ユーザーを欺いて不正なプログラムを実行させようとする手口のひとつに、ソフトウェアのアップデートを装うものがある。ほとんどが英語圏のユーザーを標的としたものなので、国内のユーザーがだまされてしまう可能性は低いのだが、時おり日本語化されたものも出回ることがある。
アップデートを装う手口では、利用者の多いブラウザや、Adobe Flash Player、Adobe Reader、JRE(Java Runtime Environment)といったプラグインの利用者が狙われることが多い。使用しているバージョンが古いので最新版にアップデートするよう促し、ウイルス(トロイの木馬)をユーザー自身に実行させようとする。
こうした攻撃は、海外の攻撃者が英語圏のユーザーを狙って行う英文のものが主体だが、筆者が今回遭遇したのは、Flash Playerのアップデートを装う日本語化されたものだった。
このサイトに誘導されると、「ページが表示できない! 最新バージョンにFlash Playerが更新してください!」という日本語のダイアログが表示される。日本語の不自然さに気付かずクリックしてしまうと、本物のダウンロードページそっくりに作られた画面が登場する。公式ページを丸ごと盗用したようで、日本語をはじめとする多国語に対応したものだ。
英文なら警戒したり無視したりしてしまう人も、日本語で表示されるとうっかりだまされてしまい、「今すぐダウンロード」ボタンをクリックしてしまうかも知れない。クリックすると、「FlashPlayer__●●_●●_●●.exe」(●●の部分は数文字のランダムな英数字)という、それらしい名前の付いたファイルが落ちて来るが、Flash Playerのアップデーターなどではなく、アップデーターに見せかけた不正なプログラムだ。
アップデート装う攻撃に騙されないよう、日頃から以下のことに注意を払っていただきたい。
(1) アップデートは必ず公式サイトで 使用しているプラグインなどが古い、あるいは必要なプラグインがインストールされていないため、Webページを正しく表示できないというケースは実際にある。また、その場でクリックすると公式のダウンロードページを開くようになっていることもある。この時、本物のサイトであるかどうか注意しないと、偽のサイトで不正なプログラムをダウンロードさせられてしまうかも知れない。 ソフトウェアのインストールやアップデートは、必ず公式サイトで行うよう心がけたい。あらかじめ公式サイトをブックマークしておいたり、製品のアップデート機能を利用したりすると間違いがない。
(2) 実行時の警告に注意 ダウンロードしたプログラムは、実行時にセキュリティの警告が表示される。実行するプログラムがシステムに変更を加えようとする場合には、ユーザーアカウント制御の許可を求めるダイアログも表示される。この時、「発行元」の欄に正しい開発元が記載されているかどうかを必ずチェックするよう心がけたい。例えば、Flash Playerの開発元であるアドビシステムズ社の製品なら「Adobe Systems, Incorporated」と表示され、同社が配布した正規のものであることが確認できる。ここに見知らぬ会社名が記載されていたり、「不明な発行元」になっていたりする場合は、偽物なので実行してはいけない。
(2013/11/27 ネットセキュリティニュース)