感染被害急増中? 偽セキュリティソフト「Think Point」

「ガンブラー」攻撃でも用いられた偽セキュリティソフト。もはやサイバー犯罪者が金銭的な利得を狙うためのツールとしては常套手段と化しています。本記事では、2010年10月から問合せが増加傾向にある偽セキュリティソフト「Think Point」について注意喚起致します。

■「偽セキュリティソフト」の攻撃モデルとは

セキュリティソフトを模してユーザのPCに警告画面を表示、金銭的な利得を目的とする「偽セキュリティソフト」はすでにサイバー犯罪としては常套手段と化しています。まずは一般的な攻撃モデルをおさらいしましょう。

    【偽セキュリティソフトの攻撃モデル】

  1. 何らかの手段でユーザのパソコンに侵入
  2. ウイルス検出画面を表示、駆除するために購入を促す
  3. 購入画面で入力した個人情報(住所、氏名、クレジットカードの番号など)を詐取する

2010年初頭に日本国内で猛威を振るった「ガンブラー」攻撃や、9月に広告配信システムの改ざんを発端とした攻撃では、「Security Tool」という名前の偽セキュリティソフトが攻撃に用いられ、多くの感染被害報告がありました。

それでは「Think Point」はどのような偽セキュリティソフトなのでしょうか?

■感染の流れ:Webサイトを経由して侵入

「Think Point」の名前で進入する偽セキュリティソフトには複数の感染経路があることを確認していますが、ここでは2010年10月下旬に情報公開した「TROJ_FAKEALE.IG」を例に解説します。

  1. 攻撃者によって Webサイトに仕掛けられた偽セキュリティソフト(ファイル名:”AntiSpyWareSetup.exe”)をダウンロード

    図1:偽セキュリティソフト本体のアイコン画像 USB 経由の感染のイメージ
    図1:偽セキュリティソフト本体のアイコン画像

  2. ダウンロードして実行すると、”Microsoft Security Essentials(MSE)” に偽装したウインドウが出現

    図2:起動したときに表示される画面
    図2:起動したときに表示される画面

  3. 駆除が実行・完了されているかのように装った画面を表示、パソコンの再起動を促す

    図3:駆除を実行しているように見せる画面
    図3:駆除を実行しているように見せる画面

    図4:駆除完了のメッセージが表示。「OK」を押すと PC が再起動
    図4:駆除完了のメッセージが表示。「OK」を押すと PC が再起動

  4. 再起動後、「Think Point」が起動、再度パソコン内の検索を促す

    図5:再起動すると、「Think Point」が起動。Windows のロゴを使用している
    図5:再起動すると、「Think Point」が起動。Windows のロゴを使用している

    図6:図5 の「Safe Startup」を押して再度検索を行った画面
    図6:図5 の「Safe Startup」を押して再度検索を行った画面

  5. 検索完了後、正規版の購入を促す画面が表示される

    図7:正規版の購入を促す画面
    図7:正規版の購入を促す画面

    図8:購入画面。個人情報などの入力を要求される
    図8:購入画面。個人情報などの入力を要求される

ここまでの感染の流れを図にまとめると、以下の通りです。

図9:感染の流れ
図9:感染の流れ

この「Think Point」の特徴は、Windows のロゴや実在する Microsoft のセキュリティソフトの画面を偽装するなどして、「ホンモノっぽく」見せていることです。特にメッセージが英語で表示されることから、英語にあまり自信のない日本人のユーザの方は Windows から警告画面が表示されていると思ってしまったケースもあるようです。

■被害状況:コンシューマユーザを中心に国内でも100件以上の感染被害が発生か

本攻撃による最終的な被害は以下の通りです。

  • 入力した個人情報を詐取されてしまう
     ・名前
     ・住所 
     ・メールアドレス
     ・電話番号
     ・クレジットカード番号
     ・クレジットカード有効期限
     ・クレジットカード名義人名
     ・セキュリティコード
  • Internet Explorer や Firefox などのブラウザが起動できなくなる

図10:ブラウザを起動しようとすると表示される画面
図10:ブラウザを起動しようとすると表示される画面

日本のお客様からトレンドマイクロへの感染被害報告は10月、11月ともに 10件未満ですが、トレンドマイクロのWebサイト上で「Think Point」という文字列を検索した数が 10月の 24件から 11月は 279件と急増しており、12月も 11日までに 44件となっています。この事実から、これまでセキュリティソフトを導入していない、もしくは適切に運用していなかったユーザの方が「Think Point」の画面が表示されてから、情報を収集されているというケースが存在していることが推測できます。また、法人ユーザの多くはセキュリティソフトを標準的に導入しているケースが多いことから、被害の中心はコンシューマユーザであると考えられます。

図11:トレンドマイクロのWebサイト上で「Think Point」を検索した数の推移(週次)
図11:トレンドマイクロのWebサイト上で「Think Point」を検索した数の推移(週次)

■必要な対策:正規のセキュリティソフトの導入と適切な運用

「Think Point」に限らず、偽セキュリティソフトの被害から身を守るためには、正規のセキュリティソフトを導入し適切に運用することが不可欠です。本ブログで紹介した「TROJ_FAKEALE.IG」をダウンロードする Webサイトはすでに閉鎖されていますが、リージョナルトレンドラボの調査により新たに複数の Webサイトを通じて「Think Point」が拡散している事実が明らかになっています。不正な Webサイトへのアクセスをブロックできる「Webレピュテーション」や「URLフィルタリング」の機能が搭載されている総合セキュリティソフトの導入をご検討ください。

また、導入した後も、日々のアップデートや有効期限切れになっていないかをきちんと確認するとともに、Windows を含めたソフトウェアを最新の状態に保つということもお忘れなく徹底ください

■今後の傾向予測

偽セキュリティソフトによる攻撃そのものは2006年ごろから世界的に行われてきていますが、日本語の巧妙なものが登場してきたのはここ 2、3年のことです。「Think Point」は今のところ英語版だけしか流通を確認しておりませんが、正規のソフトと見分けるのが難しいくらい巧妙なものが今後も引き続き登場することが予測されますので、情報には常に敏感になっていただくことをおすすめします。

Related posts:

  1. Apple QuickTime RTSPの脆弱性へのゼロデイ攻撃
  2. Internet Explorer 7.0のアップデートを偽ったスパムメール
  3. Visa / MasterCardからの案内を装ったメール、その実態はUSBメモリウイルスの拡散
  4. 狙いは IE、Java、Flash、Silverlight:Web経由脆弱性攻撃の手口