偽セキュリティソフト「System Tool」が猛威-2011年2月の脅威動向を振り返る

正規サイトの改ざん被害が相次いで表面化し大きな話題になった「ガンブラー」から早くも1年が過ぎました。しかし、その脅威はなくなるどころか手を変え品を変え生き残り続けています。2月に確認した偽セキュリティソフト「System Tool」を中心に傾向を振り返りましょう。


2011年2月は、偽セキュリティソフトの感染被害が数多く寄せられたことが特徴的です。本ブログにおいても幾度と無く注意喚起をしている攻撃方式ですが、攻撃者は継続して新たな不正プログラムを作り出している現状がうかがえます。

今回は、2月下旬までに数十件の被害報告・問合せを頂いた偽セキュリティソフト「System Tool」について画像を交えて紹介します。

■見慣れぬアイコンで侵入

2月22日、トレンドマイクロへ「System Tool」の感染報告やお問い合わせが数十件、寄せられました。「System Tool」という名前の偽セキュリティソフトの存在自体は2010年末よりネット上で流布されていましたが、実被害としての報告数は限定的でした。

この時期に報告が集中した偽セキュリティソフト型不正プログラム「TROJ_FAKEAV.SM1A」は以下のような流れでPCに感染すると見られています。

  1. “Adobe Flash Player_10.2.exe” という名前のファイルとして Webサイトからダウンロード
  2. PC再起動後、壁紙に警告画面を表示するとともに偽の警告画面が起動
  3. 複数の不正プログラムへの感染の警告表示を行い、個人情報の入力を要求

上記のとおり、攻撃の流れとしてはさほど目新しいものではありません。

Webから侵入する不正プログラム本体のアイコンは野球のボールと映画のフィルムを表すような見慣れないものですが(図1参照)、ファイルのプロパティを確認すると「FireFox」という説明があり、非常に不自然です。

図1:不正プログラム本体のアイコン
図1:不正プログラム本体のアイコン

図2:プロパティ画面
図2:プロパティ画面

■再起動すると壁紙が警告画面に

PC を再起動すると、ユーザが設定した壁紙から図3 のような警告画面のような壁紙に差し替えられると同時に、「System Tool」が起動し、PC内の検索を始めます(図4参照)。

図3:警告画面を模した壁紙
図3:警告画面を模した壁紙

図4:起動した「System Tool」の画面
図4:起動した「System Tool」の画面

壁紙を勝手に変えて警告画面を表示する、という手口も実は新しいものではなく、2007年~2008年ごろに確認した偽セキュリティソフトでは数多く使われていました。

当時と比較すると、最近の偽セキュリティソフトは見た目や表記などがより「本物らしく」なったため壁紙の変更という手段を使わずともユーザを欺けると攻撃者側は考えていたのかもしれません。しかし、より攻撃の確度を上げるためにこういった旧来の手法も組み合わせた、とも考えられます。

そして、図5 のように多数の不正プログラムに感染したと表示し、駆除するためには購入・登録が必要であるとして購入画面(図6参照)を表示します。

1年版は 59.95ドル、などもっともらしい価格設定とともにクレジットカードの番号や住所の記入が求められます。

図5:感染を警告する画面
図5:感染を警告する画面

図6:「System Tool」購入画面
図6:「System Tool」購入画面

また、購入しないままでいると、他のアプリケーションを起動させないという妨害行為を行うこともこの「System Tool」の特徴です。

図7 のように、ファイル名を指定してシステム構成ユーティリティを起動させようとしてもツールバーから警告表示がポップアップされ起動できません。このポップアップが画面を拡大したものが図8 ですが、「起動させようとしたアプリケーションは不正プログラムに感染しているため起動できない。対策ソフトを有効にしましょう」といった内容が書かれています。

図7:起動させようとしてもポップアップが表示される
図7:起動させようとしてもポップアップが表示される

図8:警告を示すポップアップ画面
図8:警告を示すポップアップ画面

■正規サイトの改ざんがきっかけか?

いまだ「System Tool」を用いた攻撃について全体像はつかめていませんが、複数のお客様からの被害報告から、ある正規Webサイトが改ざんされ、それが感染のきっかけになっているのではないかと考えられています。実際に「リージョナルトレンドラボ」による調査では、被害報告が続出したのと同時期に日本からの閲覧も多い海外のWebサイトが改ざんされていたことを確認しています。すでに当該サイトは復旧済みで、そのサイトが原因でこの偽セキュリティソフトが拡散されたかどうかは明らかになっていませんが、同様に正規サイトの改ざんを端緒とした「ガンブラー」攻撃のように、複数の不正プログラムが攻撃に用いられていたことは確認しています。

■「System Tool」と「Security Tool」

本ブログ執筆にあたって、「ガンブラー」攻撃や昨年 9月の広告配信システムの改ざん攻撃で利用された偽セキュリティソフト「Security Tool」と今回の「System Tool」を比較したところ興味深い類似点を発見しました(図9参照)。

図9:「Security Tool」と「System Tool」のメイン画面
図9:「Security Tool」(左)と「System Tool」のメイン画面

名前が類似しているのはもちろん、以下のような共通点があることがわかります。

  • 製品のデザインがほぼ同じ
  • 左上の製品名の付近に「protect your pc」と記載されている
  • メニュー表示がほぼ同じ内容で、同じ順番
    「システムスキャン」「保護」「プライバシー」「リフレッシュ」「パラメーター」「System Scan」「Protection」「Privacy」「Update」「Setting」

全体の色が薄いブルーから淡いピンクに変更されている点を除けば、ほとんど同じと言えるでしょう。

また、購入画面はほとんど同じと言ってもよいくらい酷似しています。しかし、「System Tool」のほうが「Security Tool」よりも若干値段が高く、新たに 2年版が用意されています。

図10:「Security Tool」(左)と「System Tool」の購入画面
図10:「Security Tool」(左)と「System Tool」の購入画面

「Security Tool」が 25言語に対応していたのに対し、「System Tool」は今のところ英語・ドイツ語・スペイン語の3言語にしか対応していません。とはいえこれも時間の問題で日本語などに対応するものが登場してくることが予測されます。

見た目が類似しているからと言って攻撃者が同一とは限らず、単なる模倣の可能性もありますが、それだけ「Security Tool」が多くの感染被害を生み出したという事実の裏返しかもしれません。

■対策は基本の徹底と焦らないこと

さて、偽セキュリティソフトへの対策は何度も記載したとおり、

  1. セキュリティソフトを適切に使用する
  2. ソフトウェアを最新の状態に保つ
  3. 怪しいメールを開かない、怪しい Webサイトに近づかない

の 3点が中心になります。

そして、万が一このような被害にあったとしても、あせらずに落ち着いて対処する、ということが重要です。ひとりで抱え込まずに、周りの方に相談したり、お使いのセキュリティソフトのサポートセンターへお問い合わせください。