Webサイトで記事を読んだ際など、詳細を知りたくなった言葉や好奇心をかき立てられた言葉などを検索した経験があると思います。マルウェアを流布している犯罪者は、この状況もターゲットにしようと考えています。今回はその具体的な例として、少し古い話ではありますが、巨額詐欺の罪で起訴されている元NASDAQ会長のBernard Madoff氏がRybovich製1969年型55フィートヨットに言及した、というニュースを事例にその感染手口を紹介します。
このヨットがどのようなヨットか見てみたいと考えた人は、すぐに「1969 Rybovich」というフレーズで検索したことと思います。単に検索した程度で危険な目に遭うことはないと、多くの人は考えています。しかし実際に検索してみると、マルウェアの流布を狙う犯罪者は、既にこのヨットを攻撃手段として採用しており、グーグルの検索結果上位には攻撃用のURLが並んでいました。この手の手法は、記事が掲載されてからすぐに現れ、時間と共に徐々に検索結果に表示されるマルウェア配布サイト数が増えていくのが一般的です。中には、ブログ記事までもマルウェア配布に使用するケースもあります。
「1969 Rybovich」の検索結果
検索結果そのものは、一見危なくないように見えます。しかし、上位にあるURLをいくつかクリックすると違う印象を持つことでしょう。これらのURLは、いずれもマルウェア配布を行う偽ウイルス対策ソフトにつながっています。その例を二つ、以下に紹介します。
当然ながら極めて悪質なサイト
偽検索結果から誘導されるポルノとマルウェア
上記のWebサイトが表示されれば、探していたヨットとは無関係なため、ユーザーは警戒することでしょう。しかし一部のユーザーは、あわてていたり、更なる好奇心に逆らえなかったりするため、表示されたメッセージをクリックしてマルウェアを送り込まれてしまうでしょう。また、クリックしなくてもアクセスした時点で、マルウェアを送り込まれているケースも多くあります。
以下に示したのは、このようなメッセージのクリック後に起きる典型的な例です。偽のスキャンが開始され、最終的には悪質な製品の購入を促してきます。
偽のウイルススキャン
最後に、このような検索を安全に行うために、注意すべきことを記載します。まず、検索結果内のURLに似ているものがあるかどうか調べ、似ていたら警戒してください。次に、URLをクリックして表示された内容が予想外の内容だったり、新たにクリックを求める別の画面が現れたりした場合は、要注意です。決して、偽のウイルススキャンを実行してはいけません。別の画面が現れている時点で、既に求めている情報など得られない危険なアクセスを行っている可能性があります。
関連記事
- [2012/10/23] 新たな形式の偽ウイルス対策ソフトウェア「System Progressive Protection」が登場
- [2011/04/15] 偽ウイルス対策ソフトや、トロイの木馬と関わりを持つルートキット
- [2010/09/24] グーグル検索を悪用するサイバー犯罪-2
- [2010/09/17] グーグル検索を悪用するサイバー犯罪-1
- [2010/08/27] 偽のウイルス対策ソフトから身を守るために
- [2010/08/19] 偽のウイルス対策ソフトによる感染被害が拡大
- [2010/08/06] 偽ウイルス対策ソフトの検出回避策
- [2010/08/13] 偽ウイルス対策ソフトの感染経路-3
- [2010/07/30] 偽ウイルス対策ソフトの感染経路-2
- [2010/05/17] 偽ウイルス対策ソフトの感染経路
- [2010/07/16] マカフィー製品を装う、偽のセキュリティソフトウェア-3
- [2010/07/09] マカフィー製品を装う、偽のセキュリティソフトウェア-2
- [2010/07/02] マカフィー製品を装う、偽のセキュリティソフトウェア-1
- [2010/06/29] 偽のウイルス対策ソフト「2010年版」
- [2010/06/22] 新種が次々と現れる偽のセキュリティソフトウェア
- [2010/03/11] 偽セキュリティ対策ソフトが急増中
関連情報
※本ページの内容はMcAfee Blogの抄訳です。
原文:Google Searching for Madoff’s Yacht Leads to Fake Anti-Virus and Malware
