「偽システム診断ツール」が登場－2011年1月の脅威動向を振り返る

バレンタインも過ぎ春の陽気が待ち遠しい時期ですが、インターネットに潜む脅威は季節に関わらず活発な動きを見せています。2011年1月の脅威傾向を振り返りつつ、新たな脅威となりうる「偽システム診断ツール（偽デフラグツール）」を紹介します。

2011年1月も 2010年後半から引き続いて大きな脅威傾向の変化は認められませんでした。さて、本年からインターネット脅威レポートでは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」のスマートフィードバックによって収集・集計された脅威の検出数をお知らせしています。

• インターネット脅威レポート 2011年1月
• Trend Micro Smart Protection Network：スマートフィードバック
• トレンドマイクロ セキュリティブログ：自分の PC から不正プログラムの情報が送られている？

SPN のデータは日本国内と世界全体の 2つを紹介していますが、世界的な傾向としてインターネットを通じた詐欺が横行している状況がうかがえます。銀行など金銭取引に関連した Webサイトにアクセスした際に不正なサイトへ誘導させる不正プログラムや、偽の警告メッセージを表示することで、金銭や個人情報を詐取する手口が常套化しています。

■偽セキュリティソフトのビジネスモデルを応用？

特に、「偽セキュリティソフト」のビジネスモデルを応用したとも言える特徴的な不正プログラムが「偽システム診断ツール（偽デフラグツール）」です。

まず、「偽セキュリティソフト」ですが、ユーザの PC が何らかの不正プログラムに感染したという警告画面を表示し、当該の不正プログラムを除去するためには購入が必要、と押し売り的に購入を強要するものです。この手口については、これまでもこのブログで何度か注意喚起いたしました。

• トレンドマイクロ セキュリティブログ：感染被害急増中？　偽セキュリティソフト「Think Point」
• トレンドマイクロ セキュリティブログ：Adobe製品へのゼロデイ攻撃、広告配信システムを通じた「Webからの脅威」－2010年9月の脅威動向を振り返る

その亜種とも言うべき、システム診断ツールを装う不正プログラムは 2010年10月に「SystemDefragmenter」という名前で流通していることが確認され 2011年1月までに名前を変えた亜種を生み出しつつ、被害を拡大しています。

■Webサイトからダウンロード/インストール、警告画面を表示

「偽システム診断ツール」は、攻撃者が用意した Webサイトからダウンロード／インストールすることによって侵入します。ユーザが不正なものと意識せずにダウンロード/インストールする場合と、自動的にダウンロードされユーザにインストール作業を促すという 2つの侵入パターンを確認しています。

侵入後、デスクトップにアイコンが表示されます（図1参照）。これは Windows Updateで使用されているものと同一ですが、実態は「偽システム診断ツール」のインストールプログラムです。インストールが実行されるとこのアイコンは消え、10数分後に「Critical Error」というメッセージが表示されます（図2参照）。

図1：Windows Update を装った「偽システム診断ツール」のインストールプログラムのアイコン

図2：インストール10数分後に表示されるメッセージ

メッセージをクリックすると偽診断ツールが稼動し、複数の項目において問題が検出されたと表示します（図3参照）。もちろん実際には問題がない項目についても偽りの検出を行っているのです。

図3：診断完了画面。11のエラーを検出したのでデフラグメンテーションの実施が必要、と表示

ここまで来れば、あとは「偽セキュリティソフト」と同じ仕組みです。様々な警告画面を表示してユーザに脅しをかけて、最終的には購入画面を表示、購入を促すのです（図4参照）。

図4：システム修復には正規版が必要として購入を促す画面

今回、画像で紹介した「SystemDefragmenter」はトレンドマイクロ製品では「TROJ_FAKEAL.GG」として検出します。この不正プログラムを配布する Webサイトは既に閉鎖されているものの、「Check Disk」「HDDDiagnostic」「Support Tool 2011」などといった名前で亜種が拡散していることを確認しています。

■対策は「偽セキュリティソフト」と同様に

ご覧頂いたとおり、ユーザからお金をだまし取ろうとする手口としては偽セキュリティソフトとほぼ同じものと考えられます。対策についても同様に、

1. セキュリティソフトを適切に使用する
2. ソフトウェアを最新の状態に保つ
3. 怪しいメールを開かない、怪しい Webサイトに近づかない

の3点を中心に、以下のWebサイトなども参考に対応ください。

• トレンドマイクロ セキュリティ情報：「偽セキュリティソフトへの対策」

参考記事：
「Fake System Tools Spread to Japan」
　by Noriaki Hayashi (Senior Threat Researcher)