今年に入ってから、相次いで偽のセキュリティソフトやセキュリティソフトの押し売り行為が出現し、セキュリティベンダー各社が注意を呼びかけている。発見されたのは、トレンドマイクロの「ルートキットバスター」をかたった偽ソフトと、Macユーザーを狙ったセキュリティソフトの押し売り行為。情報処理推進機構セキュリティセンター(IPA/ISEC)も「今月の呼びかけ」のなかで、セキュリティ対策ソフトの押し売り行為に注意を呼びかけている。
■トレンドマイクロの「ルートキットバスター」をかたる偽ソフト
トレンドマイクロは15日、ルートキットを検出、削除することを目的とした同社のソフト「ルートキットバスター」をかたった偽ソフトの流通を確認したことを明らかにした。フリーソフトのダウンロードサイトに登録しているユーザーへ送付されるリリース告知メールの中に、偽ルートキットバスターのダウンロードURLが記載されていたという。
同URLよりダウンロードされる「Spy-Blaster.zip(Spy-Buster.exe)」を起動すると、ルートキットバスターをかたる画面が表示され、最新版を告知するためにユーザー名とメールアドレスを登録するように促す。実際に情報を登録すると、トレンドマイクロではない第3者に情報が送信される。
トレンドマイクロによると、正規のルートキットバスターのダウンロードではユーザー情報の提供は求めておらず、偽ルートキットバスターの目的はユーザーのメールアドレスの詐取にあるという。収集されたメールアドレスは次の攻撃に悪用される可能性が高い。
トレンドマイクロは対策として、正規サイトからツールを直接入手すること、すでに利用しているルートキットバスターについては、実行ファイルに有効なファイルバージョン情報の登録の確認と、ハッシュ値が公開情報と同一であることを確認することを呼びかけている。(※1)
■Macユーザーを狙う初めてのセキュリティソフトの押し売り行為
フィンランドのF-Secureと米国のUS-CERT Current Activityは現地時間の15日、Macユーザーを狙ってセキュリティソフトの押し売り行為を行う「MacSweeper」が発見されたことを明らかにした。MacSweeperは、PC内に問題がないにもかかわらず、脅威にさらされているという警告を表示してユーザーの不安をあおり、ソフトをインストールさせようとする。いったんインストールしてしまうと、個人情報が危険にさらされているという警告画面が何度も表示され、ユーザーに有料版ソフトを購入させようとする。
F-Secureによると、MacSweeperのサイトでウイルススキャンを行うと、WindowsのPCであるにもかかわらず、Macにしか存在しないフォルダに問題があると表示されるという。また、MacSweeperのようなソフトはWindowsでは「Cleanator」と呼ばれているという。
Windowsユーザーを狙った同様のセキュリティソフトの押し売り行為は以前から行われており、IPAも7日に発表した「今月の呼びかけ」の中で注意を呼びかけている。従来は表示されるメッセージや製品名に英語表記が多かったが、昨年からは、ローマ字表記のソフト(※2)も現れている。
IPAでは、「RejiShufuku」というソフトを例にあげて、メッセージ画面が表示されても慌てて画面上のボタン等をクリックせずに、そのままブラウザを終了させるなどして、無視するようにアドバイスする。また、ソフトをインストールしてしまい購入を促す画面が消えない場合は、「コントロールパネル」の「プログラムの追加と削除」からソフトを削除するように勧めている。
※1)ダウンロードしたプログラムの正当性を判定する方法
Windowsでウェブからダウンロードしたプログラムを実行すると、通常は「セキュリティの警告」を表示し、ユーザーに注意を促す仕組みになっている。この「セキュリティの警告」画面では、ファイルの署名からその「発行元」を確認することができ、発行元が「不明な発行者」の場合には、正当性を確認できないので実行しないのが原則だ。ファイルのプロパティを表示し「デジタル署名」を確認すれば、実行前に署名の有無や発行元を確認することもできる。この仕組みは、サーバー証明書からサイトの正当性を判断するのと同じで、バージョン情報やハッシュ値よりも容易で確実な判定が行えるため、本来はこの方法で正当性を確認することを推奨する。
トレンドマイクロが配布する「ルートキットバスター」にはデジタル署名が入っていないため、この方法では同社から配布された不当なものであるかどうかを確かめることができない。さらに同社は、実行ファイルをZIPファイルに格納して配布しているため、実行時に「セキュリティの警告」も表示されない。このような配布方法は、未署名の悪質なプログラムを「セキュリティの警告」を回避して実行させる手法としてしばしば用いられており、同社には配布方法の改善をお願いしたい。
<参考>安易なクリックが危険を招く!! (IPA)
http://www.ipa.go.jp/security/txt/2007/11outline.html
※2)ローマ字表記のソフト
Bogyotsuru、ErrorSoshi、Konsekieraser、Doraibuhogo、Kansennashi、Besutohogo、VirusSeigyo、Pasokoneiju、VirusuWadame、KyoiKanshiなど。
(2008/01/21 ネットセキュリティニュース)
■偽「ルートキットバスター」によるアドレス搾取(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1274
■Fake RootkitBuster Busted
http://blog.trendmicro.com/fake-rootkitbuster-busted/
■MacSweeper Responds[英文](F-Secure)
http://www.f-secure.com/weblog/archives/00001365.html
■First Rogue Cleaning Tool for Mac[英文](F-Secure)
http://www.f-secure.com/weblog/archives/00001362.html
■Fraudulent Mac OS Security Tool Circulating[英文](US-CERT Current Activity)
http://www.us-cert.gov/current/archive/2008/01/15/archive.html#fake_mac_cleaning_tool_circulating
■CLEANATOR
http://www.cleanator.com/
■MacSweeper
http://www.macsweeper.com/
■コンピュータウイルス・不正アクセスの届出状況[12月分および2007年年間]について(IPA)
http://www.ipa.go.jp/security/txt/2008/01outline.html