フィンランドのエフ・セキュアなどは2008年2月6日、マイクロソフトの「Windows Update(Microsoft Update)」に見せかけた偽サイトが確認されたとして注意を呼びかけた。ウイルス(悪質なプログラム)をセキュリティ更新プログラム(修正パッチ)に見せかけて、ダウンロードおよびインストールさせようとする。
Windows Update(Microsoft Update)に見せかける悪質サイトは、今までにも多数出現している。今回確認されたのは新手の偽サイト。サイトの内容は英語。Windows XP/2000/2003/Vistaに、深刻度が「緊急」のセキュリティ更新プログラムが公表されたとして、早急にダウンロードおよびインストールするよう呼びかけている(図1)。
そして、偽サイト中の「Urgent Install」ボタンを押すと、「WindowsUpdateAgent30-x86-x64.exe」というプログラムがダウンロードされる。このプログラムの実体は、別のウイルスを生成して感染させる「ドロッパー」と呼ばれるウイルスの一種。実行すると、そのパソコンに「バックドア」と呼ばれるウイルスを感染させて、攻撃者が自由にアクセスできるようにしてしまう。つまり、パソコンが攻撃者に乗っ取られてしまう。
今回の偽サイトの特徴は、多数のコンピューター上で稼働していること。サイトのURL(ドメイン名)は一つだが、そのURLに対して、多数のIPアドレスが登録されている(図2)。この点が、今までに確認された偽サイトとは異なる。
それらのIPアドレスを持つコンピューターのすべてで今回の偽サイトが稼働しているので、どれか一つを閉鎖しても、このURLにアクセスすると、いずれかの“生きている”偽サイトに誘導されるという(ただし、2月7日15時時点、編集部で試したところ、同ドメインのサイトにはアクセスできなくなっていた)。これらの偽サイトは、ウイルスに感染したコンピューター上に構築された可能性が高い。
対策は、セキュリティのセオリーを守ること。セキュリティ組織の米US-CERTでは、「ウイルス対策ソフトを適切に利用する」「覚えのないリンクはクリックしない」「サイトにアクセスする際には、メール中のリンクをクリックするのではなく、ブラウザーにURLを手入力する」ことなどを推奨している。
加えて、マイクロソフトが公開する「マイクロソフト ユーザーに送られてくる詐欺メールを見分けて回避する方法」を参照することなども勧めている。
