これまでも本ブログにおいて「ワンクリック詐欺」についてたびたび注意喚起をしてきましたが、PC向けのワンクリック詐欺の手口として常套手段化しているのは、動画閲覧に必要などとして HTA という形式のファイルをユーザにダウンロードさせ、デスクトップに請求画面を表示し続けるものです。

ネット詐欺にかぎらず、攻撃者側は目的の達成をより確実なものとするために新たな技術や手法を取り入れますが、2012年2月にトレンドマイクロの Forward Looking Threat Researcher である林憲明が確認したワンクリックサイトのひとつでは「Right-to-Left Override（RLO）」と呼ばれる拡張子偽装のテクニックが使用されていました。

■ダウンロードされるのは wmvファイル？
当該のサイトから「入場する」など複数回クリックすると、図1 や図2 のようなウィンドウが立ち上がり、ファイルのダウンロードが促されます。

ファイルの末尾には「.wmv」とあり、Windows Media Player で再生可能な動画ファイルであると推測されます。

図1：表示されるウィンドウ（Internet Explorer 8 の場合）

図2：表示されるウィンドウ（Internet Explorer 9の場合）

しかし、このファイル名は RLO という機能を用いて偽装されたものなのです。日本語や英語は左から右に読むことが通常ですが、アラビア語などでは右から左に読む習慣があるため、文字の流れを反転させる機能が組み込まれており、これが Right-to-Left Override、略して RLO と呼ばれているのです。

RLO の機能を解除した本来のファイル名と比較したものが図3 です。

図3：本来のファイル名と偽装されたファイル名

本来のファイル形式とは違う拡張子を表示してユーザをだまし、ファイルを開封させようとする手口を「拡張子偽装」と言いますが、この「RLO」を用いた手口は 2010年に日本国内の企業を標的にした標的型攻撃や、ファイル共有ソフト内で流通した不正プログラムでも使用されていました。

本事例の場合、Internet Explorer 9 のユーザには図4 のようなポップアップが表示されるため wmvファイルのダウンロードでないことに気づくかもしれませんが、残念ながら多くの場合はこのような警告表示は見逃されてしまいがちです。

図4：本来のファイル名と偽装されたファイル名

最終的には図5のような請求画面が表示され、利用料金の支払いが促されます。右上の「閉じる」ボタンを押しても画面が消えない仕組みになっています。

図5：会員登録手続が完了したと知らせる画面

■ファイル開封時には細心の注意を
動画ファイルに関連して不正プログラムを送り込む手口はすでに定番のものとなっています。Webサイトを通じて動画の閲覧やファイルの授受を行うことが多い方はこのような攻撃の被害に遭わないよう、セキュリティソフトの導入・適切な使用などの基本的な注意点に加え、ファイル名をこまめに確認したり怪しいものは入手しないなどの心がけも徹底しましょう。

本記事で紹介したワンクリックウェアを配布している Webサイトについて、トレンドマイクロ製品では「Webレピュテーション」技術によって接続をブロックしており、万が一ワンクリックウェアが侵入しても「VBS_HTAPORN」として検出しますが、送り込まれるワンクリックウェアは頻繁に差し替えられるため、注意が必要です。

すでに HTAファイルによってデスクトップ画面に請求画面が貼り付いてしまってお困りの方にはリモートで請求画面を消去する新サービス「おまかせ！ 不正請求クリーンナップサービス」を 2月3日より提供しています。

Temple Run のコピー、またはこの人気アプリ自身であるかのように装った偽Temple Run は、公式Androidマーケットで確認されました。しかし、このアプリの「デベロッパー」の情報を確認すると、iOS版の開発元である「Imangi Studios」とは異なることがわかります。

図1：公式Androidマーケットで公開されていた偽アプリ「Temple Run」

問題の偽Temple Run がインストールされ実行されると、この偽アプリは、侵入したスマートフォンのホーム画面にショートカットを作成します（図2参照）。

図2：スマートフォンのホーム画面に作成される偽アプリのショートカット

そして、侵入したスマートフォンが Android OS を搭載したモバイル端末（以下、Android端末）で、ソーシャル・ネットワーキング・サービス（SNS）「Facebook」のアプリをインストールしている場合、この偽アプリは、ゲームを始める前に、Facebook 上で偽Temple Run を「シェア」するようユーザに促します。また、公式Androidマーケットでこのアプリを評価するようにも促します。

図3：Facebook 上で偽アプリをシェアするように促すポップアップメッセージ

この他に、Android端末の「通知」機能を用いて広告を表示する機能も備えています。

図4：「ANDROIDOS_FAKERUN.A」が表示する広告

ユーザがメッセージに促されるままにこの偽アプリをシェアし評価を終えたとしても、ゲームが始まることはなく、アプリが公開されるまでの残り時間が表示されます。

図4：「ANDROIDOS_FAKERUN.A」が表示する広告

トレンドラボは、このアプリについて米Google に報告。同社は、直ちにこの偽アプリを公式Androidマーケットから削除しました。

弊社では、今回のような手口を用いた他の不正なアプリをこれまでにも確認しています。こうしたことから、ユーザは、モバイル端末にアプリをダウンロードする際は、常に細心の注意を払うよう心がけてください。また、自身の不正活動を隠蔽するために人気のゲームアプリを悪用する手口は新しいものではなく、こういった Android端末を狙う不正プログラムについて、弊社ブログで紹介しています。

関連記事：

Temple Run の開発元である Imangi Studios は、Android端末向けのアプリを 2012年2月に提供すると発表しています。ユーザは、開発元の正規 Webサイトやファンサイトで、このアプリの提供に関するアップデートを確認することができます。

昨年、100億件以上ものアプリが公式Androidマーケットからダウンロードされたことからも、Android OS が最も人気のあるモバイルプラットフォームの 1つであることは間違いありません。そして必然的に、この人気がサイバー犯罪にとって「格好の獲物」となります。「2012年 12のセキュリティ予測」では、特に Android OS のスマートフォンやタブレットが 2012年の攻撃の対象となると予測しています。

ただし、過度に心配する必要はありません。トレンドマイクロが提供している「ウイルスバスターモバイル for Android」では、「不正アプリ対策」にてこの脅威に対応し、ユーザを保護しています。また、「ウイルスバスターモバイル for Android」は、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」と連携し、最新の脅威の情報を用いてユーザを保護します。

参考記事：

　翻訳：栗尾 真也（Core Technology Marketing, TrendLabs）

今回の攻撃では、まず感染ユーザの Facebook の「ウォール（各ユーザに与えられる『掲示板』のような機能）」に、バレンタイン用のテーマをインストールできることを紹介するメッセージが投稿されることから始まります（図1参照）。

図1：バレンタイン用のテーマについて紹介する投稿

興味を持ったユーザがこの投稿をクリックすると、別のページに誘導され、バレンタイン用テーマをインストールするように促されます（図2参照）。ただしこの攻撃では、ユーザが “Google Chrome” または “Mozilla Firefox” のブラウザを利用している場合にのみ展開されます。

図2：クリックすると誘導されるページ（「Google Chrome」または「Mozilla Firefox」を利用した場合）

ユーザが画面上にあるインストールボタンをクリックすると、不正なファイル “FacebookChrome.crx（「TROJ_FOOKBACE.A」として検出）” のダウンロードを促すポップアップメッセージが表示されます。この表示によりファイルをダウンロードし実行すると、この「TROJ_FOOKBACE.A」は、特定の Webサイトからの広告を表示する機能を備えたスクリプトを実行します。

図3：インストールボタンをクリックすると、”FacebookChrome.crx”の DL を確認するメッセージが表示	図4：その後、ポップアップメッセージが表示され、ポップアップメッセージ内の「Install」をクリックすると、”FacebookChrome.crx”がダウンロードされる

また、この不正プログラムは、「Facebook Improvement |Facebook.com」という拡張機能として、ユーザのブラウザに自身をインストールします（図5および6参照）。

図5：「Facebook Improvement |Facebook.com」という拡張機能としてインストールされる	図6：表示された拡張機能「Facebook Improvement |Facebook.com」

この不正な拡張機能がインストールされると、この不正プログラムはユーザのインターネット活動を監視し、ユーザの携帯番号を問うアンケートページへ誘導します。

一方、ユーザが Internet Explorer（IE）を利用している場合、問題の投稿をクリックすると、上述のような不正なファイルや拡張機能をインストールする手順を経ずに、直接このアンケートページへと誘導されます（図7参照）。

図7：誘導先のアンケートページ

さらなる解析の結果、トレンドラボでは、今回の攻撃において Google Chrome や Mozilla Firefox を使用しているユーザがより大きな影響を受けることを確認しました。というもの、正規の拡張機能をダウンロードするように装うことで、ユーザ自身の判断に頼らず問題のアンケートページへ誘導することが可能だからです。一方、ユーザが IE を利用している場合、ユーザが問題の投稿をクリックしない限りアンケートページに誘導されることはありません。

この攻撃では Chrome における正規の拡張機能を装うことを念頭に設計されている点を考慮すると、Chromeユーザに的を絞って狙っており、IEユーザをアンケートページへと誘導する動作は補足的なものにすぎない、と結論づけることができるでしょう。

この攻撃において、ユーザは自身のインターネット活動を監視されることとなる一方、この「TROJ_FOOKBACE.A」は、情報を収集する機能を備えていません。こうしたことから、今回の攻撃は、ユーザのウォールに投稿されたメッセージをクリックすることで自動的にユーザの「友達」のウォールに同じ不正なメッセージが投稿されるという「クリックジャック攻撃」に似た攻撃であると言えるでしょう。

さらに Chrome や Firefox のユーザが攻撃の標的となっている点を考察すると、サイバー犯罪者がブラウザにおける拡張機能の互換性のほかに、これらのブラウザが多くの人が利用しているという人気に目をつけていることが伺えます。今回のような手口を利用した攻撃は目新しいわけではありませんが、ブラウザの拡張機能を利用している点では、今までにない手口と言えます。次々に新しい手口が確認されるという事実から、私たちは、今後も引き続き、インターネット上での脅威に対し注意を払っていかなければなりません。

Facebook関連の脅威に対しても、トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、上述の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、「ファイルレピュテーション」技術により、関連するファイルを検出し削除します。

参考記事：

　翻訳：宮越 ちひろ（Core Technology Marketing, TrendLabs）

2011年に確認した脆弱性を利用した攻撃は、狙いを定めて、従来とは異なる方法で、巧妙に仕掛けられていました。また、サイバー犯罪者が巧みに攻撃を制御していました。

最も狙われたアプリケーションとして以下のアプリケーションが挙げられます。

また、「Black Hole」や「Phoenix」といった脆弱性攻撃用ツールは、素早く利用できる脆弱性を見つけ出し、多くの場合、ユーザを窮地に追い込みます。 また、ブラウザを提供する企業は、深刻な脆弱性を修正するパッチを、この1年の間に複数回にわたって更新しました。

しかし、攻撃がサイバー犯罪者の思惑通りに進んだのも、いまだに多くのユーザが、脆弱性の対策が施されていないソフトウェアを使用しているためです。デンマークのセキュリティ企業「CSIS」の調査によると、37%のユーザが、脆弱性を修正していないバージョンの Java で Webサイトを閲覧しています。また、米セキュリティ企業「Zscaler」は、「56%もの企業ユーザが脆弱性が存在する Adobe を使用しているため、セキュリティ管理者は『Trend Micro Deep Security』や『ウイルスバスター コーポレートエディション 脆弱性対策オプション』といった仮想パッチ製品を設置せざるを得ない状況である」と報告しています。

■サーバに存在する脆弱性
脆弱性が存在するのは、ソフトウェアだけでなく、サーバやオペレーティングシステム（OS）も同じ、Microsoftの「Windows Server 2008」やLinuxベースのサーバ「Red Hat」に存在する脆弱性の数にも現れています。

※上記は、「CVE」を参照に作成

また、サイバー犯罪者は、Webアプリケーションに存在する脆弱性も利用します。何百万ものWebサイトが「SQLインジェクション攻撃」により改ざんされました。そのうち、大規模なSQLインジェクション攻撃が2事例確認されており、この2つの異なる攻撃で、正規Webサイトが不正なスクリプトを挿入されることで改ざんされました。まず、一例目が2011年7月に発生した最初の攻撃で、800万ものWebサイトが被害に見舞われました。 そして二例目は10月に発生した2回目の攻撃で、100万のWebサイトが被害に遭いました。 また、SQLインジェクション攻撃とは別に、「クロスサイトスクリプティング（XSS）」、ユーザの意図しない動作を行う攻撃の手口「cross-site request forgery（クロスサイトリクエストフォージェリ）」、ユーザが想定していないディレクトリのファイルを指定する攻撃の手口「Directory Traversal（ディレクトリトラバーサル）」などの攻撃も利用されます。その他、PHP、WordPress または Joomla などのWebアプリケーションに存在する他の脆弱性も多数確認されました。こうした傾向は2012年も続くでしょう。

ここで、2011年で注視すべき脆弱性をご紹介します。

■ユーザは、脆弱性に対してどのような対策ができますか？
上述した脆弱性やその他の脆弱性を利用した攻撃を未然に防ぐには、より適切なパッチ管理の対応が求められます。 同様に、パッチが提供されるまでの間の被害を緩和するために、仮想パッチによるソリューションを導入することも重要です。

2011年に確認したこの傾向は、2012年も続くでしょう。そしてトレンドマイクロは、脆弱性を悪用する攻撃がより複雑になると予測します。2012年、このような脅威への対策は急務であり、ユーザ自身のシステム環境を見直す必要があります。

参考記事：

　翻訳：栗尾 真也（Core Technology Marketing, TrendLabs）

■これらの脅威の出所は？
Android関連の脅威は、その多くがサードパーティのアプリ配布サイトからもたらされます。特に中国では公式のAndroid マーケットからのアプリ入手が簡単にはできないためその傾向が顕著だといえます。もちろん、そうしたサードパーティのアプリ配布サイト自体が不正であるというわけではないのですが、多くの場合、アップロードされたアプリを十分に監視できる体制が整っていません。結果として、不正なアプリ、トロイの木馬化されたアプリ、違法に複製されたアプリが、こういったサードパーティのアプリ配布サイト等に散見されることとなります。

■トレンドマイクロはどのような脅威を確認しましたか？
トレンドマイクロがモバイル端末市場で確認した脅威にはどのようなものがあるでしょうか。いくつかの脅威は、Windows MobileやSymbianといった従来のモバイル端末用OSで確認されていました。例えば、「プレミアムサービス悪用」といった手口です。この手口では、購読していない有料サービスにユーザを登録させ金銭を徴収します。実際、プレミアムサービスの悪用を用いた脅威は、サードパーティのアプリ配布サイトだけではなく公式のAndroidマーケットで確認された不正アプリとともに、2011年で最も大きな脅威でした。なお、公式のAndroidマーケットで確認された不正アプリとして、「RuFraud」、「DroidDream」や「DroidDreamLight」が確認されました。

このプレミアムサービス悪用の手口は、サイバー犯罪者にとって容易く利益を得られることから、好んで使われる手口です。一方、トレンドマイクロはより巧妙な手口を用いる脅威も確認しています。これらの脅威のいくつかは、PC用OS上では長い間にわたり確認されていました。モバイル端末を狙う脅威が巧妙さを増すにつれ、PC用OSを狙う脅威で使われていた手口がモバイル端末用OSで再利用されるようになっても、なんら不思議はないでしょう。

それが情報収集を目的とする脅威です。情報収集型不正プログラムはPCユーザを長年困らせてきましたが、現在、モバイル端末ユーザにとっても悩みの種になりつつあります。悪名高い「DroidDreamLight」がその代表例でしょう。初期のDroidDreamLightでは、収集するAndroid端末に関連する情報は限られていましたが、現在確認されている新しい亜種では、「SMSのメッセージ（以下、テキストメッセージ）」や通話記録のような個人情報なども収集します。サイバー犯罪者が金銭よりも企業の機密情報の収集に興味のある場合、これらの情報は値千金であると言えるでしょう。

しかしながら、サイバー犯罪者達が金銭に関わる情報を狙っているのも事実で、2011年は情報収集型不正プログラムも増加した年でした。その一つが「ZITMO」というモバイル端末を狙う不正プログラムです。ZITMOが初めて確認されたのは2010年で、情報収集型不正プログラム「ZBOT」と連携して、モバイル端末上の2要素認証を突破する機能を備えていました。2011年にはAndroid端末を狙うZITMO が確認され、サイバー犯罪者が今、2要素認証の仕組みを突破していかに金銭を手に入れようとすることを浮き彫りにしています。

■脆弱性とその悪用について
2011年もまた、モバイル端末用OSに存在する脆弱性が確認され、悪用されました。「DroidKungFu」の特定の亜種は、Android　OSの古いバージョン上の脆弱性を悪用し、ルート権限を取得します（Android OSだけがコード内に脆弱性を抱えるモバイル端末用OSではありません。2011年には、iOSおよびWindows Phone 7にもそれぞれ、脆弱性が存在することが確認されました）。

■モバイル端末ユーザもセキュリティ対策を
上述のとおり、2011年はモバイル端末を狙う不正プログラムの急増が確認された一年でした。2012年もまた、この脅威が拡大する年となるでしょう。ユーザは“今”、自身を守るための対策を講じ、迫り来るより悪しき事態を避けるべきなのです。

「2012年セキュリティに関する脅威予測」の詳細については、以下をご参照ください。

参考記事：

　翻訳：太田 真理（Core Technology Marketing, TrendLabs）

■ワンクリウェア対策の問題と今後の見通し
ワンクリ被害が残念ながら後を絶たない状態でいることはあらためて説明するまでもないでしょう。試しに、Web検索サイト「ワンクリウェア」というキーワードで検索してみてください。例えば Google で検索すると、2012年1月8日現在で 100万件以上の Webサイトがヒットします。このような状況に陥っている原因の一つは、ウイルス対策ソフトでの検出を逃れるようワンクリウェアのファイルの中身を変更することが容易であることです。ウイルス対策ソフトの検出状況を確認してダウンロードさせるプログラムを随時変更できる状況下では、「いたちごっこ」で常に先手を取られるため、ファイルごとにパターンを作成して随時検出対応するパターンマッチング技術のみに頼った旧来型のウイルス対策ソフトでは、効果的に対策することが困難だと言わざるを得ません。つまり、昨今注目されている標的型攻撃と同じように、攻撃者に圧倒的に有利な状況なのです。もちろん、レピュテーションやクラウドなどを利用した新しい対策技術を用いることで状況は改善できますが、そもそも「いたちごっこ」の状況に終止符を打つ根本的な解決策はないのでしょうか。その根本的解決策の一つが、新しいワンクリウェアが生み出されないようにすることでしょう。今後も攻撃者の検挙が進むことが新たな攻撃発生の抑止力となり、日本特有の脅威であるワンクリウェア問題が解消していくことを期待します。トレンドマイクロはカンパニービジョンである「デジタル情報を安全に交換できる世界」の実現にこれからも取り組んで参ります。

上記は、Rove Digital および Esthost の広報担当者だった Konstantin Poltev容疑者による、2008年10月13日当時の発言です。

このように、自身の逮捕の可能性がほとんどありえないと自信満々に公言したサイバー犯罪者は過去に何人もいました。しかし、サイバー犯罪者はその考えを改める時期がやってきたことを知るべきでしょう。2011年は、サイバー犯罪摘発に歴史的な一歩を残した一年でした。法的機関とセキュリティ業界が協力して、巨悪ボットネットの閉鎖やそれら関係者の逮捕が実現したのです。今回から3回にわたって2011年のセキュリティ動向を振り返ります。

まず第一回の本記事では、2011年の摘発における成功例の一部を紹介します。

■巨大スパムメール配信用ボットネット「Rustock」の閉鎖
米マイクロソフトは、2011年3月16日、スパムメール配信に利用される大規模ボットネット「Rustock」を閉鎖したと発表。Rustock に関連する C&Cサーバすべてを遮断することで、この大規模ボットネット完全停止に成功したとのことです。また同社は、Rustock に利用されていたハードコード化されたドメインすべてがこの悪名高いボットネットを操作してきたサイバー犯罪者の手に渡らぬような措置を実施。これにより、関連するゾンビPC が復活することは不可能になりました。

この Rustock 閉鎖に伴い、このボットネットを操作してきたサイバー犯罪グループは逮捕されませんでした。しかし、同社は、ロシアの新聞社に懸賞広告を掲載。関係者の特定および検挙、有罪の証拠などに結びつく有力情報を提供する者には、25万米ドルを報奨金として支払うとしました。また、同社の弁護士によると、法律措置を駆使して米シアトルの連邦裁判所に告訴し、Rustock のサーバを押収したとのこと。この法的措置は、今後、ボットネット閉鎖に関わる重要な前例となりました。

■米マイクロソフト、「Rustock」に続きスパムメール配信用ボットネット「Kelihos」も閉鎖
スパムメール配信用の大規模ボットネットの閉鎖は、スパムメールの総数の減少に大きく貢献し、ユーザにとっては安全なインターネット環境が提供されることとなります。しかし、サイバー犯罪者は、自身のボットネットが閉鎖されようが賞金を稼ごうとする者に追われていようが、ボットネットを利用したサイバー犯罪をやめることはしません。これは、スパムメール配信用大規模ボットネット「Kelihos」の事例からも明らかになります。というのも、Kelihos は、2010年に閉鎖された大規模ボットネット「Waledac」に関与した同一人物によって設計されていると考えられているからです。

米マイクロソフトは、2011年9月27日、Rustock に引き続き、スパムメールを配信する大規模ボットネット「Kelihos」を閉鎖したことを発表しました。Rustock 閉鎖の際と同様の法的措置を取り、Kelihos に関連する IPアドレスすべてと C&Cサーバのドメインを、所有者に通知することなくブロックすることができました。今回の事例において、ブロックされたドメインの一つである、「cz.cc」の所有者であった被告は、後に、事前通告なくブロックされた点を非難しています。「cz.cc」は、不正なセカンドレベルであったことから、この通知なしの IPアドレスおよび C&Cサーバブロックという対応は、注目すべき一歩であったといえるでしょう。そして、「cz.cc」のブロックにより、不法に利用されていたり Kelihos の C&Cサーバに利用されていた何十万ものサブドメインがブロックされました。このような法的措置もまた、その後におけるサイバー犯罪に利用される不正なサブドメインを取り締まる好例となりました。

■情報収集するトロイの木馬型不正プログラムで構成される「CoreFlood」の閉鎖
ボットネット「CoreFlood」は、個人情報や金融関連情報を収集するトロイの木馬型不正プログラムに感染したPC で構成されており、そのゾンビPC 数は、何十万の数になりました。この危険なボットネットもまた、2011年4月、FBI により閉鎖されました。FBI は、このボットネットの C＆Cサーバの実権を掌握し、完全閉鎖に至ったのは同年 6月中旬でした。FBI は、関連不正プログラムを終了させるために、米国に拠点を置く各ボットにコマンド「stop」を送信。これは、米国政府がボットネット関連の C&Cサーバのインフラを支配して各ゾンビPC にコマンドを送信したはじめての事例で、これにより、この C&Cサーバインフラが CoreFlood を操作するサイバー犯罪者手に渡らないようになりました。

■巨大ボットネットの閉鎖に、FBI と各業界が協働作戦「Operation Ghost Click」を実施
FBI および NASA、そしてエストニア警察は、2011年11月8日、400万以上のゾンビPC により構成されていた巨大な「DNS改変型ボットネット」を閉鎖しました。この閉鎖は、トレンドマイクロを始め、「Internet Systems Consortium（ISC）」やその他多数の業界関係者による協力のもとで実現できました。それに伴い、エストニア国内で、6人の容疑者が逮捕されました。逮捕者には、この巨大ボットネット操作に全段階に関与していたエストニア企業「Rove Digital」の CEO である Vladimir Tsastsin 容疑者や同社広報担当者の Konstantin Poltev 容疑者も含まれていました。そして、米国やエストニアに拠点を置くデータセンターから 200台以上ものサーバが押収され、何百万米ドルもの現金とともに関連銀行口座は凍結、他の資産も没収されることとなりました。今回の事例は、実行された巨大サイバー犯罪グループ摘発のひとつであり、法的機関とセキュリティ業界との協働が成功した好例といえるでしょう。

トレンドマイクロは、広域に渡る Rove Digital のネットワークのコンポーネントを特定し、監視する重要な役割を果たしました。一方、ISC は、被害者を誘導する偽の DNSサーバを外国のサイトに置き換えました。これは、問題のボットネットが閉鎖された後、「DNS設定の変更を行なうトロイの木馬型の不正プログラム（DNSチェンジャー）」に感染した何百万もの被害者がインターネットアクセスに不具合が発生させないために必要な対応でした。

また、ヨーロッパ内の IPアドレス割当を担当する地域インターネットレジストリである「Reseaux IP Europeen（RIPE）」は、ヨーロッパ内に配置された Rove Digital の IPアドレス範囲の凍結を実施しました。これにより、まだ検挙されていない Rove Digital の共犯者（2011年11月8日時点）が偽DNS のインフラを他の地域に移動させたり、大勢の被害者を悪用し続けることはできなくなりました。RIPE は、オランダ警察の指示に従い、Rove Digital の IPアドレス範囲を凍結し、この歴史的な第一歩に貢献しました。一方、RIPE とは別組織で、非営利団体の地域インターネットレジストリである「Reseaux IP Europeens Network Coordination Centre（RIPE NCC）」は、RIPE のこの対応に対して法定で争うことにしました。RIPE が実施した対応自体は不適切ではありません。というのも、この法定結果が前例となり、RIPE の IPアドレス空間を悪用することが難しくなるからです。今日、IPアドレス空間が枯渇している状況であっても、サイバー犯罪組織は RIPE から IPアドレス範囲を取得し、保持し続けることは比較的簡単になっています。こうした状況は、RIPE 特有の問題であり、アジアや米国で発生する問題には見られません。

■ロシアの不正クレジットカード決済システム「Chronopay」の実態が明らかに
2011年6月、ロシアのクレジットカード決済システム「Chronopay」の共同創立者でCEOである、Pavel Vrublevsky氏が競合企業にサイバー攻撃を仕掛けた疑いでロシア国内で逮捕されました。また、Chronopay の大株主もまた、上述の Rove Digital が関連していた巨大ボットネット閉鎖で実行された「Operation Ghost Click」と呼ぶ捜査の過程で逮捕されました。その大株主とは、Rove Digital の CEO、Vladimir Tsastsin だったのです。この2人の逮捕者を受けて、Chronopay は、サイバー犯罪集団が運営するクレジットカード決済システムを悪用して、偽セキュリティソフトを違法に売っていた関連性が明らかとなりました。

■2012年もサイバー犯罪撲滅に貢献
2011年は法的機関とセキュリティ業界の「コラボ」がサイバー犯罪摘発に大きく貢献したことを実証する一年でした。今も暗躍するサイバー犯罪集団は、いつかは逮捕されるということは間違いない、ということを実感したことでしょう。そして、2012年も引き続き、我々セキュリティ業界は、サイバー犯罪撲滅に貢献していきます。

関連記事：　※英語記事のみ

• Malware Blog：Big Botnet Busts [INFOGRAPHIC]

参考記事：

　翻訳・編集：船越 麻衣子（Core Technology Marketing, TrendLabs）

Webサイト訪問時の不用意なクリックなどにより誘導され、主に成人向けコンテンツの閲覧を装い、「入場します」や「登録する」といったボタンをクリックしてしまうと利用料金と称し金銭の振込を要求されてしまう「ワンクリック詐欺」。近年は PC向けに不正プログラムを用いてデスクトップに請求画面を貼り付ける手口が横行しています。

普及が進むスマートフォンもこの詐欺被害と無縁とは言えず、2011年にはスマートフォンに特化したワンクリック詐欺の Webサイトを複数確認しています。そして2012年1月、PC と同様に不正プログラムを用いたワンクリック詐欺が行われていることが明らかになりました。

■ゲーム動画紹介サイトから誘導
今回の事例で標的となったのは Android OS を搭載したスマートフォンやタブレット端末（以下、Android端末）です。Android端末からゲーム動画を紹介するサイトへアクセスし、動画を見るためにサイトの指示に従うと図1 のようにアプリのインストールを促されます。

図1：アプリのインストールを促す画面		図2：年齢認証画面

そして図2 のように年齢認証を装った画面からアプリのダウンロードが始まります。

インストール前に表示される画面が図3 です。通話に関する情報の取得やネットワーク通信を行うことがわかります。

図3：インストール前に表示される画面

インストールが完了し、アプリを開くと請求画面とともに図4 のようなポップアップが表示され、利用料金を要求します。ここまでは Webサイトで行われるワンクリック詐欺と変わりありませんが、アプリを通じて通話に関する情報を取得していることから、図5 のようにユーザの電話番号を請求画面に表示し、ユーザに自分の個人情報が伝わってしまったと脅かすのです。このアプリを解析した結果、実際にユーザの電話番号がアプリを作成・提供した業者側に渡っている可能性があり、請求の電話がかかってくることも否定できません。

図4：請求画面のポップアップ		図5：ユーザの電話番号が表示される請求画面

■ブラウザを閉じても請求画面が再表示。セキュリティソフトで対処を
これまでの Webサイトを使ったワンクリック詐欺では、ブラウザの画面を閉じれば再度請求画面が表示されることはありませんでした。しかし、このアプリは 5分おきにアプリからの命令によりブラウザが立ち上がって、図4 のような請求のポップアップが何度も表示されてしまうよう設計されていました。

こういった不当な金銭要求は無視することが基本と言われますが、アプリによってこのような画面が定期的に表示されてしまうことから、金銭を支払ってしまうというユーザも存在すると考えられます。

トレンドマイクロが提供している「ウイルスバスターモバイル for Android」では、このような詐欺サイトへのアクセスをブロックする「Web脅威対策」を提供しており、また、万が一アプリが Android端末に侵入した場合でも、「ANDROIDOS_FAKETIMER.A」として検出します。

スマートフォンは小さな PC という意識を持って、セキュリティソフトの導入などの基本的な対策を実施下さい。

※「ウイルスバスターモバイル for Android」の30日無料体験版はこちら。

■2012年末までには、12万個を超える可能性が
本ブログにおいて、これまでも Android端末を狙う不正プログラムについてはたびたび紹介してきました。2011年1月時点で確認されていた不正なアプリの検体は数個でしたが、2011年12月中旬までに1000個以上と驚異的な速さで急増しており、2011年下半期の平均月次増加率は、60％にも及びました。

2011年の平均月次増加率を参考に計算すると、2012年末までには、不正なアプリの検体は、12万個を超える可能性があります。

関連記事：　※英語記事のみ

• Malware Blog：A Snapshot of Android Threats [INFOGRAPHIC]
• 米国Trend Micro – Trendwatch：12 Security Predictions for 2012（2012年 12のセキュリティ予測）

■増加する要因は？
なぜ引き続き急増する恐れがあるのでしょうか。その要因をいくつか考えてみます。

• Android端末の継続的な普及
  Android端末用のアプリケーションの総ダウンロード数は100億を超え、全世界のスマートフォンの OS別販売台数では、Androidのシェアが50%を上回りました（Gartner 調べ）。さらに、Google の Senior Vice President of Mobile の Andy Rubin氏によると、2011年12月21日時点で、毎日70万台以上の Android端末が新たに利用され始めているとのことでした。これら数値が示すように、Android端末の普及が続くことは言うまでもなく、この流れにサイバー犯罪者が便乗するのは確実でしょう。
• Android端末用アプリの比較的自由なダウンロード方法
  Apple の iPhone や他のモバイル端末用OS とは異なり、アプリの配信モデルもオープンな性質を備えています。ユーザは、公式の Androidマーケット以外にも、サードパーティのアプリ配布サイトや PC から USBメモリ経由などで、自由にアプリをダウンロードすることが可能です。こういった状況を考慮すると、ユーザが不正なアプリをインストールしてしまう恐れが拡大するのは否めません。
• サイバー犯罪者は「金のなる木」を見逃さない
  上述で述べたように、Android端末の人気は、それだけ「金のなる木」の獲物の対象が広がることを意味しており、サイバー犯罪者がこれを見逃すはずはありません。2012年もサイバー犯罪者は、Android端末利用者を狙い続けるでしょう。

■PC同様のセキュリティ対策を！
このように 2012年は Android端末を狙う不正プログラムが暗躍し続けるでしょう。それらの被害に遭わないために、Android端末を取り巻く環境を理解して、PC と同様のセキュリティ対策を講じることをお勧めします。

1. セキュリティソフトやサービスを導入し、適切に運用すること
2. Android端末の標準装備のセキュリティ機能を活用すること（「設定」-「現在地情報とセキュリティ」）
3. 「Wi-Fi」の自動接続を無効にすること
4. 公式 Android Market や信用ある Androidマーケット以外を利用しないこと
5. アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューにも目を通す。
6. ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること

参考記事：

　翻訳・編集：船越 麻衣子（Core Technology Marketing, TrendLabs）

トレンドマイクロでは、金正日氏死去のニュースに便乗したとみられるスパムメールを確認しました（図1参照）。

図1：金正日氏死去のニュースに便乗したスパムメール

CNN という実在する報道機関名をメール本文に組み込み、金正日氏死去のニュースを知らせる目的かのように pdfファイル（「TROJ_PIDIEF.EGQ」として検出）が送信されます。このファイルを開封すると、図2 のように金正日氏の写真を含む無害な pdfファイルが表示されますが、背後ではバックドア型不正プログラム「BKDR_FYNLOS.A」が作成されます。攻撃者が感染した PC を遠隔操作しようとしている意図が伺えます。

図2：「TROJ_PIDIEF.EGQ」によって表示される無害な pdfファイル

また、このメールとは別に、”Kim_Jong_il___s_death_affects_N._Korea___s_nuclear_programs.doc（金正日氏の死が北朝鮮の核兵器プログラムに影響を与える）” というファイル名のリッチテキストファイル（拡張子RTF）により、不正プログラムがメールで送信されているという事例も確認しています。このリッチテキストファイルは「TROJ_ARTIEF.AEBとして検出しますが、この不正プログラムは Microsoft製品の脆弱性「CVE-2010-3333」を利用して、バックドア型の不正なファイル（「BKDR_PCCLIEN.BQD」）を作成することを確認しています。この事例でも攻撃者が感染した端末を遠隔操作しようと意図していると推測されます。

世界的に衝撃を与えるような著名人の死や大規模な災害発生時には、そのニュースに便乗したサイバー犯罪が繰り返されています。「TrendLabs（トレンドラボ）」では、いち早く攻撃の兆候をつかみお客様に対策を提供するための取り組みを続けており、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を通じて不正プログラムやスパムメール対策を提供しています。

しかし、このようなユーザの興味・関心を逆手に取るソーシャルエンジニアリング手法は短期間のうちに急速に悪用される傾向にあり、特定の組織や個人を標的に送信される標的型のメールにも悪用される可能性があります。ご利用のOS／アプリケーションやセキュリティ製品を最新の状態で使用することはもちろん、不審なメールやファイルは開かない、という基本的ルールを改めて徹底ください。

【更新情報】