進化する“偽セキュリティソフト”――2011年版の最新機能は？：Kaspersky Press Tour 2010（2）

[後藤治，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

フランスでシニアセキュリティリサーチャーを務めるNicolas Brulez氏

　Kaspersky Labがドイツで開催した「Kaspersky Security Symposium」では、サイバー犯罪の最新動向について、各分野のセキュリティ専門家が複数のセッションを実施している。その内容は技術的なものから法律にかかわるものまで多岐にわたるが、ここでは一般ユーザーが日常生活で直面しやすい脅威の1つ、「スケアウェア」（Scareware）の最新状況を取り上げたNicolas Brulez氏のリポートを紹介しよう。

　スケアウェアは、ユーザーの画面にマルウェアを検出したとするアラートを表示して、“偽セキュリティソフト”（Rogue AV）の導入を促し、ライセンスの購入を迫るものがよく知られている。初期のバージョンが登場した2006年ごろは、デスクトップをジャックしてアラートを表示する簡易的なものだったが、急激に数が増加した2008年には通常のセキュリティソフトに酷似したユーザーインタフェースを備え、現在では日本語を含む十数カ国以上の言語にローカライズされたバージョンも登場するなど、世界的に流行の兆しが見られる。

　また、2010年にはユーザーサポートを実装したものまで登場。さらに多くのセキュリティベンダーが、2010年末にかけて2011年版をリリースしているのにあわせて、サイバー犯罪者たちも偽セキュリティソフトのユーザーインタフェースを2011年版にアップデートしている。

スケアウェアはデスクトップ（壁紙）をハイジャックする初期のもの（写真＝左）から、セキュリティ製品と同じUIを備えたもの（写真＝中央）まで過去4年間で大幅に進化してきた。2008年から急激に数が増え始め、1カ月に約62個のペースで増加しつつあるという（写真＝右）

　製品デモでは、メイン画面右上に「Online Support」サポートボタンを備えた偽セキュリティソフトが紹介された。ボタンを押すと実際に対人でチャットによる“サポート”を受けられる。24時間／年中無休のチャット対応ということで、「セキュリティソフトとしては何の価値もない」という点を除けば、実際の製品と同じクオリティだ。また、電話やEメールでのサポートも受け付けている。国内参入したばかりのセキュリティベンダーの中には“本物”でも日本語のサポートはEメールのみという製品もあるが、こちらも事情は同じようだ。年中無休の対応でネットワーク越しに実際の人間が存在するという点でも、サイバー犯罪者の組織化がよりいっそう進んでいるのが分かる。

画面右上にオンラインサポートボタンが加わっている（写真＝左）。無料のバージョンを用意し、サポートは有料ライセンスのみとするフリーミアムモデルを装って、アップデートをうながすものもある（写真＝中央）。実際にライブチャットによるサポートが始まる（写真＝右）

会話を見ているとボットではない実際の人間が応対しているのが分かる。フリーバージョンと称したマルウェアへのダウンロードリンクに誘導したり、有料版へのアップグレードを勧めたりする。いわば人間の“心理的ぜい弱性”を突くスケアウェアでは、“ユーザーサポート”は効果的な手法と言えるかもしれない。24時間／7日間対応で、電話や、Eメールによる他言語での問い合わせも受け付ける

　一方、感染経路も拡大している。従来のスパムメールに加えて、インスタントメッセンジャーや、FacebookなどのSNSを土壌にしたもの、「Black Hat SEO」と呼ばれる検索エンジンの汚染によって、検索の表示結果から悪意のあるサイトへ誘導するものまでさまざまだ。最近ではマイクロアドの広告サーバが改ざんされ、偽のセキュリティソフト「Security Tool」が拡散したケースも見られるように、普通にインターネットを利用しているだけでも、これらの危険に遭遇する可能性は高まっている。

　Brulez氏は、危険を回避するためのアドバイスとして、OSのパッチだけでなくWebブラウザ、Flash、PDFリーダーといったサードパーティ製ソフトのアップデートや最新セキュリティソフトの導入、注目されている話題は検索サイトから探さない（SEOポイズニングはHot Topicsが狙われやすい）、SNS経由でよく知らないWebサイトに移動しない、PDFやDocなどの添付ファイルは開かないといったポイントを挙げ、ユーザーを啓蒙していく重要性を訴えた。

Facebookで魅力的な女性のメッセージからビデオのURLをクリックすると……というのはよくある話（写真＝左）。「Black Hat SEO」（SEOポイズニング）と呼ばれる検索エンジン結果の汚染も深刻な状況。そのときどきの注目キーワードにあわせて日々変化している（写真＝中央）。2011年版の偽セキュリティソフト。ロゴもきちんと2011になっている（写真＝右）

サイバー犯罪者の組織化が加速している

　セッション後、スピーカーのNicolas Brulez氏に話を聞いた。

―― 偽セキュリティソフトの一般的な価格はいくらくらいですか？

Brulez　だいだい50ドルから90ドルくらい。ただし多くの場合、ライセンスの更新間隔は1年ではなく、3カ月だ。

―― 2011年版の偽セキュリティソフトは“サポート”がトピックですが、UIと同じようにこちらも多言語に対応しているのでしょうか。

Brulez　チャットは通常、英語のみだ。日本語はないと思う。ただし将来的に可能性はあるだろう。中国語と韓国語はもうあるかもしれない。

―― サポート、つまり窓口を用意すれば、それだけ犯罪者にとっても危険が増すことになりませんか？

Brulez　国によって状況は違うがチャットでもIPが順次変わっているし、1つの組織が複数のプロダクト（偽セキュリティソフト）を持っているので、発見されてもすぐ次のものに移ったりしている。固定的な履歴が残らないので捕まえるのは難しいだろう。

―― 24時間、年中無休でサポートを提供するにはかなり人件費がかかりそうですが……

Brulez　組織が複数の窓口を統括し、サポートは色々なリージョンの時差を利用して分業している。また、スケアウェア自体で金銭を集めるだけでなく、重要なのはそこで収集した情報をほかの“ビジネス”にも利用できる点だ。（マルウェアを）作る専門、使う専門、そして管理する専門と高度に組織化されている。十分ペイできると思う。

―― 感染経路としてSNSが増えていますが、そもそもサービス内に危険なURLが流れたら、例えば御社のようなセキュリティベンダーとの協業して、ローカルではなくサービス提供側でそれを抑止する仕組みを構築する、という動きはないのでしょうか

Brulez　これは分野外なので分からないな……ソーシャルネットワークベースのアナリストも来ているのでそちらに聞いてほしい

―― 偽セキュリティソフトで1つ分からないのが、そもそも製品名もUIも、そっくりそのまま本物と同じように作らないことです。明らかに似ているけれどよく見ると違う。なぜですか？

Brulez　まず1つは、人は製品名やデザインをはっきり記憶するのではなく、だいたいの印象としてしか覚えていない、似ていれば十分ということ。もう1つは、“本物”の競合製品、別の選択肢として提示しているという手法にもよっていると思う。ただ、Microsoft Essentialsではまったく同じものがあったと記憶している。

―― 印象しか残らないのなら、人気の高い製品や高度な製品のフェイクが流行すると思います。偽セキュリティソフトにとって1番人気はどこの製品ですか？ やっぱりカスペルスキー？

Brulez　ははは、そうかもね（笑）