国内検出台数トップを独占する「アドウェア」、その活動と被害とは

日本では昨年後半より、「ADW_」という接頭辞がついた検出名が検出台数の TOP3 を独占する傾向が続いています。「ADW_」とはトレンドマイクロ製品において「アドウェア」の検出を表す検出名です。トレンドマイクロがまとめた脅威動向レポート「2014年第1四半期セキュリティラウンドアップ」では、日本における 2014年第1四半期中の検出台数 TOP3 として、下図の結果が報告されています。

図1:2014年第1四半期 日本国内で検出された不正プログラムTop3
図1:2014年第1四半期 日本国内で検出された不正プログラムTop3

この傾向は現在も続いています。直近の状況として、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の統計情報では、今年 5月の 1カ月間における日本でのアドウェアの検出数は 150万件を越えていました。この 5月のアドウェア検出数のうち 48% を占めたのが、「INSTALLCORE(インストールコア)」と呼ばれるアドウェア(「ADW_INSTALLCORE」もしくは「ADW_INSTALLCOR」として検出)でした。

アドウェアとは、ユーザの望まない広告表示活動を行うものであり、一般に「不正プログラム」とまでは断定できない「グレイウェア」として扱われることが多いものです。現在日本国内で検出数TOP を占めるアドウェアは、いったいどのような活動を行い、ユーザはどのような被害を受けるのでしょうか?今回は典型的な事例として、この「INSTALLCORE」について詳しい解析を行いました。

図2:2014年 5月におけるアドウェア検出の種類別割合
図2:2014年 5月におけるアドウェア検出の種類別割合

■侵入経路
アドウェアは、一般のソフトウェアに紛れてユーザ環境に侵入します。ユーザは便利なソフトウェアを探している途中、誤って「INSTALLCORE」をインストールしてしまうケースが多いようです。今回確認した「INSTALLCORE」関連のお問い合わせでは、PDF作成ツール、ファイル操作ユーティリティ、圧縮解凍ツール、アイコン素材集などのシェアウェアへのバンドルや Webサイト上の広告経由での感染が確認されています。

今回は事例として Web広告からの感染を追跡しました。ユーザが下図のような広告の画像をクリックすると、ダウンロードサイトに移動します。ダウンロードサイト内のダウンロードボタンをユーザがクリックすることでインストールが始まります。

図3:「INSTALLCORE」に繋がる Web広告表示の例
図3:「INSTALLCORE」に繋がる Web広告表示の例

図4:「INSTALLCORE」に繋がるソフトウェアのダウンロードサイトの例
図4:「INSTALLCORE」に繋がるソフトウェアのダウンロードサイトの例

図5:「INSTALLCORE」に繋がるソフトウェアのインストール画面の例
図5:「INSTALLCORE」に繋がるソフトウェアのインストール画面の例

最近の攻撃では、脆弱性を利用して自動的に不正プログラムをインストールする「ドライブバイダウンロード」が一般的です。しかし、不正とは言い切れないグレーな活動を狙うアドウェアの場合には、あくまでもユーザが自分の意志でダウンロード、インストールしたという事実を作ることが重要のようです。

■「INSTALLCORE」の活動
「INSTALLCORE」は実際にどのような活動を行うのでしょうか。トレンドマイクロの解析によれば、「INSTALLCORE」はインストールの際に、特定の接続先へアクセスし、HTTP の POSTメソッドでなんらかの情報を送信します。送信する情報は難読化されており内容の判断は困難ですが、攻撃者に対し自身がユーザ環境にインストールされたことを知らせるための通信と考えられます。

図6:「INSTALLCORE」が送信する難読化された情報の例
図6:「INSTALLCORE」が送信する難読化された情報の例

インストール時には PC の以下のフォルダ内にファイルが作成されます。

  • ユーザの local\temp\ 配下に実行形式ファイル
  • ユーザの local\temp\ 配下に IS で始まるフォルダ(IS*****)、そのフォルダ内に実行形式ファイル

インストールが完了すると Internet Explorer が自動で起動し、特定の広告を含む Webページが表示されます。Webページ内にはユーザの不安を煽るような表示があります。

図7:「INSTALLCORE」のインストール完了後に表示される Webページの広告表示例
図7:「INSTALLCORE」のインストール完了後に表示される Webページの広告表示例

この表示内のボタンをクリックしてしまうと以下の Webページに接続されます。

図8:広告のクリックにより誘導される Webページの例
図8:広告のクリックにより誘導される Webページの例

接続先の Webページでは「無料スキャンでパソコンのエラー検出」を行う旨の表示があります。ユーザがこの画面で「無料のインスタンススキャン」をクリックすると実行形式のファイルがダウンロードされ、以下のポップアップが表示されます。

図9:誘導された Webページからダウンロードされるソフトのインストール画面の例
図9:誘導された Webページからダウンロードされるソフトのインストール画面の例

「同意してインストール」を選択すると以下のソフトウェアがインストールされ、起動されます。

図10:誘導された Webページからダウンロードされたソフトの起動画面例
図10:誘導された Webページからダウンロードされたソフトの起動画面例

実行を進めていくと、下図のように多くのエラーが発見されたという虚偽のスキャン結果が表示されます。

図11:インストールされたソフトが表示するスキャン結果表示例
図11:インストールされたソフトが表示するスキャン結果表示例

「すべての問題を修復」を選択すると以下の画面が表示され、「今すぐ購入」を選択すると製品の購入の Webページに接続されます。

図12:「問題を修復」を選択した場合に表示される製品の購入を促す画面表示例
図12:「問題を修復」を選択した場合に表示される製品の購入を促す画面表示例

製品購入の Webページは以下のようになっております。

図13:最終的に誘導される製品購入画面例
図13:最終的に誘導される製品購入画面例

今回の確認で「INSTALLCORE」は、偽セキュリティソフトまがいの不審なソフトウェアをダウンロードさせることが確認できました。「INSTALLCORE」自体には情報漏えいなどのリスクはありませんが、このような不審なソフトウェアに繋がる広告を強制的に表示する挙動は、不正なものと判断できます。

現在確認されているアドウェアにはこの「INSTALLCORE」のような悪質なものが多く確認されています。また、より巧妙に潜伏しユーザの望まない広告表示によってアフィリエイトを稼ごうとするタイプも確認されています。いずれにせよ、アドウェアを拡散させる攻撃者の目的は最終的に金銭的利益であることに間違いはないようです。

■トレンドマイクロの対策
本稿で紹介したアドウェアに対しては、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つである「ファイルレピュテーション」技術により検出対応を行っております。同時にアドウェアや偽セキュリティソフトなどを拡散させるための不正サイトは「Webレピュテーション」技術によりブロックし、脅威の侵入と連鎖から防護します。

また、トレンドマイクロのネットワーク挙動監視ソリューションである「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」では、自組織のネットワーク内でアドウェアや不正プログラムが行う不正な通信を可視化し、脅威の潜伏を警告することが可能です。

また、トレンドマイクロではアドウェアなどの迷惑なアプリでお困りのお客様向けに、以下の有償サポートを提供しています: