SEOポイズニングによる攻撃において、偽の「YouTube」ページおよび「Adobe Flash Player」インストーラが利用される
投稿日: 2010年7月20日
この脅威は、どのようにしてコンピュータに侵入しますか?
検索エンジンを利用し情報検索を行うユーザが気付かないうちに、このSEOポイズニングによる新たな攻撃の犠牲となってしまいます。
ユーザが、「米TVリアリティ番組の出演者Teresa Giudice」や「英国人女優Holly Davidson」、「英BPによるメキシコ湾原油流出事故」といったトピックに関する動画の検索結果をクリックすると、まず動画共有サイト「YouTube」を装ったWebページへ誘導されます。そして、この偽YouTubeページに表示された動画を見ようとすると、非常によく見慣れた偽の感染警告が表示されます。
また、「Mel Gibson tapes」の検索を行い、表示された検索結果をクリックすると、これまでにみられたような偽の感染警告のページに誘導されるのではなく、"Adobe Flash Player" のインストーラをダウンロードするように促す偽のメッセージウィンドウが表示されます。
この脅威は、どのような攻撃をユーザに仕掛けますか?
「TROJ_FAKEAV.MVA」に感染したコンピュータには、「コンピュータが不正プログラムに感染した」という偽の感染警告が表示されます。この偽セキュリティソフトはその後、「検出された不正プログラムをすべて取り除くためには完全版のソフトウェアが必要である」と、購入をするようにユーザを促します。この不正活動はユーザの口座情報を流出の危険にさらし、盗まれた個人情報の不正利用を招く恐れがあります。
一方、「TROJ_MONDER.RON」に感染したコンピュータにも同様に、「不正プログラムが検出された」という偽のセキュリティ警告や偽のメッセージウィンドウ、タスクトレイ上の通知などが表示されます。このトロイの木馬型不正プログラムはまた、感染コンピュータ内に不正なファイルをダウンロードし、実行します。
この脅威は、どのような影響をユーザに与えますか?
検索エンジンを使って情報をオンラインで検索するユーザが気づかないうちに、偽セキュリティソフト型不正プログラム「FAKEAV」の典型的な攻撃を受けることとなります。このように、サイバー犯罪者は、偽装セキュリティツール (Scareware) による手口でユーザをだまし、クレジットカード情報を提供させます。そして、これらの情報を利用して利益を上げるのです。
サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?
偽セキュリティソフト型不正プログラムは、サイバー犯罪者の利益獲得を主な目的として設計されています。この不正プログラムによるユーザの損失額は、既に数百万ドルに上っており、サイバー犯罪者にとってもうかるビジネスとなっています。
この攻撃は、今までの攻撃と何が違いますか?
今回の攻撃は、ユーザが毎日行うインターネット活動のうち多くの時間を占める2つの活動、「検索エンジンの利用」および「動画の視聴」を利用し、「SEOポイズニング」や偽の「YouTube」ページの表示といった手法により実行されます。
また、別の感染活動では、偽のAdobe Flash Playerのインストーラが利用され、ユーザに不正プログラムのダウンロードおよびインストールを促します。さらに、この攻撃を行ったとみられるサイバー犯罪者は、本物そっくりのAdobe Flash Playerインストーラを使用したばかりでなく、Adobe関連の正規Webサイトを装うURLも使用しました。
コンピュータに侵入した脅威へはどのように対応すればいいのでしょうか?
感染コンピュータから「TROJ_FAKEAV.MVA」および「TROJ_MONDER.RON」を取り除くには、トレンドマイクロが提供する手動削除手順をご利用いただけます。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?
トレンドマイクロ製品をご利用のユーザは、クラウド型技術と連帯した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend
Micro Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術により、「TROJ_FAKEAV.MVA」および「TROJ_MONDER.RON」を検出し実行を防ぎます。
コンピュータをこの脅威から守るにはどうすればいいのですか?
検索エンジンを使用して情報検索をする際、ユーザは、最新の注意を払う必要があります。SEOポイズニングによる攻撃は今後も依然として続いていくことが予想されるため、WebサイトのURLをクリックする前に確認することが賢明な対策となります。また、検索エンジンでの検索結果に表示されたリンクをクリックするのではなく、URLを手動でブラウザに入力し、実際のWebサイトに直接アクセスすることも有効です。
また、トレンドマイクロ製品をご利用でないユーザは、無料サービス「Trend Micro HouseCall」利用して、感染していないかどうか確認することをお勧めします。