クローンの攻撃　その2

　AVSystemCare，DriveCleaner，MalwareAlarm（AntiSpywareShieldのクローン）は，有害なアンチスパイウエア/アンチウイルス・アプリケーションの「ブランド」として知られている。これらは増大するミスリーディング・アプリケーションの一部だ。ミスリーディング・アプリケーションは，コンピュータが多くの脅威に感染しているという偽の警告をいくつも表示し，ソフトウエアを購入すれば問題が解決するとユーザーを欺く。

　我々は数カ月前，AVSystemCareのクローンに関する記事を書いたが，それ以降，これらのミスリーディング・アプリケーションに関連したドメインは500個に達し，その数は現在も増え続けている。同じく，MalwareAlarmの新たなクローンも増殖しており，その多くはDownloader.MisleadAppによってダウンロードされる。

　これらのクローンには例外なく一つの共通項がある。いずれもWindowsをターゲットとしている点だ。ただし読者がMacintoshユーザーで，「このようなセキュリティ・リスクを仕掛ける人物がターゲットとしているのはWindowsユーザーだけだ」と思っているのなら，それは間違いである。以前，フィンランドのエフセキュアに務めている友人が，Mac OS Xをターゲットとした初めてのミスリーディング・アプリケーション「MacSweeper」を発見したからだ（関連記事：F-Secure，Mac初の偽セキュリティ・ソフト「MacSweeper」を警告）。

[画像のクリックで拡大表示]

　調査した結果，別のセキュリティ・リスクをあやつる同一グループが数カ月のテストを経てこのアプリケーションをリリースした，と確信するに至った。実際，配布元のWebページ，偽のスキャン・エンジン，ユーザー・インタフェース全般を簡単に比較してみたところ，コンテンツのかなりの部分をほかのミスリーディング・アプリケーションから借用している。

MacSweeperのスキャナ画面 [画像のクリックで拡大表示]

MalwareAlarmのスキャナ画面 [画像のクリックで拡大表示]

MacSweeperスキャナで検出された脅威 [画像のクリックで拡大表示]

MalwareAlarmスキャナで検出された脅威 [画像のクリックで拡大表示]

　Macintoshプラットフォームの人気がこの頃高まりつつある（参考サイト）ことを考えると，セキュリティ・リスクやマルウエアの作者が，新たな利益を求めてMacintoshに狙いを定めたとしても何ら不思議なことではない。

　例えば「Trojan.Zlob」系のトロイの木馬は，悪意のあるWebサイトを通じて偽のビデオ・コーデックを配布する。これらのWebサイトでは現在，サイト側に送られてくるHTTPのユーザー・エージェント情報（特にブラウザやOSの種類）に応じて異なるファイルを提供している。これらWebサイトをMacintoshで閲覧した場合にダウンロードされるのは，Macintosh向けバージョンの「OSX.RSPlug.A」だろう。

　MacSweeperのリリースが脅威全体に与える影響を完全に見極めるのは，時期尚早なため難しいだろう。これらセキュリティ・リスクの作者は，Windowsプラットフォームで悪質な行為を働くことで知られている。攻撃用ドメインは毎月増え続けており，新たなクローンをともなう新しいドメインも登場している。ただし，Macintoshベースのバージョンについては一過性のものなのか，ここで定着するのかは，今のところ定かではない。

---

Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。

◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Attack of the Clones II」でお読みいただけます。