平原伸昭/トレンドマイクロ スレットモニタリングセンター

 Web2.0をキーワードに進化し続けるインターネット。しかしその一方で,ブログなどの新しいコミュニケーション・ツールや,Web2.0を代表するWebサービスを悪用した脅威は急増している。また,ネットの利便性向上は,攻撃者にも恩恵を与えてしまう側面がある。

 そこで今回は,Webサービスを悪用する攻撃例に加えて,不正プログラムによる金儲けの仕組みについてもいくつか紹介する。不正プログラム作成の裏側にある意図を理解することは今後の傾向を把握し,適切な対策を取るために重要な要因となるからだ。

Googleのアドオンかと思ったら実はそれが不正プログラム

 ブログ,SNS,Ajax,RSSといったインターネットにおける新しいサービスや技術は,今やユーザーに対して高いコンピュータ・ネットワークの知識やスキルを要求することなく,気軽にインターネットを利用できる基盤となっている。しかし,利用者が増えれば増えるほど,悪意の第三者にターゲットとして狙われるようになるのも犯罪や不正行為の常である。

 多くのユーザーに身近なところでは,ブログの迷惑トラックバック(トラックバック・スパム)が挙げられるだろう。これは,元のブログの内容とはまったく関係のない内容の広告トラックバックを付ける行為のこと。出会い系や違法商品のメッセージとリンクが,個人のブログ・サイトを埋め尽くしているケースすらある。不特定多数へ無差別にメッセージを送りつける点で,迷惑メールと同様の目的で使われている。

図1●Googleに見せかけた悪質サイト
図1●Googleに見せかけた悪質サイト
[画像のクリックで拡大表示]
 また,Web2.0を駆使する代表的な企業としてよく例に出されるGoogleについても,これをかたった偽サイトによる不正プログラムの配布や詐欺事件が頻繁に起きている。例えば2007年8月末には,偽Googleサイトによって不正プログラムが配布される事例が確認された(図1関連記事)。

 この偽サイトの場合は,本物のGoogleそっくりに似せたデザインのサイトに,いくつかのリンクが用意されていた。そして,「ここをクリックして必要なアドオンをダウンロードしてください」という指示に従ってクリックすると,怪しい実行ファイルをダウンロード。このファイルが不正プログラムの本体であり,実行した場合にはパソコン内の「hosts」ファイルが書き換えられる。その結果,各国のGoogleサイトにアクセスしようとすると,すべて不正な偽サイトにアクセスさせられてしまう。

 さらに,この不正プログラムはインスタント・メッセンジャを介したワーム活動を行い,感染を広げることで偽サイトへの誘導を強める仕掛けを持っていた。以前は感染経路としてメジャーだったメールの代わりに,インスタント・メッセンジャを経由して不正プログラムのファイルや配布サイトのURLを送りつける手法は,もはや一般的なものとなった感がある。

 最近,「Webからの脅威」では,Webページを閲覧した際に実行される不正なスクリプトや,知らぬ間にダウンロードしてインストールされるコンポーネント化された不正プログラムが多用される。不正プログラムの作者側から見た場合,Ajaxを基盤にしたWebページ上でスクリプトを動かすWebサービスやRSS,ガジェットなど,ユーザーのデスクトップ上でWeb上の情報を集約して利用するサービスは,不正なスクリプトやプログラムを忍び込ませやすい環境と言えよう。

 今後,ユーザーにとってネットの利便性がさらに向上していくのは想像に難くないが,いかなるサービスにおいても,情報発信者の信用度を正しく評価することがますます重要になってくる。

Web2.0のビジネスモデルを悪用した闇商売

 Web2.0として一般ユーザー向けの新しいサービスが充実する一方で,新しいビジネスモデルも生まれている。ソフトウエアの機能をWebサービスとして利用する「SaaS」や,Webサイトやメール・マガジンにショッピング・サイトのリンクを張り,商品購入の際には報酬を支払う「アフィリエイト」などはその代表例だろう。

 ところが,悪意のある者の間でも上記のビジネスモデルを悪用した闇の商売が存在する。不正プログラムを使用した金儲けの仕組みには,有名な「スパムビジネス」,「フィッシングビジネス」などいくつかの存在が確認され,よく知られるところになっている。そして,Web2.0のビジネスモデルを使った闇ビジネスとして挙げられるのが,「MaaS」(マース)と「アフィリエイト・モデル」だ。

不正プログラムを時間貸し

 MaaS(Malware as a Service)は,その名から推測できるようにSaaS(サース)をもじった俗語である。Malware(マルウエア)とは,Malicious Softwareの略で「悪意のあるソフトウエア」のこと(関連記事)。一方のSaaSは,ソフトウエア・ベンダーがソフトウエアをパッケージで売るのではなく,インターネットを介したサービスとして提供し,月額などの利用料金で課金する事業形態を指す(関連記事)。MaaSとは不正プログラムの機能を使用時間などによって課金するモデルのことである。

 MaaSを使用することにより攻撃者は,新たに不正なプログラムを作成することなく,様々な機能を第三者から入手することが可能になる。このMaaS事業として最も有名なのは,Webサイトへの自動攻撃ツール「MPack」を利用したものである(図2)。例えばある事業者では,1時間当たり1WMZ,2時間30分当たり2WMZなどといったMPack利用料が設定されている(図3)。WMZとは米ドルを意味する電子マネーで,1ドルは1WMZ。つまり,日本円にして1時間当たり120円程度といった少ない投資で不正なツールを利用し,大量の正規WebサイトにIFRAMEタグを埋め込み,悪意のあるWebサイトへアクセスさせることが可能になるのだ。

図2●MaaSとして攻撃ツール「MPack」を利用した攻撃の例   図3●「MPack」のMaaS事業の案内ページ
図2●MaaSとして攻撃ツール「MPack」を利用した攻撃の例
[画像のクリックで拡大表示]
  図3●「MPack」のMaaS事業の案内ページ
中央に,1時間当たり1WMZ(=1ドル),2時間30分当たり2WMZ(=2ドル)といった料金表が掲載されている。
[画像のクリックで拡大表示]

 また,このような手口で収集した銀行口座,クレジットカード番号などを売買する不正なサイトの存在も多数確認されている。