「UEFA欧州選手権 2012 」に便乗した脅威について

欧州サッカー連盟が主催する「UEFA Euro 2012(UEFA欧州選手権 2012)」が、6月8日(東欧時間)より開催されています。世界中が注目するこの話題のスポーツイベントをサイバー犯罪者も見逃しません。「TrendLabs(トレンドラボ)」では、これまで、欧州選手権 2012 の公式サイトを複製したドメイン名を持つ不正なサイトやアンケート調査を装うサイトおよび追跡型広告サイトへと誘導する Web ページを確認してきました。

■不正なドメインに潜むさまざまな脅威
トレンドラボは解析中、UEFA欧州選手権 2012 の公式サイト「http://www.uefa.com/uefaeuro/」を真似した「<省略>uro2012.com」というWebサイトを確認しました。このサイトには、複数の不正プログラムが組み込まれており、そのうちの一つである偽セキュリティソフト型不正プログラムは、「TROJ_FAKEAV.HUU」として検出されます。「TROJ_FAKEAV.HUU」は、実行されると、感染コンピュータの偽スキャン結果を表示し、ユーザに偽のセキュリティソフトを購入し起動するよう促します。

図1:「TROJ_FAKEAV.HUU」による偽スキャン結果
図1:「TROJ_FAKEAV.HUU」による偽スキャン結果

この偽セキュリティソフトの「購入ページ」は、ユーザに個人情報を入力するように作られている「フィッシングページ」です。またこの不正プログラムは、Internet Explorer(IE)やMozilla Firefox、Google Chrome などのWebブラウザを無効にする機能を備えています。

図2:ユーザへ個人情報の入力を促すフィッシングページ
図2:ユーザへ個人情報の入力を促すフィッシングページ

さらに問題のドメインは、「TROJ_DLOADR.BGV」として検出されるファイルも組み込んでいます。「TROJ_DLOADR.BGV」は、3つの異なる URL にアクセスし「TSPY_ZBOT.JMO」として検出される「ZBOT」の亜種をダウロードします。「ZBOT」の亜種は、ターゲットとするユーザが利用するオンラインバンキングのログイン情報を収集する悪名高い情報収集型不正プログラムです。「ZBOT」亜種についての詳しい資料は以下を御覧ください。

  • Trend Micro research paper Zeus: A Persistent Criminal Enterprise(英語情報のみ)
     http://www.trendmicro.com/cloud-content/us/pdfs/
      security-intelligence/white-papers/wp_zeus-persistent-criminal-enterprise.pdf
  • ■SEO ポイズニングの手口も利用
    また、上記の事例のほかに、同月21日に開催されたポルトガル対チェコ共和国の準々決勝戦に便乗した攻撃も確認されています。サイバー犯罪者は、ソーシャルエンジニアリングの手口としてこの試合を利用し、SEO ポイズニングによる攻撃を仕掛けました。

    図3:SEO ポイズニングが施された検索結果
    図3:SEO ポイズニングが施された検索結果

    ユーザが、「Watch Portugal vs Czech Republic Live(日本語訳:ポルトガル対チェコ戦のライブ動画を見る)」というキーワードを用いて検索すると、検索結果の上位の一つとして不正な URL が表示されます。ユーザがその URL をクリックすると、ユーザは、目的であるポルトガル対チェコ戦の動画が閲覧できるライブストリーミングサイトではなく、動画配信サイトに誘導されてしまいます。ユーザが、配信提供を選択すると、気付かないうちに自身の位置情報や IPアドレスを追跡するアフィリエイトサイトへアクセスすることとなります。この攻撃を仕掛けたサイバー犯罪者は、ここで入手した情報を広告サイトの閲覧数として用いることで、利益を得ます。

    図4:無料で試合の動画を閲覧できると謳うストリーミングサイト
    図4:無料で試合の動画を閲覧できると謳うストリーミングサイト

    このほかに、よく似た攻撃も確認されており、同月24日に開催されたイングランド対イタリアの準々決勝が利用されていました。「<省略> glandvsitalylivestreameuro2012online.com」を閲覧したユーザは、偽の映像配信サイト「http://www.<省略>og.com/2012/06/england-vs-italy-live-stream/」へと誘導されてしまいます。さらにこのWebページは、ユーザをアンケート調査を装うサイトへと導き、最終的にはアフィリエイトサイトや追跡型広告サイトへと誘導します。

    図5:「イングランド対イタリア戦」に便乗した偽ストリーミングサイト
    図5:「イングランド対イタリア戦」に便乗した偽ストリーミングサイト

    ■UEFA欧州選手権 2012 の Web 拡張機能を利用したFacebookクリックジャック攻撃
    またトレンドラボでは、Google Chrome のウェブストア上で偽の拡張機能を確認しました。解析の結果、ユーザがこの偽拡張機能をブラウザに追加し起動すると、ユーザを「http://www.<省略>linetv.biz/livesports.php」へ導き、さらにアフィリエイトサイトまたは追跡型広告サイトへと誘導することが判明しています。

    図6: Chromeのウェブストア上で確認された偽の拡張機能
    図6: Chromeのウェブストア上で確認された偽の拡張機能

    Facebook のユーザもこの攻撃の被害に遭遇する可能性があります。トレンドラボでは、Facebook の「ウォール」上で、欧州選手権 2012 の試合の閲覧を促す複数の投稿を確認しています。しかし、前述の偽Web拡張機能の手口と同様、誘導先のWebページもまたユーザの閲覧数によってサイバー犯罪者に利益をもたらすアフィリエイトサイトです。

    図7:Facebookの「ウォール」に表示された欧州選手権 2012 の試合の閲覧を促す投稿
    図7:Facebookの「ウォール」に表示された欧州選手権 2012 の試合の閲覧を促す投稿

    ■UEFA欧州選手権 2012を利用したスパムメールも確認。偽医薬品を販売するサイトへ誘導
    トレンドマイクロ Security Research & Communication ディレクターの Rik Ferguson は、欧州選手権 2012の試合結果と得点が本文に記載された以下のスパムメールにも注目しています。

    図8:偽医薬品を販売するサイトへと誘導するリンクを含むスパムメール
    図8:偽医薬品を販売するサイトへと誘導するリンクを含むスパムメール

    上記のようなメールを受信したユーザは、偽医薬品を販売するカナダのドラッグストアWebサイトへと誘導されてしまうため、決して本文中のリンクをクリックしないでください。

    トレンドマイクロ製品をご利用のユーザは、「Trend Micro Smart Protection Network」によって守られており、これらの不正なサイトへのアクセスを回避し、今回の事例に関連する不正プログラムを検出することができます。欧州選手権 2012 といった注目のスポーツイベントに便乗し不正なサイトへとおびき寄せる攻撃は、典型的なソーシャルエンジニアリングの手口です。そのため、ユーザは最新情報を確認するために信頼のできるWebサイトを閲覧し、ブックマークすることをお勧めします。また、スポーツイベントに便乗した攻撃から身を守るために、以下の資料をご一読下さい。

  • スポーツ人気に便乗するサイバー犯罪者たち
     http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name
      =Sports+as+Bait%3a+Cybercriminals+Play+to+Win

  • 参考記事:

  • Cybercriminals Kick Off Euro 2012
     by Paul Pjares (Fraud Analyst)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)