米Websenseは現地時間11月6日,広告などを表示するアドウエア(スパイウエア)をユーザーをだましてインストールさせる新たな手口を確認したとして注意を呼びかけた。動画共有サービス「YouTube」に置かれたように見せかけられた動画(ビデオ)を再生しようとすると,スパイウエアをインストールされる恐れがある。
今回確認された手口は2段階。まず,YouTubeへの投稿ビデオに見せかけた動画(画像)を,ソーシャル・ネットワーキング・サービス(SNS)「MySpace.com」の複数の個人ページに張り込んでおく(写真1)。張り込まれた動画の下には,「動画は自動的に再生されますが,再生されない場合には上の画像をクリックしてください」といった文章が英語で書かれている。この動画は偽物なので,自動的には再生されない。そこで,ユーザーが画像(動画再生部分)をクリックすると,YouTubeとよく似たドメイン名を持つ偽サイトへ誘導される。
そのサイトにも複数の動画が置かれている(写真2)。それらの動画を再生しようとして「Play Video」ボタンや画像部分をクリックすると,Windows Media Playerが起動して「ライセンスの取得」ダイアログが表示される(写真3)。ここで,エンドユーザー向け使用許諾契約(EULA)とともに表示される「Play Now」ボタンを押すと,実行形式ファイル「Setup.exe」がダウンロードされそうになる(写真4)。このSetup.exeは,アドウエア「Zango Cashツールバー」のインストーラ。実行すると,Zango Cashツールバーがインストールされてしまう。なお,編集部の実験環境で試したところ,「Play Now」ボタンを押しても動画は再生されなかった。
Websenseによれば,偽サイトはオランダのアムステルダムに置かれていて,そのドメイン名の登録者も明らかに偽名だという。偽サイトは現在でも稼働中(記事執筆時点)。被害に遭う恐れがあるので,アクセスしないよう注意してほしい。
