McAfee Avert Labs Blog
Google Searching for Madoff’s Yacht Leads to Fake Anti-Virus and Malware」より
April 3,2009 Posted by Paula Greve

 Webサイトで記事を読んだとき,その中で使われていて詳細を知りたくなった言葉,好奇心をかき立てられた言葉を,グーグル検索した経験があるだろうか。多くの人は検索したことがあるだろうし,よくある話だと思う。マルウエアを流布している連中もこのことに気付いている。具体的な例として,巨額詐欺の罪で起訴されている元NASDAQ会長のBernard Madoff氏がRybovich製1969年型55フィート・ヨットに言及した,というニュース記事を紹介しよう(関連記事:巨額詐欺の元NASDAQ会長,最大150年の禁固刑の可能性)。筆者はさぞかし贅沢なヨットだろうと考えた。同じようにどんなものか見てやろうとした人は,すぐに「1969 Rybovich」というフレーズで検索しただろう。検索したくらいで危険な目に遭うことはないと考える人がいるかもしれない。ただ,よく考え直してみてほしい。実際に検索してみると,既にマルウエアの流布を狙う連中はこのヨットを攻撃手段として採用しており,グーグルの検索結果上位に攻撃用のURLが並んでいることが分かる。我々がこの現象に気付いたのは,問題の記事を初めて読んで興味を持った2009年4月1日(米国時間)の夜であり,何よりも先に「なんて素早い対応だ」と驚いた。その後,検索結果に表示されるマルウエア配布サイト数の増えていく様子を4月2日にかけて監視した。最後に確認したときには,my.barackobama.comに掲載されていたブログ記事までもが,このヨットを餌にユーザーをだまそうとしていた。

「1969 Rybovich」のグーグル検索結果

 検索結果そのものは危なくないようだが,上位にあるURLをいくつかクリックすると違う印象を持つことになる。これらのURLは,いずれもマルウエア配布を行う偽ウイルス対策ソフトにつながっている。その例を二つ以下に掲載しよう。

当然ながら極めて悪質なサイト

偽検索結果から誘導されるポルノとマルウエア

 上記のWebサイトにアクセスするところまで来れば,探していたヨットと無関係なのだから警戒し始めるはずだ。しかし,あわてていたり,さらなる好奇心に逆らえなかったりすると,表示されたメッセージをクリックしてマルウエアを送り込まれてしまう。それどころか,クリックしなくてもアクセスした時点で送り込まれていることが多い。

 以下に示したのは,こうしたメッセージのクリック後に起きる典型的な例だ。偽マルウエア・スキャンが始まると,悪質な商品を押しつけられる。米マイクロソフトのスキャン・サービスとうり二つだ。

本物そっくりの偽マルウエア・スキャン

 さて,「1969 Rybovich」はどうだろうか。これから好奇心で行うグーグル検索はどうしたらよいだろうか。今後このような検索は注意して実行してほしい。検索結果内のURLに似ているものがあるかどうか調べ,似ていたら第1段階の警戒態勢を取ろう。URLをクリックして表示された内容が予想外だったり,クリックを求める別の画面が現れたりしないだろうか。その場合は,第2段階の警戒態勢だ。偽マルウエア・スキャンを実行して警戒態勢を第3段階に進めてはならない。既に第2段階で,Madoff氏のヨットに関する情報など得られない危険なアクセスを行っているのだ。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Google Searching for Madoff’s Yacht Leads to Fake Anti-Virus and Malware」でお読みいただけます。