「Webページを閲覧していたらいつのまにかスキャンが始まった」「知らないソフトが勝手にインストールされた」――こんな事例が最近増えている。2009~2010年に大きな被害をもたらした、通称「ガンブラー攻撃」でも利用された「偽セキュリティソフト」である。「偽セキュリティソフト」は昨今の金銭詐取を目的とした不正プログラムの中では、既に定番化した脅威の一つといえ、これまでも継続的に亜種の発生と共に被害が確認されてきた。今回はその中でも本稿執筆時点で特に被害が増加傾向にある「Windows Recovery」を検証する。
さて、「偽セキュリティソフト」と紹介したが、今回検証する「Windows Recovery」はより正確に記すなら「偽システム診断ツール」である。一般的に「偽セキュリティソフト」というと、コンピュータ内から「ウイルスを検出した」と事実と異なる表示を行い、駆除するために有償版の購入およびアップグレードを促すことで知られている。今回の「偽システム診断ツール」は有償版の購入およびアップグレードを促す点は同じであるものの、表示する「偽」の内容が「ハードディスクの異常」である点が異なるのだ。しかし、表示する偽の内容が異なるだけで、それ以外は基本的にこれまでの偽セキュリティソフトと変わらないため、今回の対象検体をトレンドマイクロ製品では偽セキュリティソフトと同様にTROJ_FAKEAVファミリー(TROJ_FAKEAV.HAU)として検出する。
どのように侵入するのか
「いつのまにか感染してしまう」という脅威は、アプリケーションの脆弱性を利用し、ユーザーの選択の余地なく不正なプログラムをインストールする手法によるものだ。具体的にはJavaの脆弱性を利用することが確認されており、基本的な対策である修正プログラムの適用が有効な対策の一つといえる。
脆弱性の利用の他にも攻撃者はより多くの感染を成功させるため策を施している。そのうちの一つは偽セキュリティソフトをダウンロードさせるサーバー側で頻繁にファイル内のデータの一部を変更し、ウイルス対策製品による検出を逃れる手法だ。同一のURLから、アクセスする時間によって異なる検体がダウンロードされることが確認されている。別の偽セキュリティソフトでは30分に一度ファイル内のデータの一部が変更されていたことも調査結果から分かっている。また、攻撃者は攻撃の成功確率を高めるため、作成した偽セキュリティソフトが複数のウイルス対策製品によって検出されないことをあらかじめ確認した上で、サーバー上に公開しているものと考えられる。複数のウイルス対策製品の対応状況を確認できるツールとしては「VirusTotal」が有名だが、不正プログラムである可能性を確認できる「VirusTotal」とは異なり、「検出されない」ことを確認する目的で使用されていると思われるアンダーグラウンドのツールが確認されている。
脆弱性を利用した侵入方法については既に以前の「ガンブラー攻撃」などで知られているものと類似しているため、読者には既知の内容かもしれない。そこで本記事では実際にWindows Recoveryがインストールされてしまうと「何が起こるのか」という点を明らかにすると共に、「どうしたらよいのか」に焦点を当て検証していきたい。