自然災害では、その甚大な被害に劣らず、最も深刻な点は「その発生が予想不可能だ」ということでしょう。このため、多くの場合、無防備のまま被災してしまった人々と、その災害を驚きをもって見守るしかない大多数の人々というように二分されます。そしてたいへん残念なのは、このような状況につけこみ、被災者を支援しようとする人々を標的にするサイバー犯罪が存在するという事実です。

地球上のある地域で自然災害が発生した場合、たくさんの人々がインターネット等を通して災害に関する情報を入手しようと躍起になります。サイバー犯罪者は、そうした状況につけこむのです。こうして、災害発生からわずか数時間後には「災害に便乗した脅威」がインターネット上で確認され、またたく間にユーザの感染被害へと至ってしまいます。

この脅威は、どのようにしてコンピュータに侵入しますか?

通常、この種の脅威は、インターネットを介してユーザのコンピュータに侵入しますが、ショート・メッセージ・サービス(SMS)などのテキストメッセージを介して侵入する場合もあるようです。まずは、災害関連情報をインターネット上で入手しようとするユーザの関心を引くため、災害のニュース記事が利用されます。さらに、SEOポイズニングの手口により、災害に関するキーワードを検索すると不正サイトが上位にランクインするような細工が施されます。こうして、何も知らないユーザは、「FAKEAV」がダウンロードされるサイトに誘導されたり、偽セキュリティソフトがインストールされたりという脅威にさらされることとなります。

また、「FAKEAV」のダウンロードだけでなく、不正に義援金を募るといった詐欺行為の被害にも見舞われます。こういった詐欺行為は、自然災害に関する人々の関心を逆手にとり、義援金を募る内容のデマ情報やスパムメールやテキストメッセージを流布させたり、それらを通して何も知らないユーザをフィッシングサイトに誘導させたりすることで行われます。

今回の脅威でユーザが最初に受ける攻撃は、どのようなものですか?

自然災害の発生直後から、インターネット・ユーザは、SEOポイズニングの脅威にさらされます。この手口を利用すれば、自然災害に関連するキーワードで検索した際に(たとえば、「FAKEAV」がダウンロードされる)不正サイトが上位がランクインするようになります。こうして、サイバー犯罪者は、ユーザの関心を逆手にとり、簡単に「FAKEAV」を拡散させることができます。

「自然災害に便乗した脅威」としては、他にどのような攻撃がありますか?

残念ながら「自然災害に便乗した脅威」は、「FAKEAV」のダウンロードに限るわけではありません。実際、2011年3月11日に日本で発生した今回の大震災についても、災害発生からわずか数時間後に、以下のような脅威が確認されています。

義援金を募る詐欺サイト:サイバー犯罪者は、義援金の寄付をしたいユーザの関心を引くためにも、SEOポイズニングのキーワードに工夫を凝らします。偽の義援金募集サイトなどのような不正サイトは、決して珍しいものではなく、災害発生時には必ずと言っていいほど確認されます。場合によっては、災害時のフィッシング攻撃やその他の不正活動に利用するサイトのために、複数のドメイン名が「作りおき」されることさえあります。

デマ情報:デマ情報は、ユーザの関心を引くためのワナとして利用されるだけでなく、不必要な恐怖やパニックをユーザ間に生じさせることもできます。たとえば、「日本の原発事故のため放射能汚染が他国にも及ぶ」といった噂がインターネット上で流布したのが、そうしたデマ情報の1つといえるでしょう。「日本のアニメキャラクターの生みの親とキャラクターのデザイナーが今回の震災で亡くなった」などという噂も、同じようなデマ情報の1つといえます。こうしたデマ情報は、単に「事実無根の噂」として拡散させる以外にも、「デマ情報に関連したキーワードで検索すると不正サイトが上記にランクインされる」というようなSEOポイズニングのキーワード操作にも利用されます。

スパムメール:「災害に便乗した脅威」は、Webからだけでなく、スパムメールを介してももたらされます。支援を求める悲痛な内容のスパムメールが作成され、巧みに人の感情や好奇心に訴えようとするのです。ユーザは、こういった内容のメールに騙され、支援組織の正規サイトではなく、怪しげな不正サイトへと誘導されてしまうのです。さらに厄介なことには、一見すると正規の支援組織のサイトにみえても、実際は、偽サイトであったり、あるいは正規サイトがハッキングされている場合もあり、こうした点からも細心の注意が必要になります。過去には、いわゆるチェーンメール形式のスパムメールも出まわっていました。この場合も、支援の輪をメールを介して広げるつもりが、実際は、スパムメールを拡散させ、知らない間にサイバー犯罪に加担していることになります。

ショート・メッセージ・サービス(SMS)を用いた手口:サイバー犯罪者たちが用いる手口は、オンラインに限るわけではありません。その範囲は、SMSなどのテキストメッセージまで及びます。寄付をしたいユーザの善意につけこみ、高額の請求が発生する電話番号や振り込み先などを記したテキストメッセージを送りつける手口は、すでに確認されています。さらにテキストメッセージだけでなく、固定回線に電話をして口頭で振込みを促す「振り込み詐欺(オレオレ詐欺)」の手口も、よく知られたとおりです。まさしく「目的を達成するためには手段を選ばない」とは、このことを言うのでしょう。

この脅威は、どのような被害をユーザに与えますか?

「災害に便乗した脅威」も、今日発生しているその他の多くのサイバー犯罪関連脅威と同じく、金銭を得ることが最終目的となっています。自然災害という非常時さえ、サイバー犯罪者たちは、支援の手を差し伸べたいというユーザの心理に巧みにつけこみ、金儲けの機会に変えてしまうのです。

「FAKEAV」の場合は、いわゆる「スケアウェア」の手口が利用されます。これは、偽セキュリティソフトによる「ウイルスに感染しています」などの偽の警告を発し、ユーザに(偽の)有料版のウイルス対策ソフトの購入を迫るという脅しの手口です。今回のような災害に便乗したケースでは、SEOポイズニングにより、災害関連のキーワードで検索した際に上位にランクインされる不正サイトからこうした「FAKEAV」がダウンロードされます。また、義援金受付の偽サイトやその他の詐欺行為も駆使され、まさしく支援の手を差し伸べたいというユーザの人々の好意を踏みにじるのです。

また今回のような脅威でユーザが受ける被害は、単に「騙されて金銭を失う」というだけにとどまりません。とりわけ「FAKEAV」やその他のフィッシング攻撃の場合、「個人情報が盗まれる」という被害にまで見舞われ、ユーザのコンピュータもマルウェアによる感染被害を受けてしまうのです。つまり、災害に関連した情報を得ようとしたり、支援の手を差し伸べようとしたりしたユーザが、その目的を果たせず、逆に大きな損失を被るという結果になってしまうのです。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Eメールレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。

上席研究員 林 憲明は、この脅威に関して次のようにコメントしています。

「こうした自然災害に便乗した攻撃は、過去には、2005年に米国南東部を襲ったハリケーン・カトリーナや2008年にカリブ海で発生したハリケーン・グスタフ、2008年の中国四川大地震で確認され、最近では2010年のハイチ地震でも確認されています。そのため、義援金・寄付金は、信頼できる組織を選んで送金するように心がけてください。」

また、スレット・レスポンス・エンジニア Norman Ingalも次のようにコメントをしています。

「SEOポイズニングを利用して偽セキュリティソフトのダウンロードへと誘導する手口は、今だにサイバー犯罪の常とう手段のようです。ユーザは、常日頃からしっかりと正しい情報に触れてサイバー犯罪の傾向を把握し、こうした手口に引っかからないように注意しなければなりません。」

コンピュータを今回のような脅威から守るにはどうすればいいですか?

Webを利用する際の注意点:
  • 災害等に関連するニュース情報を入手する場合は、サーチエンジンによる検索に頼らず、できるかぎり信頼のおけるニュースサイトに直接アクセスして入手するようにしましょう。
  • サーチエンジンで検索する場合は、検索結果ページの「スニペット(実際のページのテキスト抜粋などが表示される箇所)」をしっかりチェックしておくこと。不正サイトの検索結果の場合、通常、この箇所には、キーワードのランダムが組み合わせのみが表示されているので、直ぐに見分けることができます。
  • SEOポイズニングにより上位にランクインした不正サイトを誤ってクリックするのを避けるためにも、目的のサイトを閲覧するときは、できるかぎりWebブラウザのアドレスバーにURLを直接入力すること。ただし、タイポスクワッティング(ブラウザのアドレスバーにURLを入力する際の「タイプミス」を悪用して、不正サイトへ誘導すること)の手口に引っかからないためにも、直接入力の際には十分注意してください。
  • 未確認のリンク(特にURLにランダムな文字列が含まれているようなリンク)は、クリックしないこと。また、短縮化されたURLのリンクをクリックする場合も、必ず短縮化される前の完全なURLの文字列を確認しておくこと。閲覧しようするサイトが正規かどうかは、「Trend Micro Site Safety Center」などを利用して確認することができます。
  • 義援金の寄付などは、信用のおける機関や組織の公式サイトを訪れて、必ずそこから行ってください。
  • トレンドマイクロの「Web Protection Add-On」などの信用のおけるURLフィルタリングのアプリケーションをインストールしておくことです。「Webレピュテーション」技術を利用したこのアプリケーションは、ご使用のブラウザに組み込まれ、危険なサイトへの接続をブロックすることができます。

Eメールを利用する際の注意点:
  • 送信元不明などの怪しいメールを受信した場合は、直ちに削除すること。
  • 身元不明の送信者には、金銭や個人情報等の送付は絶対にしないこと。
  • どのような内容であれ、チェーンメール等の送信には絶対に協力しないこと。
  • スパムメールやその他の怪しいメール内のリンクは、絶対にクリックしないこと。また添付ファイルがある場合は、絶対に開かないこと。
  • メールボックスに入ってきたスパムメールを直ちに削除し、閲覧しようとするサイトが不正である場合は確実にブロックしてくれる信頼のおけるセキュリティソフトをインストールしておくこと。