1月30日の本ブログ記事でも取り上げた「偽警告」ですが、その後も継続が確認されています。このように何度も繰り返されている常套手段的な攻撃は、継続の過程で様々な変化を伴うことがあります。その変化の一つとして、今回は正規セキュリティソフトを偽装する手法、特に弊社トレンドマイクロ製品の検出を偽装するものも確認されました。トレンドマイクロ製品では利用者の操作無くWeb上で自動的にウイルス検索を行うような機能はありませんのでご注意ください。
図:トレンドマイクロ製品を詐称する偽警告の表示例
このウイルス感染表示は完全にブラウザ上の表示のみの偽警告であり、ウイルス検索中を偽装する画面で表示される検出ウイルス名などの情報はHTML内にハードコードされています。実際にはウイルス検索などの処理は行われていません。
図:ウイルス検索を偽装する画面でのウイルス検出表示例
(この例では「Win32/Hoax.Renos.HX」を検出)
図:上図例の検出ウイルス名「Win32/Hoax.Renos.HX」はハードコードされている
弊社トレンドマイクロ製品以外に、他社製セキュリティソフトを詐称するものも確認されていますが、全体のデザインや画面遷移はほぼ同じであり、表示上のロゴと製品名を変更しただけのものとなっています。このことから、これらの偽警告は正規セキュリティソフトの知名度を利用しようとする同一の攻撃者が背後にいるものと考えられます。
図上:トレンドマイクロ製品を詐称する偽警告の表示例
図下:他社製品を詐称する偽警告の表示例
ロゴや製品名を変更しただけで同じデザインが使用されていることがわかる
これらの偽警告は、トレンドマイクロ製品を詐称するものも、他社製品を詐称するものも、なぜか「Windows Update」の偽画面を経由して迷惑ソフトのインストールを促す流れになっていました。
図:偽警告で表示される「Windows Update」画面
確認した事例では最終的に1月30日の本ブログ記事で紹介したような迷惑ソフトのインストールに繋がる
またコンテンツ内容の解析結果から、表示は多言語対応となっており、日本語、英語の他、フランス語、ドイツ語など欧州諸国9か国語にも対応していることがわかりました。このことから、これらの偽警告は日本の利用者のみを狙ったものではなく、世界的な拡散を狙う攻撃者によるものと言えます。
図:偽警告が表示するフランス語、ドイツ語、イタリア語のメッセージ設定例
利用者の言語設定により、表示を変更する
これらの偽警告自体の拡散経路としてはネット広告を利用したいわゆる「不正広告」の手口を使用しているものと考えられ、コンテンツ自体は正規クラウドサービス上にホストされていることを確認しています。全体的には1月30日の本ブログ記事でお伝えした偽警告の事例のうち、利用者を騙す手口の部分が正規セキュリティソフトの知名度を利用する手口に変わったものと言えます。
■被害に遭わないためには
このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り騙されないようにすることが対策の1つとなります。「偽警告」は単なるWebサイト上の表示であり、表示されただけでは直接的な危険はありません。表示を無視してブラウザを終了させることが一番の対処法となります。
■トレンドマイクロの対策
トレンドマイクロ製品ではこのような偽警告の表示を行うWebコンテンツに対し、「ブラウザ脆弱性対策機能」により利用者の保護を行っています。「ブラウザ脆弱性対策機能」は個人向け総合セキュリティ対策製品「ウイルスバスタークラウド」などエンドポイント製品で利用可能です。
※調査協力:サイバースレットリサーチチーム、トレンドマイクロサポートセンター
※本記事内の画像について、画像内に危険や権利侵害などに繋がる部分がある場合には修正を施しています
