インターネットは罠だらけ

ITpro

2006.12.13

　インターネットには悪質なWebサイトが多数存在する。個人情報を盗もうとするフィッシング詐欺サイトや，架空の料金を請求するワンクリック詐欺サイト，OSやアプリケーションのセキュリティ・ホールを突いてスパイウエアなどをインストールさせる攻撃サイト――などなど，枚挙にいとまがない。

　ただ，いくら“罠”を仕掛けても，待っているだけではユーザーにアクセスしてもらえる可能性は低い。そこで，「魅惑的な動画がタダで見られます」「懸賞に当選しました」「アクセスしないとアカウントが無効になります」――といった誘い文句や脅し文句を並べたメールを不特定多数に送信して，悪質サイトへ誘導するのが常套手段。

　しかし最近では，新たな手口も増えてきた。多数のユーザー・アクセスが見込めるサイトの広告スペースを悪用する手口である。もちろん，真正直に広告を打つわけではない。「フィッシング詐欺サイトはこちら」「ワンクリック詐欺に遭いたい方はクリック！」――などと宣伝しても，アクセスされるわけはない。広告に見えないようにすることが重要となる。

　現在確認されている手口の多くは，「セキュリティの警告に見せかける手口」と「懸賞などに当選したように見せかける手口」の2パターンに大別できる。「脅かして慌ててクリックさせる」か「喜ばせて思わずクリックさせる」のである。この2パターンに人は弱いようだ。メールで誘導する場合も，その文面にはいずれかのパターンが用いられることが多い。

「エラーが検出されました！」

　まず，「セキュリティの警告に見せかける手口」としては，偽セキュリティ・ソフトの“押し売り”が挙げられる（関連記事：偽セキュリティ・ソフトのだましの手口）。この手口では，「ウイルスに感染しています！駆除したければ，こちらをクリック」「エラーが検出されました。今すぐ修復」などと書かれた派手なバナーを表示させる（図1）。

図1　警告に見せかけたバナー（IPAの発表資料から引用）

　ユーザーが慌ててクリックすると，セキュリティ・ソフトと称するソフトウエアを販売するサイトへ誘導される。誘導先のWebサイトでも抜かりはない。パソコンをチェックしているように思わせる目盛りを表示させる（図2）。

図2　PC内をチェックしているように思わせる偽の目盛り。実体はアニメーションGIF

　一見，実際にパソコン内部を調べているように思えるが，目盛りは単なるアニメーション画像。目盛りが一杯になると，どんなに安全なパソコンであっても「システム・エラーは見つかりました」などと表示し，Webページ中のリンクをクリックしてソフトウエアをインストールするよう促す。

　ソフトウエアを勝手にインストールしようとするWebサイトもある。セキュリティ設定を甘くしているInternet Explorer（IE）でアクセスすると，知らないうちにソフトをインストールされる場合もある。

　Webサイトで配布しているソフトウエアは無償とされているが，インストールすると「問題を解消するには有償版を購入する必要がある」として，製品の購入を迫る。購入するまでは広告を勝手に表示するものや，パソコンに保存されているユーザー情報などを盗もうとするものも存在するという。

　なかには，何の悪さをしないソフトウエアをあるというが，そういったソフトの多くは，セキュリティ機能も提供しない。悪いことはしないが，良いこともしないのだ。たとえ何らかの良い機能を提供するものであっても，“押し売り”であることは間違いない。虚偽の情報でインストールさせている時点で，信用できるソフトウエアとは言えない。インストールするべきではない。

「おめでとう！当選です」

　もう一つは，懸賞などに当選したように見せかける手口である（図3）。「おめでとうございます。あなたは×××番目の訪問者です。当選しました！登録はこちら」といったバナーを派手に表示させて，個人情報の入力ページなどへ誘導するのだ（関連記事：「おめでとう！あなたは999999番目の訪問者です」）。

図3　“当選”したように思わせるバナー

　前述の“押し売り”同様，バナーを見る限りでは，とても広告とは思えない。そのWebサイトが表示しているお知らせのように見えるだろう。Webサイトのなかにはアクセス・カウンタを用意して，「キリ番（キリのよい数字。「10000」ちょうどや“ぞろ目”など）」の訪問者に対して賞品などを提供するところもある。そういったWebサイトを見聞きしたことのあるユーザーは，今回のような手口にひっかかりやすいかもしれない。

　筆者が確認した手口では，「おめでとうございます」の表示をクリックすると，個人情報を入力させるWebサイトに誘導される（図4）。一見，賞品（賞金）の送付に必要な情報のように思えるが，「おめでとうございます」の表示とは全くの無関係。筆者が調べた限りでは，ロト（数字を自分で選択する宝くじ）を提供するWebサイトのようだった。しかしそれも怪しく，個人情報を盗むだけのWebサイトである可能性も高い。

図4　“当選バナー”によって誘導されるWebサイト

　実際，セキュリティに関する届け出や相談を受け付ける情報処理推進機構（IPA）によれば，こういったサイトで個人情報を入力すると，入力したメール・アドレスあてに当選通知などが届くものの，賞品や賞金が送られてくることはないという。

　今回紹介したような“罠”が滅多に表示されないのであれば，それほど問題にはならないだろう。しかし，予想以上にさまざまなWebサイトで表示されているのが現状だ。例えば，ビデオ共有サイト「YouTube」においても，今回紹介した「押し売り」と「おめでとうございます」の両方のバナーが確認されている。

　当然，こういったバナーの掲載には正規の料金を支払っているはず。多くのユーザーがアクセスする有名サイトであれば，それほど安価ではないだろう。しかし，コストをかけても見合うと攻撃者は考えているのだ。

　さまざまなところで繰り返し言われていることだが，現在の攻撃の動機は金銭的利益がほとんど。ビジネスとして行われている。このため，みんながだまされないようになれば，コストをかけて罠を仕掛ける意味がなくなり，そのうち廃れていくだろう。今回紹介したような詐欺的な手口については，できるだけ多くのユーザーが情報を共有して“陳腐化”させることが，最も有効な対策だと思う。

　まともなベンダーがソフトを押し売りすることがなければ，Webサイトにアクセスしただけで賞金をもらえるようなうまい話もあり得ない。ITpro読者の多くは「そんなことは言われるまでもない」と思われるだろう。そういった方は，ぜひ身の回りの方にもお伝えして，手口の陳腐化に手を貸していただきたい。