図1 「北朝鮮砲撃」に関連した特定のキーワードで検索すると、今回の悪質サイトが結果として表示される(米トレンドマイクロの情報から引用。以下同じ)。Googleのインスタントプレビューでは、まともなサイトに見える
[画像のクリックで拡大表示]
図2 Internet Explorerでアクセスした場合の悪質サイトの表示例
[画像のクリックで拡大表示]
図3 Firefoxでアクセスした場合の悪質サイトの表示例
[画像のクリックで拡大表示]
米トレンドマイクロは2010年11月23日、北朝鮮による韓国への砲撃に“便乗”した悪質サイトが確認されたとして注意を呼びかけた。悪質サイトにアクセスすると、「偽ソフト」をインストールさせられる恐れがある。
今回確認された悪質サイトは、11月23日に発生した「北朝鮮砲撃」の情報を提供するサイトに見せかけている。攻撃者は同サイトを工夫。この事件に関連した特定のキーワードで検索すると、同サイトが検索結果として表示されるようにしている。
検索結果のWebサイトをプレビューできるGoogleの「インスタントプレビュー」機能では、悪質サイトの内容は一見まともなように表示される(図1)。ところが実際にアクセスすると、Flash Playerをアップデートするよう促す文章と、Flash Playerの新版へのリンクが表示される(図2、図3)。悪質サイトの表示は、アクセスしたWebブラウザーの種類によって異なる。
これらの表示はすべて虚偽。リンクをクリックすると、Flash Playerの新版に見せかけた偽ソフトがダウンロードされる。ここでの偽ソフトとは、大した機能を持たないにもかかわらず、ウイルス対策などの機能を備えているとして配布されるソフトのこと。インストールすると勝手に動き出して、偽のウイルス警告を表示。ウイルスを駆除したければ、有料版を購入する必要があるとして販売サイトにユーザーを誘導し、クレジットカード番号などを入力させる。
トレンドマイクロでは、今回の悪質サイトが配布する偽ソフトに対応済み。同社のセキュリティ対策ソフトを利用していれば、検出・駆除できるとしている。
