プラグインのダウンロードページ？ 正体は丸ごとコピーのマルウェアサイト

[ITmedia]

　Webサイトにアクセスしたら、画像が表示されるはずの場所に壊れたアイコンが出てきた。じゃあ必要なプラグインをダウンロードしよう……これがユーザーの一般的な心理だ。

　ところがこの行動を逆手に取り、ユーザーに自らマルウェアをインストールさせようとするWebサイトが発見された。典型的なソーシャルエンジニアリングの手法を用い、マルウェアをアップデートに見せかけている。

　SANS Internet Storm Centerが米国時間の6月22日に警告したところによると、プラグインのインストール先としてAdobeのWebサイトを複製した偽ページに誘導し、マルウェアをダウンロードさせる手口が報告されたという。

　SANSによると、あるユーザーが「RuneScape」に関係したゲームサイトにアクセスしたところ、壊れたアイコンが表示された。リンクはすべて、親切にも「Macromedia Flash Playerのアップデートが必要です」と知らせてくれるWebページにつながっており、そこから、「Shockwave Player Download Center」のように見えるWebサイトにリダイレクトされる。ところがこれはコンテンツを丸ごとコピーした偽サイトで、実際にはインストーラー付きのマルウェアがダウンロードされる仕掛けだ。

偽サイトのスクリーンショット。コンテンツは正規のものにそっくりだが、アドレスバーは丸見えで、URLを確認すれば偽物であることが分かる

　偽のページは、ただ1つ肝心なリンクを除けば、すべてAdobeの正規のサイトにリンクされているという代物だ。その上、Webページに仕込まれたJavaScriptによって、マウスを右クリックしてコンテキストメニューやプロパティを確認することができないようになっていたという。

　SANS ISCでは、この手口は技術的には特筆すべきものはないが、多くのユーザーをだます可能性があると指摘。アドレスバーを確認すれば偽サイトであることを見破るのは簡単だが、問題はどれだけのユーザーがそうした確認作業をするかどうかだと述べている。同じくSSLも役には立つだろうが、これもやはりユーザーがどれだけ注意を払うかにかかっているとしている。