米サンベルトソフトウエアは2008年2月13日、Flash Playerに見せかけてウイルス(悪質なプログラム)をインストールさせようとする悪質サイトを確認したとして注意を呼びかけた。
攻撃者は、実在する企業「米AmericanGreetings.com」をかたったメールを送り付け、ユーザーをウイルスサイトへ誘導する(図1)。名前をかたられた同社は、グリーティングカード(e-card)サービスを提供するWebサイトを運用している。メールには、「あなたへグリーティングカードが届いています。読むためには以下のリンクをクリックしてください」といった内容が英語で書かれている。
メール中のリンクをクリックすると、AmericanGreetings.comのサイトに見せかけた偽サイトへ誘導される(図2)。偽サイトのWebページには、「あなたのFlash Playerのバージョンが古いので、画像を表示できません。以下をクリックしてFlash Playerをアップデートしてください」といった“もっともらしい”メッセージが表示される。
指示に従ってクリックすると、「セキュリティの警告(Security Warning)」ダイアログが表示され、デジタル署名付きのActiveXコントロールがインストールされそうになる(図3)。
デジタル署名が付いていることに加え、ファイル名(Name)が「Adobe Flash Player」であるため、うっかりだまされてしまいそうだが、実体はウイルス。見抜くポイントは、このファイルの作者を示す「発行者(Publisher)」。本物のFlash Playerなら、発行者は米アドビシステムズ(Adobe Systems)になっているべきところが、「Jeanette K Murphy」という人物の名前になっている。「デジタル署名の詳細(Digital Signature Detail)」を見れば、このActiveXコントロールがアドビシステムズとは無関係であることがより明白となる(図4)。
Flash Playerに見せかけたこのウイルスは「非常に悪質(very nasty)」であるという。だまされてインストールすると、パソコンを攻撃者に乗っ取られてしまう。パソコンに保存されているファイルを盗まれるほか、パソコンを勝手に操作されて、他のユーザーへの迷惑メール送信や攻撃などに悪用される。
また、「ルートキット」と呼ばれる“姿を隠す”機能を持つため、ウイルス対策ソフトなどで見つけることが難しいという。
今回のようなウイルスサイトにだまされないためには、提供されるプログラム(ファイル)にデジタル署名が付いていても過信せず、その発行者をきちんと確認することが重要だ。
