Windows 8 用偽ツールを再び確認! 次は「アクティベータ」

お得な話というのは誰もが好きなものですが、この心理を利用して無料または割引価格で商品を提供するという不正な手口が有効になります。さらに、提供される商品が Windows 8 のような大きな話題になっているものの場合、より効果的になります。

「TrendLabs(トレンドラボ)」は、2012年、Windows 8 が新たなプラットフォームとして公開された直後、Windows 8用偽ライセンスキー生成ツールWindows 8用偽セキュリティソフト、フィッシングメールが出現したことを確認しています。そして、公開されてから数カ月経ったにもかかわらず、特定のサイバー犯罪者が自身の不正活動を行うためにこのブランドを利用し続けているのを確認しています。今回、Microsoft が期間限定で提供する Windows 8 への格安アップグレードの話題が飛び交うなか、サイバー犯罪者は、Windows 8 を有効にする「アクティベータ」を提供すると装っています。

トレンドラボでは、調査する中でキーワードに Windows 8 を利用するさまざまな Webサイトを確認しています。一つ目の Webサイトは、無料の Windows 8 のアクティベータの提供を装っていますが、このアクティベータは、実際のところ、偽物です。トレンドマイクロの製品では、「HKTL_KEYGEN」として検出されます。

図1:Windows 8 の偽アクティベータを提供する Webサイト1
図1:Windows 8 の偽アクティベータを提供する Webサイト1

また、「Windows 8 Activator Loader Extreme Edition 2013」と呼ばれる Windows 8 のアクティベータを無料で提供すると謳う別の Webサイトも確認しています。

図2:Windows 8 の偽アクティベータを提供する Webサイト2
図2:Windows 8 の偽アクティベータを提供する Webサイト2

「HKTL_KEYGEN」は、インストールされると、次の過程へと進むにはユーザに指定の個人情報を記入し、特定の番号に「ショート・メッセージ・サービス(SMS)」を送信する必要があると促します。この手口に聞き覚えがあるユーザもいるかもしれませんが、実際にこれは、2012年にトレンドラボが報告した Windows 8用偽ライセンスキー生成ツールと同様の手口なのです。

トレンドラボの詳しい調査の結果、これらの Webサイトは、ラトビアやルーマニアに存在する IPアドレス上にホストされていることが判明しています。またこれらの IPアドレスは、「.ru」にもホストされており、解析者に気付かれにくくなっています。トレンドラボでは、2012年4月19日にこれらのアドレスにホストされていた “Instagram” や “Angry Birds” といった人気モバイルアプリの偽バージョンも確認しています。

Windows 8 は、セキュリティ機能と性能が改良されており、当然のようにユーザや Windows好きの好奇心をかきてています。無料で手に入るチャンスがあるということを言及しなくとも、Windows 8 自体の人気だけで、ユーザに不正プログラムをダウンロードさせるには効果的な手口となります。そのためユーザは、こういった「無料」での提供については疑いの目を持って検討することをお勧めします。

人生において最高のものは無料であることだと言う人もいるかもしれませんが、残念なことに、Webからの脅威の世界では、これはまったく当てはまることではありません。またユーザは、複数の端末を管理するには、よりセキュリティを中心としたデジタルライフを始める必要があります。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、「HTKL_KEYGEN」を検出および削除することによって、この脅威からユーザを保護します。また、これらのファイルをホストしている Webサイトへのアクセスもブロックします。

参考記事:

  • Free Windows 8 Activator? Think Again
     by Karla Agregado (Fraud Analyst)
  •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)