか?

「(偽の)スキャン結果」によりユーザへ「(偽の)警告」を表示させる偽セキュリティソフトは、既に数多くの種類が確認されています。特に最近の偽のセキュリティソフトは、非常に精巧なGUIを使用しているため、偽セキュリティソフトの脅威事例などに精通していないごく普通のユーザは、正規のセキュリティソフトとほとんど見分けることはできないでしょう。

また、その製品名も「Microsoft Security Essentials Alert」・「Internet Security」・「SecurityCenter」・「AV Security Suite, Security Tool」・「Desktop Security」など、いかにもそれらしい名称となっています。以下のように、正規のセキュリティソフト製品と何の遜色もないGUIとして作り込まれています。



FAKEAV関連のマルウェアは、どのようにして発展してきましたか?

様々な亜種が存在するFAKEAVですが、古い亜種から最新の亜種へと「進化」してくる中、おびただしい数のフィッシングサイト(本物そっくりの偽サイト)やファーミングサイト(DNSの設定変更によりURLでも区別がつかない偽サイト)が作成され、正規のセキュリティソフトやWebサイトを装う行為が繰り返されてきました。中には、実際に存在する正規のセキュリティソフト自体を装うケースさえ存在しました。

ユーザ側もFAKEAVに対する警戒心を強めてきたため、サイバー犯罪者側も、より巧妙な手口を駆使せざるを得なくなり、以下のような手法により、「実際に存在する正規のセキュリティ関連サイト」などを利用するようになってきたともいえます。
  • HOSTSファイルの改変:古い亜種でよく見られた手口。侵入したコンピュータ内のHOSTSファイルを改変し、URLでは区別できない不正サイトへユーザを誘導する。
  • DNS設定の改変:ファーミングとも呼ばれ、DNS設定を改変し、URLでは区別できない不正サイトへユーザを誘導する。下図の「第9世代の手口」を参照。
  • 正規Webサイトのなりすまし:いわゆるフィッシングの手口。本物そっくりに作られた不正サイトへユーザを誘導する。 存在する正規のセキュリティ関連サイト」などを利用するようになってきたともいえます。
  • 正規のセキュリティソフト関連サイトを改ざん:実際に存在する正規のセキュリティソフト関連サイトを改ざんし、このサイトを閲覧したユーザを不正サイトにリダイレクトする。
FAKEAV関連のマルウェアは、単に「アドウェアとして偽セキュリティソフトのダウンロードをユーザに促す」という手口を第1世代とすると、その後も様々な手口が登場し、下図に示すとおり、実に10世代にも及ぶ「進化」を経てきているといえます。「(偽の)警告」の表示させ方も、「ドアウェイページ(特定のWebサイトへ誘導することを目的とし、検索エンジンで上位表示されるために最適化して作成するページ)」にJavaの脆弱性を利用するなど、巧みな手法が多用されてきています。また、「(偽の)警告」の表示させ方に関しては、Webブラウザに特化した攻撃も登場しています。この場合、正規のWebブラウザにそっくりインターフェースや関連サイトを駆使して、「(偽の)警告」が正規であるように巧みにユーザを信じ込ませています。最近では、「(偽の)警告」を音声でユーザに伝えるという手口を用いた亜種まで登場しています。こうした絶え間ない「進化」は、まさしく偽セキュリティソフトという手口が、いまなおサイバー犯罪者たちにさかんに利用され、創意工夫が試みられているという事実を如実に物語っているといえるでしょう。


トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、従来のアプローチよりもさらに進んだセキュリティ対策をご提供しています。これは、トレンドマイクロの様々なソリューションおよびサービスの中で用いられ、トレンド独自のクラウド型技術と軽量のクライアントアーキテクチャを組み合わせたもので、これにより、ユーザがどこで接続していてもその個人情報が即座に自動的に保護されます。

Web レピュテーション」技術により、FAKEAVがダウンロードされる可能性のある不正なWebサイトがブロックされ、FAKEAV関連の潜在的な脅威からもユーザは守られます。また、「ファイルレピュテーション」技術により、万が一、ファイルがダウンロードされても、FAKEAV関連のあらゆる不正なファイルを検出し、それらが実行されるのを阻止します。

今回のような脅威からコンピュータを守るにはどのような点に注意すればよいですか?

何よりもまず、Eメールを開いたり、URLをクリックする際には、十分に注意する必要があります。信用できないようなWebサイトには、多くの場合、改ざんされたページが含まれていると考えてもよいでしょう。その意味でも、そういったページから出処不明のソフトウェアを安易にダウンロードしてインストールなどということは慎むべきです。どのような脅威が流行しており、どのような手口が利用されているかなど、最新の脅威状況を理解しておくことも、不用意に被害にあわないためにも役立つでしょう。また、ご使用のソフトウェアに関しても、各サードパーティベンダが提供しているセキュリティパッチを適用して、脆弱性が利用されないようにすることです。なお、その際、提供されているセキュリティパッチが、ご使用のOSに対応しているかどかも確認しておく必要があります。

以下のフリーサービスをご利用いただくことでマルウェアを確認することができます。
その他のフリーツール