「いわゆる『ワンクリウエア』をダウンロードさせるWebサイトでは,ワンクリウエアを動画ファイルに見せかける。そして,Webブラウザなどが表示する『セキュリティの警告』画面を無視するような『動画再生の手順』を紹介し,ユーザーにワンクリウエアを実行させるよう仕向ける」---。セキュアブレインのプリンシパルセキュリティアナリストである星澤裕二氏は5月11日,記者説明会においてオンライン詐欺の現状を解説した(写真1)。
ワンクリウエア(ワンクリックウエア)とは,架空の料金請求や“脅し”のメッセージなどをパソコン画面に表示する悪質なプログラムのこと(関連記事)。パソコン内の情報を盗むものや,有料のアダルト・サイトに勝手に登録するものもあるという。
ワンクリウエアは,動画ファイルあるいは動画を表示させるためのプログラムに見せかけられている。そして,詐欺サイト中の画像やリンクをユーザーがクリックするとダウンロードされる。
ただし,Webブラウザなどのセキュリティ・ホールを悪用する場合を除けば,画像やリンクをクリックするだけではワンクリウエアは実行されない。Webブラウザなどが表示する「セキュリティの警告」メッセージに対してユーザーが「実行」や「開く」などをクリックしなければ,ワンクリウエアが実行されることはない(関連記事)。
だが,ワンクリウエアを実行させようとする詐欺サイトでは,警告メッセージを無視するような動画再生手順を紹介しているという(写真2)。「動画を見たいと思っているユーザーは,その手順にしたがって(ワンクリウエアを)実行してしまう」(星澤氏)。
ワンクリウエアの被害に遭わないためには,「怪しいサイトにアクセスしないことが第一」(星澤氏)。加えて,「リンクを安易にクリックしない」や「WebブラウザやOSの警告を無視しない」,「最新のパッチを適用する」,「セキュリティ・ソフトを正しく使う」といった一般的なセキュリティ対策を実施することが重要だと星澤氏は強調する。
Webブラウザなどがいくら警告メッセージを出しても,ユーザーが「実行」を選んでしまえば意味はない。どんなに動画が見たくても,セキュリティの警告を無視してはいけない。情報処理推進機構(IPA)では,「セキュリティの警告」が表示されたら,ファイルの「種類」や「発行元」などをチェックして,安全が確認された場合以外は「実行」や「実行する」をクリックしないよう呼びかけている(関連記事)。
