Windows 8用偽ライセンスキー生成ツールを確認

米マイクロソフトは、2012年10月下旬、Windows 8を全世界に発売。その改善された機能や安全性のため、Windows 8は、必然的にIT業界や熱狂的な Window ユーザの間に旋風を巻き起こしました。しかし、インターネット上の安全性という点になると、このような人気には必ず落とし穴があります。サイバー犯罪者が、Windows 8の人気に便乗するのは時間の問題なのです。

「TrendLabs(トレンドラボ)」は、Windows 8向け「キージェネレータ」のアプリケーションとしてパッケージされた2つの検体を入手。これらアプリケーションは、「http://<省略>en2eqqh2.cloudfront.net」から配布されていました。「キージェネレータ」は、シリアル番号を生成するために用いられ、通常有償ソフトウェアの海賊版コピーに利用されます。トレンドラボの解析から、確認したアプリケーションは不正なアプリケーションで、トレンドマイクロ製品では、それぞれ「ADW_SOLIMBA」および「JOKE_ARCHSMS」として検出します。

「ADW_SOLIMBA」は、実行されると、偽のメッセージを表示し、「OK」をクリックすると Webブラウザから Windows 8をダウンロードするよう、ユーザに促します。一方、「JOKE_ARCHSMS」は、Windows 8を有効にする「アクティベータ」を装っています。「ADW_SOLIMBA」のように、「JOKE_ARCHSMS」もまた画像を表示し、特定の番号へSMSのメッセージ(以下、テキストメッセージ)を送信すると Windows 8を起動することができるとユーザに思わせます。さらに、「JOKE_ARCHSMS」は、以下のWebサイトへアクセスし、クリック詐欺を働きます。

・http://<省略>rchant.net/api/open.php?aid=2102499&v
・http://<省略>rchant.net/50qjpr21e2bd/2102499/

図1:Windows 8の「アクティベータ」として装う
図1:Windows 8の「アクティベータ」として装う

図1にある画面の文言を翻訳すると、以下のとおりとなります。

インストールパスを選択してください:
“Windows 8 Activator 2011” のインストールを開始するには、「インストール」をクリックしてください。

「インストール」

図2:ユーザにアクティベーションコードを要求
図2:ユーザにアクティベーションコードを要求

また図2では、以下のような文言が表示されています。

インストールが完了しました。
個人コードを生成するには、「無料アクティベーション」を選択してください。
(自動アクティベーションからの保護)

・Country(国):
・operator(オペレータ):
・SMS with text(テキストメッセージ):
・on number(番号):

アクティベーションコードを入力してください。

これらの不正プログラムの背後に潜む人物は、Windows 8の人気やこのソフトウェアを試してみたいというユーザの強い関心に乗じることを期待しています。今のところ、新しく公開されるプログラムやソフトウェア、アプリケーションをソーシャルエンジニアリングの手口として利用することは、効果的な戦法となっています。トレンドラボでは、過去に本ブログを通じて、「Facebook」が「Instagram」を買収した際、「Instagram」の偽アプリが出回った事例を報告しています。また、同様に、正規のアプリがリリースされた時期に “Bad Piggies” や “Angry Birds Space” の偽バージョンを確認したのを報告しています。

サイバー犯罪者やインターネット上での不正活動を企む者たちは、ユーザが何を望んでいるかを把握したうえで、それを悪用します。ユーザは、どのサイトから何をダウンロードするかといったことについて慎重になるに越したことはありません。上述の検体が、インターネット上で唯一入手可能な不正なキージェネレータであるとは限りません。安全のため、ユーザは、信用あるWebサイトからダウンロードするように心がけてください。それ以上にまず、正規のプログラムを購入することを推奨します。

トレンドンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、これらの不正なキージェネレータを検出および削除することによって、この脅威からユーザを保護します。また、関連の不正なWebサイトへのアクセスもブロックします。

参考記事:

  • Fake Windows 8 Key Generators Surface
     by Roddell Santos (Threats Analyst)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    【更新情報】

    2012/11/30 12:30 「JOKE_ARCHSMS」は、OPR 9.561.00 より「TROJ_ARCHSMS.B」に改称されました。
    また、「ADW_SOLIMBA」は、CPR 9.562.01 より「TROJ_DLOADR.AAD」に改称されました。

    Related posts:

    1. 狙われ続ける「Facebook」ユーザ、パスワード取得目的のハッキングツールを確認
    2. 米国大統領選挙を悪用するWebからの脅威
    3. 持続的標的型攻撃に利用されるツールを徹底解析
    4. Google Chromeのインストーラを装う情報収集型不正プログラムを確認