情報処理推進機構(IPA)は、「偽セキュリティソフト」型ウイルスの感染被害が目立つとして、対策を呼びかけている。感染経路はドライブバイダウンロードが多く、ウイルス対策ソフトを最新状態にしていても感染する可能性が高い。対策は「脆弱性の解消」が第一で、OSやアプリケーションのアップデートを必ず行っていただきたい。
今年に入り、「ウイルスに感染している」「ハードディスク内にエラーが見つかった」などの偽の警告画面をパソコンに表示し、有償版製品の購入を迫る、偽セキュリティソフト型ウイルス(以下、同型ウイルス)の相談・届出が、IPAに多く寄せられている。
同型ウイルスに関する「相談件数」は、2月に24件(1月は18件)あり、うち20件が感染被害の相談だった。また、同型ウイルスの「感染被害届出件数」は、昨年12月に1件、今年1月に4件だったが、2月には7件と急増している。
■Webを閲覧しただけで、対策ソフトをすり抜けて感染
昨年12月から今年2月までに感染被害届出があった12件のうち11件は、ウイルス対策ソフトを使用している。しかも11件ともすべて、対策ソフトを最新状態にして使用していた。なかには翌日には検知可能になったという報告もあったが、今回届出のあった同型ウイルスは、対策ソフトを最新状態で使用しても感染被害にあう可能性が高かったことがうかがえる。
感染経路は、12件中11件がWebサイトを閲覧しただけでウイルスに感染してしまう「ドライブバイダウンロード」攻撃によるものだった。IPAは、これまでにも同型ウイルスの注意喚起を行っているが、当時の主な感染経路はメールで、ウイルスが埋め込まれた添付ファイルを開くことで感染するというものだった。IPAに寄せられた同型ウイルスの検出数は、メールでばら撒かれていた時代は大量だったが、2011年以降は極端に減っている。これは、感染経路がドライブバイダウンロード攻撃に移ったことを示している。
■偽セキュリティソフト型ウイルスの特徴
IPAは、同型ウイルスの動作を検証し、特徴を次のように説明している。
(1) 突然デスクトップ上に、パソコン内を勝手にチェックし始める画面が表示される。この画面を表示している間、利用者にはわからないように、複数のWebサイトにアクセスし、何らかのプログラムをダウンロードしようとする。
(2) チェックが終了してしばらくすると、問題解決を促す画面が表示される。この問題解決の画面が複数表示されたり、パソコンそのものが動かなくなったりする事例も報告されている。
(3) 表示された画面のボタンをクリックすると、クレジットカードを使って有償版製品の購入を迫る画面が出る。Webブラウザの画面に見えるが、実際はブラウザを模した偽の入力画面だ。
その他の特徴として、ウイルス駆除を妨害しようとして、スタートメニューに[コントロールパネル]や[アクセサリ]などを表示させず、インターネットのお気に入りの中身を削除している。また、デスクトップ上のアイコンや、パソコン内のほとんどのファイルやフォルダを消してしまう。実際には削除しておらず、「隠しファイル」表示に設定しているだけだという。パソコンがより深刻なダメージを受けていると思わせるための手口とみられる。
■感染予防対策は「脆弱性の解消」を第一に
現在の感染経路は、ドライブバイダウンロード攻撃によるものが多い。この攻撃は、OSやアプリケーションの脆弱性を悪用して行われるため、これらのソフトを常に最新の状態に保つことが一番の対策になる。IPAは、インストールされているソフトのバージョンを簡単に確認するツール「MyJVNバージョンチェッカ」を無償で公開しているので、ぜひ活用していただきたい。
・MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/vccheck.html
初期化が必要になる万一の場合に備え、重要なデータは外部記憶媒体などへバックアップしておきたい。ウイルス対策ソフトを導入し、定義ファイルを最新に保って使用することも継続する必要がある。IPAは、ドライブバイダウンロード攻撃を行う有害なWebサイトの閲覧を防止する機能がある、統合型セキュリティソフトの使用も提案している。
偽の警告画面に従ってクレジットカード番号を入力してしまった場合は悪用されるおそれがあるため、カード会社に連絡して番号の変更を。代金返金などに関しては、カード会社か消費生活センターに相談されたい。
(2012/03/08 ネットセキュリティニュース)
【関連URL:IPA】
・コンピュータウイルス・不正アクセスの届出状況[2月分]について
http://www.ipa.go.jp/security/txt/2012/03outline.html