米SANSインスティチュートは現地時間(以下同)22日、ブラウザ上でアドビのDirectorコンテンツを再生するプラグイン「Shockwave Player」のダウンロードサイトを装い、ユーザーのパソコンにトロイの木馬をインストールしようとするサイトの報告を受けたと発表。25日にはトレンドマイクロも、同様のサイトを確認したとして注意を呼びかけた。
SANSなどによると、オンラインゲーム「RuneScape」に関するあるゲームサイトを開くと、Flashコンテンツが再生できないことを示す壊れたプラグインのアイコンが表示。壊れたアイコンをクリックすると、「Flash Player」のアップデートを促すエラーページが表示され、アドビの「Shockwave Player Download Center」とそっくりに作られた偽サイトに誘導される。サイトの指示にしたがって今すぐインストール(Install Now)ボタンをクリックすると、「Shockwave Player」の代わりにスパイウェアのインストーラがダウンロードされる仕掛けになっている。
偽サイトは、脆弱性を突いて自動的にダウンロード・実行するなどの細工はなく、アドレスバーのURLを確認すればアドビのサイトではないことも明白なのだが、ダウンロードに誘う一連のプロセスには、ユーザーの心理を突いたソーシャルエンジニアリング的な手法がうまく使われており、うっかりクリックしてしまう可能性が高い。
アプリケーションやプラグイン、プレーヤー、動画のコーデックなど、ネット上で使われる身近なソフトウェアを装って悪質なソフトウェアをインストールしようとする手口は、これまでもしばしば報告されている。ダウンロードサイトの大半は、サイトの実在をブラウザが自動的に判断してくれるSSLにも対応していないので、ダウンロード時にはユーザー自身が最大限の注意を払い、「ダウンロードサイトは信頼できる正規のサイトなのか」「そのソフトは本当に必要なものか」「プログラムに正しいデジタル署名が入っているか」といったことを確認する必要がある。
(2007/06/26 ネットセキュリティニュース)
■Fake Adobe Shockwave Player download page[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=3024
■It's more than meets the eye, it's [yet another] malware download site in disguise[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/it27s-more-than-meets-the-eye2c-it27s-5byet-another5d-malware-download-site-in-disguise/