「Malware Authors Pay to Steal Your Bank Passwords」より
April 26, 2007 Posted by Allysa Myers
ワシントン・ポスト紙のブログで,米グーグルのAdWords広告(Sponsored Link:広告リンク)の悪用についての話題が取り上げられている(関連記事)。
悪用の仕組みは以下の通りだ。Google.comにアクセスし,米国の商事改善協会(BBB:Better Business Bureau)などのWebサイトへのリンクが結果として表示されるようなキーワードで検索すると,Sponsored Linkの先頭に,ユーザーが探しているWebサイトを偽ったサイトへのリンクが現れる。一般的なリンクの場合,ユーザーがリンクにマウス・ポインタを重ねると,大抵のWebブラウザは画面(ステータスバー)左下にそのリンクの指しているWebサイトのURLを表示する。ところが,グーグルのSponsored LinkではURLが画面左下に表示されない。つまりユーザーは,正しい表示だとは限らないにもかかわらず,目に見えるSponsored Linkの表示を信用するしかない。
このSponsored Linkをクリックすると,ユーザーは悪質なスクリプトが仕込まれた悪意のあるWebサイトに誘導される。このサイトには,JS/Wonkaというスクリプトがあった。このWebサイトのページは(HTMLの)iframeが利用されていて,そこには大量の悪質なコードが含まれていて,JS/Exploit-BO.genなどが検出された。ほかにも,有名な悪質なコードが2個あった。先ごろ話題になったQuickTimeのセキュリティ・ホールと,3月のWindowsアニメーション・カーソルに関するセキュリティ・ホールである。QuickTimeのセキュリティ・ホールは,我々が実際に悪用されているのを確認したのは初めてだった。このスクリプトによって,ユーザーのパソコンにはダウンローダが入り込む。調べてみると,ダウンローダはGeneric Downloader.abで,トロイの木馬PWS-Bankerをダウンロードする。PWS-Bankerは,オンライン・バンキング用のユーザー名やパスワードを盗もうとする不正プログラムである。
クラクラしてきたのではないだろうか。
かつて我々は,グーグルの検索用インデックスに対するルーピング手法という不正操作を見つけた。この手法を使うと,「Page Rank」を上げることができ,検索結果で高い順位が得られる。ただし,Sponsored LinkにはPage Rankと違うルールが適用される。Sponsored Linkとして表示してもらうには,グーグルとの間でクリック課金契約を結ばなければならない。さらにSponsored Linkの最上位に表示されるには,ほかの広告主よりも高い掲載料の支払いが必要となる。
このSponsored Link悪用にかかわったアカウントは既にグーグルが削除したので,おかしな動作はなくなった。Sponsored Link用のクリック課金にかかるコストと,まんまと盗みに成功した個人情報の成果を比べると,投資回収率はどの程度だったのだろうか。この悪質なリンクをクリックした人たちにとって,オンライン・バンキング情報の外部への送信を検出または阻止するセキュリティ・ソフトウエアは,金食い虫なのだろうか。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Malware Authors Pay to Steal Your Bank Passwords」でお読みいただけます。
