偽の更新通知でマルウェア感染――古典的攻撃でもだまされる危険性

「ニコニコ動画」の画面に表示されたFlash Playerの偽の更新通知をクリックすると、マルウェアに感染する事件が起きた。海外では2000年代後半に登場した古いタイプの攻撃だが、日本で拡大する事態も想定される。

» 2014年06月20日 16時46分 公開
[國谷武史,ITmedia]

 「ニコニコ動画」など一部のWebサイトで6月19日未明に、Adobe Flash Playerの更新を促すメッセージが表示され、これをクリックしたユーザーがマルウェアに感染する事態が起きた。

Adobe Flash Playerの更新を促す偽のメッセージ(ドワンゴ、シマンテックより)

 運営元のドワンゴとニワンゴは、動画サービスの「niconico」でマイクロアドの提供する広告配信サービス「MicroAd AdFunnel」を経由して表示された広告からマルウェアがダウンロードされる事態があったと報告。広告に含まれるスクリプトによって更新通知が表示されていたとし、同日正午に広告ネットワークとの通信を遮断する措置を講じた。

 マイクロアドも同日、MicroAd AdFunnelを利用する一部の媒体社で同様の事象があったと発表。問題の広告は同社が提携する米国の広告事業社から配信されたもので、19日午前10時頃に配信を停止した。広告事業社側はこの広告と関連するドメインを全て特定し、停止処置を完了させたという。

 マイクロアドは提携事業社と協議しながら、事象の徹底調査と今後の対応を検討していくと表明。ドワンゴとニワンゴは、マイクロアドと被害規模や被害を受けたかの判別方法、被害を受けている場合の対応方法については、マイクロアドと調査を進めていくと説明した。

 この事象を解析したシマンテックによると、Flash Playerの更新を促すメッセージは「downloads.(削除済み).biz」というドメインから表示されていた。ユーザーがメッセージの「OK」をクリックすると、Adobeの正規サイトに似せたFlash Playerのダウンロードサイトに誘導される。似サイトに記載されたFlash Playerのバージョンは「11.9.900.152」だが、実際の最新バージョンは「14.0.0.125」(6月20日現在)となっている。

偽のFlash Playerのダウンロードサイト(シマンテックより)
正規のFlash Playerのダウンロードサイト

 ユーザーが偽サイトから偽の更新版をインストールすると、コンピュータがマルウェアの一種のトロイの木馬に感染する。このマルウェアはWebブラウザの詳細情報やコンピュータのGUID(グローバル一意識別子)、HDDのシリアル番号、MACアドレスなどの情報を収集して、外部サイトに送信する。また、別のファイルを呼び込み、このファイルがさらに設定ファイルをダウンロードする。設定ファイルは暗号化され、ダウンロードごとに異なるものになっていたという。

 なお、ニコニコ動画の閲覧者が不正サイトに誘導されたという事象について、シマンテックでは正確なリダイレクト手法を確認できていないとし、ニコニコ動画が侵害された証拠も見つかっていないと説明している。

海外では2000年代後半から存在

 ソフトウェアの更新を促す偽のメッセージでマルウェアに感染させるタイプの攻撃は、海外では2000年代後半に登場した。特にユーザーの多いMicrosoft製品Adobe製品などが悪用されるケースが何度も報告されている。

 偽の更新メッセージも、以前はソフトウェア会社になりすましたメールをユーザーに送りつける方法が使われたものの、その後は、インスタントメッセンジャーやSNSなどを通じて送りつけるようになり、2010年頃から今回の広告配信ネットワークも使われるようになった。

 攻撃のタイプとしては古典的だが、上述したようにユーザーをだます手口は年々巧妙化している。今回の事件でドワンゴやシマンテックが公開したスクリーンショットを見ても、日本語の文章に不自然さは感じられず、偽サイトのデザインも正規サイトに酷似しており、一見しただけでは区別がつきにくい。かつては英語を使うケースが大半だったため、日本のユーザーは警戒がしやすかったものの、今後に日本語でも巧妙化していくと被害が広がる恐れも想定される。

 こうした攻撃による被害に遭わないためには、まず次のような基本的な対策を徹底することが大事だ。

  • 安易にリンクをクリックしない
  • 正規ソフトウェア(OSやアプリケーションなど)を常に最新の状態にする
  • 正規のセキュリティソフトを導入し、常に最新の状態にする
  • リンク先URLの文字列を確認し、正規サイトと異なる点がないかチェックする

 なお、今回の攻撃は「ソフトウェア更新」の必要性を逆手に取ったともいえる。正規ソフトウェアの更新は、可能であれば「自動更新」にする設定にしておくことで、不意に更新をうながすメッセージが表示されても、慌てずに適切な対応をとることができるだろう。

 また、こうしたサイバー攻撃ではユーザーが攻撃の被害に遭うだけでなく、マルウェアなどによってコンピュータを攻撃者に乗っ取られ、意図せず攻撃に加担させられてしまう場合もある。攻撃者に乗っ取られたコンピュータは「ボット」などと呼ばれ、攻撃者は数万台から数百万台のボットで構成されるネットワーク(ボットネット)を操り、今回のような攻撃や迷惑メールの大量送信、企業サイトなどをダウンさせるDoS攻撃など、さまざまなサイバー攻撃を実行する。

 近年は世界各国の警察当局やITベンダー各社が連携し、攻撃者に乗っ取られたコンピュータとそのネットワークを閉鎖に追い込む作戦も展開されているが、ボットネットは深刻な問題となっている。

 組織や個人を問わずユーザーとしては自身が被害に遭うだけでなく、攻撃や犯罪に加担させられる危険性も理解して、セキュリティ対策を適切に講じる必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ