Symantec Security Response Weblog
Misleading Application Targets Free Online Services」より
September 3,2008 Posted by Umesh Wanve

 このところ,スパム・メールやフィッシング,ソーシャル・ネットワーキング・サービス(SNS)などを悪用するソーシャル・エンジニアリング攻撃で広がるマルウエアを見かける。我々は,そうした攻撃を仕掛ける連中が無料オンライン・サービスを狙い始めたことに気付いた。当記事では,オンライン・ノート・サービス「Google Notebook」を悪用する例を紹介するが,この手の攻撃に悪用されるのは,同サービスに限ったことではない。

 攻撃者たちは,ミスリーディング・アプリケーションをばらまくための新たなソーシャル・エンジニアリング攻撃手段として,Google Notebookを使い始めている。ミスリーディング・アプリケーションは,ユーザーをだまして,パソコンに削除すべき好ましくないプログラムがあると思わせたり,セキュリティが危険にさらされていると信じ込ませたりするアプリケーションだ(通常,実際には危険は存在しておらず,リスクがあると嘘をつく。関連記事:新たな脅威「ミスリーディング・アプリケーション」に注意)。

 Google Notebookは,情報を1カ所に集めて保存/共有するための無料オンライン・サービスである(関連記事:Webの情報,どう整理してますか?---はてな,Googleなどの便利なブックマーク・サービス)。検索結果やメモ,画像をインターネット経由でサーバーに保存し,ほかのユーザーと共有できる。見出し付きのノートを作成し,各ノートにはリンクなどのコメントを加えられる。

 攻撃者は,ユーザーのパソコンにミスリーディング・アプリケーションを送り込む攻撃手段をGoogle Notebookで作るようになった。この件について調査したところ,一般ユーザーが攻撃目的で埋め込まれた悪意あるリンクをクリックするよう誘導されたと判明した。あるGoogle Notebookのユーザーは,偽情報とたくさんの攻撃用リンクを付加した50個以上のノートを作成していた。次のスクリーンショットが問題のノートである。

 上記スクリーンショットで「Last edited」(最終更新日時)欄をよく見ると,どれもごく最近のノートであることが分かる。付加されているリンクをクリックすると,ノート作成者のWebページに移動する。そこには,偽情報と攻撃用リンクが掲載されている。「Microsoft Windows History」というリンクをクリックした場合,以下のスクリーンショットで示したWebページが表示される。

 内容から判断すると,このWebページはさらに詳しい情報を読むためのリンクをクリックするよう促し,最終的にミスリーディング・アプリケーションを配布している偽Webサイトまで誘導して偽のポップアップ・メッセージを出す。以下に掲載したのは,偽ポップアップ・メッセージの一例である。

 ユーザーがポップアップ・メッセージのOKボタンをクリックすると,偽ウイルス対策ソフトのインストーラがパソコンにダウンロードされる。Webページ「Microsoft Windows History」には,「hxxp://anitspy<削除済み>.com」というWebサイトへのリンクがある。このWebサイトは,ユーザーを「hxxp://<削除済み>llab.com」へリダイレクトする。リダイレクト先では,初めてアクセスしたユーザーを,ミスリーディング・アプリケーションを配布している攻撃用Webサイト(「hxxp://<削除済み>pc.com」)へさらにリダイレクトする。2回目以降のリダイレクト先は「hxxp://<削除済み>searcher.com」という検索サイトで,偽ウイルス対策ソフトのダウンロードを勧める広告を表示する。一連の仕掛けを見る限り,攻撃者はミスリーディング・アプリケーション拡散を目的とするアンダーグラウンド・アフィリエイト・ネットワークを運営しているらしい。

 ユーザーをだまして攻撃用リンクをクリックさせるソーシャル・エンジニアリング攻撃は,以前から使われている手口だ。ただし,ミスリーディング・アプリケーションをダウンロードさせる攻撃手段として無料オンライン・サービスを使い始めた点が目新しい。米シマンテックは,2008年版製品でWebブラウジングの安全確保につながる機能を提供し,今後も2009年版製品でユーザー保護技術を強化していく。当ブログ記事で紹介したようなミスリーディング・アプリケーションの検出にも引き続き取り組む。読者には,パソコン,インターネット・セキュリティ製品,定義ファイルを最新状態に維持し,修正パッチを適用するとともに,Webブラウザの動作オプションに制限をかけるよう勧める。

Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Misleading Application Targets Free Online Services」でお読みいただけます。