自分で迷惑プログラムをインストールしない:偽ダウンロードと人質攻撃の脅威
マイクロソフトのデータでは、2013 年の下半期に、攻撃者が欺瞞的な行為を利用したサイバー犯罪活動に顕著な上昇がみられたと明らかになっています。詐欺的な手法の継続的な上昇は際立っています。
新データでサイバー犯罪の手法の変化が明らかに - 日本のセキュリティチーム - Site Home - TechNet Blogs
「偽ダウンロード」や「人質」のような詐欺的攻撃手法が急増
Microsoftは、年に2回セキュリティに関する最新動向を報告書として公表しています。脆弱性攻撃やマルウェアの動向についてまとめたものです。
その最新版が5月7日に公表されました。日本語訳も公開されています。
新データでサイバー犯罪の手法の変化が明らかに - 日本のセキュリティチーム - Site Home - TechNet Blogs
ユーザーをだます手口が急増、Microsoftが報告書で指摘 - ITmedia エンタープライズ
攻撃者の手口を知っておくことは、自分のマシンとデータをまもるうえで非常に重要です。
今回のレポートは、「攻撃者の新しい手口」について解説しており、有益な内容と思いましたので、具体例も含めてまとめておきたいと思います。
レポートによると、急増している手口は、「偽ダウンロード」と「ランサムウェア(人質)」だといいます。
偽ダウンロード:フリーソフトと一緒にユーザーにインストールさせる
冒頭の日本のセキュリティチームによる日本語訳を引用しますが、まず、「普通のフリーソフトと一緒にマルウェアをダウンロードさせる」という手口が圧倒的に主流のようです。
手法の中で、多くの攻撃者が最も利用しているのが「偽ダウンロード」です。マイクロソフトの調査では、110か国地域のうち95%以上で、偽ダウンロードが最大の脅威でした。
サイバー犯罪者は、ひそかに悪意のあるアイテムをソフトウェア、ゲーム、または音楽などの正規のアイテムと一つにまとめています。良い買い物をしたいという人々の欲求を巧みに利用して、サイバー犯罪者は、オンライン上でダウンロード可能な無料のプログラム、および無料のソフトウェア+パッケージと悪意のあるマルウェアをまとめます。
ユーザーは、フリーソフトをインストールする際に、例えば「インストールに同意するチェックボックス」を解除しないと悪意あるソフトウェアを一緒にインストールしてしまうというわけです。
ツールバーやスパイウェアなど、抱き合わせになっているソフトウェアの悪質度は様々ですが、総称して「スケアウェア」と呼ぶことがあります。
川口洋のセキュリティ・プライベート・アイズ(49):ウイルスとは言い切れない“悪意のあるソフトウェア” (1/2) - @IT
困ったことに、検索エンジンで上位に表示されるメジャーなダウンロードサイトでもこうした手法が使われているようです。
ダウンロードの際には、同社の「ソフトニックツールバー」が同時にインストールされるほか、Webブラウザーのホームページや検索プロバイダーがソフトニックのものに置き換えられる。ただし、ダウンロード前の画面でチェックボックスをOFFにすることにより、ツールバーのインストールやホームページなどの設定をしないことも可能。
窓の杜 - 【NEWS】ダウンロードサイト“ソフトニック”のソフト配布方式に一部作者より懸念の声
こちらは、ブラウザのスタートページが書き換えられ、通常の操作では元に戻せないという例。バイドゥもやってますね。
Windowsスマートチューニング (278) Win 8/8.1編: Hao123を完全にアンインストール (削除)する | マイナビニュース
ランサムウェア =勝手にユーザーデータを暗号化
もう一つ、最近増加しているというのが"ランサムウェア"です。
これはユーザーデータを勝手に暗号化して人質にとり、"解除するには金銭を振り込め"というメッセージを表示します。
ランサムウェアのコンセプトは単純です。まず、サイバー犯罪者がデジタル的に個人のマシンを乗っ取り、支払いを目当てにロックします。そして、被害者が料金を支払うまで、マシン、あるいはファイルのコントロール権を返すのを拒否します。
脅しだけのものもあるようですが、本当にやっかいなのは、「実際にデータを暗号化してしまう」タイプです。Microsoftによると、「Reveton」がもっとも大きな被害を出したようです。
Revetonはなぜか日本語コンテンツが検索結果に出てきませんが、同種のCryptoLockerは日本語の解説があります。
この脅威は、不正なファイルが添付されたスパムメッセージから始まります。添付された不正ファイルは、トレンドマイクロでは「TROJ_UPATRE.VNA」として検出対応しています。ユーザーがこの添付ファイルを実行すると、この「TROJ_UPATRE.VNA」により “cjkienn.exe” がダウンロード・実行されます。ダウンロード・実行されるファイルはZBOTの亜種であり、「TSPY_ZBOT.VNA」として検出対応しています。
危険なランサムウェア「CryptoLocker」とは | トレンドマイクロ:セキュリティ情報
ランサムウェア「CryptoLocker」に感染しないためにすべきこと | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
感染経路は、スパムメールの添付ファイルをクリックして実行してしまうというものです。メールの添付ファイルというのは以前からある攻撃方法ですが、未だ要注意ということですね。
結論:Surface 2は野良プロフラムは実行できないが、注意は常に必要
「フリーソフトと一緒にインストールしてしまう」と「メールの添付ファイルを実行してしまう」は、いずれもユーザーが自ら行っている操作であり、自分で気を付けて自衛しないといけません。
ただし、Surface 2の場合、ユーザーによる外部プログラムの実行・インストールが許可されていないので、幸いにして今回指摘された事例に引っかかってもエラーが出て被害は及びません。
「引っかかって自分で入れてしまう」タイプの攻撃には耐性があります。
いずれにせよ、マシン上でプログラムを実行しないWebサイト上の詐欺などは、通常のパソコンなどと同じですので、パスワードやカード番号などの管理はやはり慎重にする必要がありますね。