Surface Pro 4 / 3 ビジネス活用日記

Surface Pro 4 / Surface 3 の意外と知らない活用法を発信します

自分で迷惑プログラムをインストールしない:偽ダウンロードと人質攻撃の脅威

Surfaceトラブルシューティング

f:id:iwam:20140508192831j:plain

マイクロソフトのデータでは、2013 年の下半期に、攻撃者が欺瞞的な行為を利用したサイバー犯罪活動に顕著な上昇がみられたと明らかになっています。詐欺的な手法の継続的な上昇は際立っています。

新データでサイバー犯罪の手法の変化が明らかに - 日本のセキュリティチーム - Site Home - TechNet Blogs

 

「偽ダウンロード」や「人質」のような詐欺的攻撃手法が急増

 

Microsoftは、年に2回セキュリティに関する最新動向を報告書として公表しています。脆弱性攻撃やマルウェアの動向についてまとめたものです。

 

その最新版が5月7日に公表されました。日本語訳も公開されています。

 

新データでサイバー犯罪の手法の変化が明らかに - 日本のセキュリティチーム - Site Home - TechNet Blogs

ユーザーをだます手口が急増、Microsoftが報告書で指摘 - ITmedia エンタープライズ

 

攻撃者の手口を知っておくことは、自分のマシンとデータをまもるうえで非常に重要です。

 

今回のレポートは、「攻撃者の新しい手口」について解説しており、有益な内容と思いましたので、具体例も含めてまとめておきたいと思います。

 

レポートによると、急増している手口は、「偽ダウンロード」と「ランサムウェア(人質)」だといいます。

 

偽ダウンロード:フリーソフトと一緒にユーザーにインストールさせる

 

冒頭の日本のセキュリティチームによる日本語訳を引用しますが、まず、「普通のフリーソフトと一緒にマルウェアをダウンロードさせる」という手口が圧倒的に主流のようです。

 

f:id:iwam:20140508194528j:plain

手法の中で、多くの攻撃者が最も利用しているのが「偽ダウンロード」です。マイクロソフトの調査では、110か国地域のうち95%以上で、偽ダウンロードが最大の脅威でした。

サイバー犯罪者は、ひそかに悪意のあるアイテムをソフトウェア、ゲーム、または音楽などの正規のアイテムと一つにまとめています。良い買い物をしたいという人々の欲求を巧みに利用して、サイバー犯罪者は、オンライン上でダウンロード可能な無料のプログラム、および無料のソフトウェア+パッケージと悪意のあるマルウェアをまとめます。

 

ユーザーは、フリーソフトをインストールする際に、例えば「インストールに同意するチェックボックス」を解除しないと悪意あるソフトウェアを一緒にインストールしてしまうというわけです。

 

ツールバースパイウェアなど、抱き合わせになっているソフトウェアの悪質度は様々ですが、総称して「スケアウェア」と呼ぶことがあります。


川口洋のセキュリティ・プライベート・アイズ(49):ウイルスとは言い切れない“悪意のあるソフトウェア” (1/2) - @IT


困ったことに、検索エンジンで上位に表示されるメジャーなダウンロードサイトでもこうした手法が使われているようです。

 

ダウンロードの際には、同社の「ソフトニックツールバー」が同時にインストールされるほか、Webブラウザーのホームページや検索プロバイダーがソフトニックのものに置き換えられる。ただし、ダウンロード前の画面でチェックボックスをOFFにすることにより、ツールバーのインストールやホームページなどの設定をしないことも可能。

窓の杜 - 【NEWS】ダウンロードサイト“ソフトニック”のソフト配布方式に一部作者より懸念の声

 

こちらは、ブラウザのスタートページが書き換えられ、通常の操作では元に戻せないという例。バイドゥもやってますね。

 

Windowsスマートチューニング (278) Win 8/8.1編: Hao123を完全にアンインストール (削除)する | マイナビニュース

  

ランサムウェア =勝手にユーザーデータを暗号化

 

もう一つ、最近増加しているというのが"ランサムウェア"です。

これはユーザーデータを勝手に暗号化して人質にとり、"解除するには金銭を振り込め"というメッセージを表示します。

 

f:id:iwam:20140508194724j:plain

ランサムウェアのコンセプトは単純です。まず、サイバー犯罪者がデジタル的に個人のマシンを乗っ取り、支払いを目当てにロックします。そして、被害者が料金を支払うまで、マシン、あるいはファイルのコントロール権を返すのを拒否します。

 

脅しだけのものもあるようですが、本当にやっかいなのは、「実際にデータを暗号化してしまう」タイプです。Microsoftによると、「Reveton」がもっとも大きな被害を出したようです。

 

Revetonはなぜか日本語コンテンツが検索結果に出てきませんが、同種のCryptoLockerは日本語の解説があります。

 

f:id:iwam:20140115134109j:plain

この脅威は、不正なファイルが添付されたスパムメッセージから始まります。添付された不正ファイルは、トレンドマイクロでは「TROJ_UPATRE.VNA」として検出対応しています。ユーザーがこの添付ファイルを実行すると、この「TROJ_UPATRE.VNA」により “cjkienn.exe” がダウンロード・実行されます。ダウンロード・実行されるファイルはZBOTの亜種であり、「TSPY_ZBOT.VNA」として検出対応しています。

危険なランサムウェア「CryptoLocker」とは | トレンドマイクロ:セキュリティ情報

 

ランサムウェア「CryptoLocker」に感染しないためにすべきこと | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

  

感染経路は、スパムメールの添付ファイルをクリックして実行してしまうというものです。メールの添付ファイルというのは以前からある攻撃方法ですが、未だ要注意ということですね。

 

結論:Surface 2は野良プロフラムは実行できないが、注意は常に必要

 

フリーソフトと一緒にインストールしてしまう」と「メールの添付ファイルを実行してしまう」は、いずれもユーザーが自ら行っている操作であり、自分で気を付けて自衛しないといけません。

 

ただし、Surface 2の場合、ユーザーによる外部プログラムの実行・インストールが許可されていないので、幸いにして今回指摘された事例に引っかかってもエラーが出て被害は及びません。

「引っかかって自分で入れてしまう」タイプの攻撃には耐性があります。

 

いずれにせよ、マシン上でプログラムを実行しないWebサイト上の詐欺などは、通常のパソコンなどと同じですので、パスワードやカード番号などの管理はやはり慎重にする必要がありますね。