今回取り上げる「ADW_XPSECURITY.CE」(エックスピーセキュリティ)は,偽セキュリティ・ソフトウエアに分類される不正プログラムである。偽セキュリティ・ソフトウエアとは,「あなたのパソコンはコンピュータ・ウイルスに感染している」といったメッセージを表示させ,ユーザーの不安をあおり,偽のセキュリティ・ソフトウエアを押し売りする不正プログラムの総称である。正にインターネット版振り込め詐欺といったところである。
このような手口は以前から存在していたが,2008年7月以降,トレンドマイクロのサポートセンターには同様の手口に関する被害報告数が増加している。実際に購入を促す画面にクレジットカード番号を入力してしまったがどうしたらよいかという問合せもあった。この増加傾向の一つの要因として,大規模な正規Webサイトの改ざん事件が関係している。
改ざんされたWebサイトの多くは,不正なWebサイトに転送するようなJavaScriptが仕掛けられており,転送先ではこれらの偽セキュリティ・ソフトウエアが自動的にダウンロードされるようになっていた。トレンドマイクロでは,2008年7月17日に全世界で最大21万,日本国内でも約1万のWebページでこのような被害が発生しているのを確認している。その中には,ハンドバックなどで女性に人気のある海外有名ブランドの日本語版Webサイトの商品カタログのページも含まれていた。昨今のインターネットでは,一般的なWebサイト閲覧をきっかけにして,結果的に詐欺の被害に遭ってしまうといった可能性がある。
今回は,検証環境用に1台のマシンを用意した。テスト機には,Windows XP SP2 をインストールし,テスト機上でADW_XPSECURITY.CEを実行した。今回は検証のため「ADW_XPSECURITYCE」というフォルダを作成し,ADW_XPSECURITY.CE本体である「braviax.exe」(図1)を実行した。実際には,ユーザーがWeb閲覧中にユーザーの意思とは無関係に自動的に実行されてしまう。
ADW_XPSECURITY.CEが実行されると,タスクトレイに赤い丸に白いX印のアイコンが現れる。そこにマウスポイントを持って行くと,「Your computer is infected!(あなたのパソコンは感染した!)」というポップアップが表示された(図2)。その内容は,スパイウエアによる情報漏えいを防ぐには,スパイウエア対策ソフトをダウンロードしてインストールすることを推奨するというもの。偽セキュリティ・ソフトウエアのインストールを促しているのである。今回は検証のために,このメッセージに沿って偽セキュリティ・ソフトウエアをインストールしてみる。
インストールが実行されると,図3の進捗画面が出て実際のインストールが始まる。インストール後にはウイルス検索が始まる。図4を見ると分かる通り,Windowsシリーズで特徴的な「赤」「青」「緑」「黄」の4色が製品ロゴに使用されており,ユーザーにマイクロソフト製品のように錯覚させ,だまそうとする意図が読み取れる。
