ワンクリック詐欺」は、「ワンクリック」と言いつつ、実際には何度かのクリックを経て、ユーザはこの被害に見舞われるようです。まずユーザは、アダルト動画を入手できると装った特定サイトを閲覧します。そこでアダルト動画視聴用プログラムをダウンロードするボタンをクリックすると、マルウェアがダウンロードされてしまい、お望みの動画は視聴できず、代わりに「登録料の支払いを請求するポップアップ表示に何度も悩まされる」という被害に見舞われるのです。

このようなワンクリック詐欺の手口は、日本特有のもので、何度もポップアップ表示に悩まされたユーザは、「結果的に支払い請求に応じてしまう」ことになります。日本以外でも確認されているスケアウェアやFAKEAV、ランサムウェアなどの手口とも類似していますが、ワンクリック詐欺の手口の場合、その請求金額が最大99800円(約1300米ドル)と、その他の脅威と比べて比較的高額である点が特徴的です。また、トレンドマイクロでは、近年急増しているスマートフォンユーザを標的した「モバイル端末上でのワンクリック詐欺」も確認しています。

ユーザは、どのようにしてワンクリック詐欺に遭遇しますか?

通常、スパムメールや、ブログのコメント欄、その他のソーシャルメディア関連のポスト内のリンクを介して、ワンクリック詐欺関連の不正サイトへと誘導されます。動画共有サイトやブログなどでアダルト動画を頻繁に視聴しているようなユーザは、特に被害に見舞われる危険性が高いといえます。一度、ワンクリック詐欺の関連サイトに誘導されると、サイト内のページを適当にクリックしただけで被害を受けてしまうことになります。

なお、スマートフォンなどのモバイル端末のユーザの場合は、特定のサイトを閲覧するか、特定のアプリをダウンロードするだけで、この被害に見舞われる可能性もあります。

ワンクリック詐欺の手口を手短に説明してもらえますか?

ワンクリック詐欺関連サイトに誘導されたユーザは、特定のアダルト動画を視聴する誘惑に駆られると同時に、動画視聴用と称するプログラムのダウンロードを促されます。ただし、この「動画試聴用プログラム」をダウンロードしても、実際には、ほんの数秒しか視聴できず、場合によっては全く視聴できないこともあります。それと同時に、ダウンロードされたこのプログラムにより、「動画全編を視聴するためにここをクリックしてください」などといったポップアップ・メッセージも表示されます。

この「動画視聴用」と称するプログラムが、実際は、ワンクリック詐欺のマルウェアであり、ファイル形式としては「HTML」や「HTA」、「JS」、「VBS」などであり、検出名としては「HTAPORN」や「PORNY」などのファミリとなります。

そしてこのマルウェアがインストールされてしまうと、ユーザは、「登録料金をお支払いください」というポップアップの立て続けの表示に悩まされることになります。

ワンクリック詐欺に関連したサイトには、どのようなものがありますか?

ほとんどがアダルトコンテンツのサイトであり、現在、トレンドマイクロでは、以下のようなドメインを確認しています。

  • <省略>movies.com
  • <省略>awarimove.net
  • <省略>poo.net
  • <省略>ne-movies.com

これらのドメインの詳細に関しては、「セキュリティデータベース」の不正URLの欄をご参照ください。

ワンクリック詐欺は、具体的にはどのような手順で発生しますか?

トレンドマイクロで確認したところ、たとえば、以下のような手順で発生します。

1. ユーザがアダルト動画サイトを閲覧しようとすると、まず「年齢認証」のページが表示されます。そのページの下部には、動画視聴のために「Adobe Flash Player」や「Internet Explorer 6」、「Internet Explorer 7」、「Windows Media Player 11」等が必要とも記載されています。

2. 「年齢認証」ページでの合意項目に関して「いいえ」をクリックすると、ユーザは、「Yahoo! Japan」のサイトへリダイレクトされます。一方、「はい」をクリックすると、アダルト動画のコレクションが表示されたページに誘導されます。コレクションのいずれかを選択すると、それぞれのアダルト動画のページに誘導され、さらにそこでは、下図のように「スペシャル動画の入手確認および再生を尋ねるボタン」が表示されています。

図1: 動画の再生を確認するページ

3. 「入手確認」および「再生」を促す「はい」のボタンのみがピンク色でハイライトされており、その他の「いいえ」のボタンは機能してないように見えます。また、「いいえ」のボタンをクリックしても注意事項がポップアップされるだけであり、結果的にユーザは、このページの閲覧状態のまま「はい」のクリックを促される仕掛けになっています。

4. そして「再生」のボタンをクリックすると、"754a.hta" というHTAファイルがダウンロードされ、さらにこのファイルは、"system32" フォルダ内に "mshta.exe" というプロセスを作成します。そしてこのプロセスにより、偽のWindows Media Playerが起動されることになります。また、感染したコンピュータの画面上には、以下のような「有料アダルトサイトへのご入会ありがとうございます」といったメッセージと共に登録料金の支払いを請求するポップアップが表示されます。この表示は、「閉じる」や右上の「x」をクリックしても消えず、あるいは消えたように見えても画面外に移動しただけで何度も表示され、あるいはまた、コンピュータを起動させる度に表示されるようにもなり、ユーザを悩ませます。

図2: 繰り返されるポップアップ表示

5. しつこく表示されるポップアップに根負けしたユーザは、結局、支払いのためにオンライン登録ページを閲覧することになります。なお、このオンライン登録ページにも「動画のダウンロード」のリンクがあり、このリンクをクリックすると、上述のアダルト動画のホームページにリダイレクトされるのですが、その際も、合意事項を確認する「(偽の)年齢認証ページ」がポップアップ表示され、同じ手口が繰り返されます。

ワンクリック詐欺は、どのように進化してきていますか?

これまでワンクリック詐欺の標的は、デスクトップパソコンに限られていたようですが、昨年、新たにモバイル端末のプラットフォームを標的にしたワンクリック詐欺の事例も確認され、ポップアップ表示手法等の巧妙化だけでなく、プラットフォームの点でも進化してきています。

スマートフォンなどのモバイル端末のユーザを狙ったワンクリック詐欺

ワンクリック詐欺に関連するWebサイトをモニタリングしていたトレンドマイクロでは、QRコードと共に「携帯からアクセスしてください」という一文が表示される不審なサイトの存在も確認していました。

このサイトを閲覧したユーザが、指示されるままQRコードをスマートフォンや携帯電話などのモバイル端末でスキャンすると、先の不審なサイトと同じURLのアダルトサイトが、モバイル端末の画面に表示されます。そして「年齢認証」や「登録料金支払い」に関するページと共に、「ご使用の端末の情報をこちらのサイトに転送しています」などといった内容のメッセージも表示されます。平均的なモバイル端末のユーザではあれば、こうした一連の表示に触発されて、登録料金などを払ってしまう可能性は十分にあるといえます。

Androidアプリを利用したワンクリック詐欺

Androidアプリを利用したワンクリック詐欺も確認されており、この場合、ユーザがAndroid端末で「ゲームどぅんがぁ」というブログサイトを閲覧することで引き起こされます。なお、このブログサイトは、すでに三回ものドメイン変更が確認されています。初期のドメインでは、ブログ内リンクの誘導先は、主にゲーム関連の動画が中心でしたが、最新のドメインでは、むしろアダルト関連サイトへ誘導するリンクの方が中心になってきているようです。

これら動画のいずれかを視聴しようとクリックすると、特定アプリをダウンロードするようにユーザを促すポップアップウインドウが表示されます。このアプリが、トレンドマイクロでは「ANDROIDOS_FAKETIMER.A」として検出しているマルウェアです。そしてダウンロードされると、このマルウェアは、ユーザのAndroid端末から個人情報を収集して、不正リモートユーザへ送信します。

なお、この行為が正規業者によるプロセスであることを装い、業者側がユーザの個人情報をすでに把握していることを知らせるため、このマルウェアは、「収集済の個人情報の表示」も行います。その上で、「未入金:お支払いの確認がとれておりません。未入金の場合は規約に沿ったご請求をさせて頂きます」というメッセージを表示させ、ユーザに支払いを促すのです。なお、トレンドマイクロでは、このマルウェアのコードの解析から、こうしたメッセージが5分毎に表示される仕掛けになっていることも確認しています。

HTAPORN」や「PORNY」ファミリのマルウェアは、どのような動作を行いますか?

これらのファミリは、いずれの亜種も、アダルトコンテンツに関連にする不正URLへのアクセスという動作を行います。また、「PORNY」の亜種の場合は、特にWindows Media Playerなどを装った偽アプリを利用します。これらのマルウェアは、削除されない限り、執拗にポップアップ・メッセージを表示し続けて、ユーザを悩ませます。

ワンクリック詐欺の被害が後を絶たない理由は何でしょうか?

ワンクリック詐欺は、海外よりもむしろ日本国内の被害として深刻化しています。被害件数が急増していることから、「独立行政法人情報処理推進機構(IPA)」を始めとした各種政府機関も監視・調査や注意喚起を行なっています。IPAでも「相談件数が、2009年に入り7ヶ月連続で600件を超えており、11月には903件にまで達しました」と報告しています。実際に報告されていない件数を考慮すると、その数は膨大なものとなるでしょう。

その他の「Webからの脅威」の手口と同様、ワンクリック詐欺も、ユーザ心理の弱点を突くソーシャルエンジニアリングの手法を巧みに活用している点が、その「成功」の理由だといえます。ワンクリック詐欺の被害に見舞われたユーザは、アダルト関連の支払い請求のメッセージが立て続けにポップアップされる中、特にそれが職場で使用しているコンピュータの場合、羞恥心や罪悪感などからこっそりと支払いに応じてしまうのです。

この種の脅威からは、どのようにして身を守ることができますか?

アダルト関連のコンテンツをインターネット上で検索する際のリスクを肝に銘じておくことです。サイバー犯罪者たちも、こういったコンテンツがユーザを惹きつけるのに有効であることをよく知っています。特に今回のようなワンクリック詐欺の場合、お望みのアダルト動画を入手するまでに何度かのリダイレクトを経るという点が特徴的です。その意味では、ユーザ自身が、インターネットで入手するコンテンツの種類をしっかりと見直し、その入手方法等にも細心の注意を払うことが、今回のような脅威から身を守ることにもつながります。

モバイル端末のユーザの場合は、ご利用のアプリに関しては、各メーカーから定期的に提供される最新版へのアップデートを怠らず、モバイル端末専用のセキュリティソフトも忘れずにインストールしておくことです。また、アプリのダウンロードする際、非公式のサードパーティのアプリストアから提供されるアプリに関しては、特に細心の注意を払う必要があります。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection NetworkSPN」は、「E-mail レピュテーション」技術により、スパムメールがユーザに届く前にブロックします。また、「Web レピュテーション」技術により、ユーザがアクセスする前に、マルウェアがダウンロードされる不正Webサイトやスパムサイトをブロックします。さらに、「ファイルレピュテーション」技術により、関連するすべての不正ファイルの実行を防ぎ削除します。

また、モバイル端末(特にAndroid端末のスマートフォン)をご使用のユーザは、「ウイルスバスター モバイル for Android」により今回のような脅威を防ぐことができます。

ワンクリック詐欺の手口や被害額について

ワンクリック詐欺の被害は、「ユーザが実際に金銭的な損失に見舞われる」という点では、スケアウェアやFAKEAV、ランサムウェアなどと類似した脅威だといえます。

FAKEAVの場合、「(偽の)コンピュータ感染」を警告してユーザを不安にさせた上で、偽セキュリティソフトの完全版の購入を迫るという手口が用いられます。一方、ワンクリック詐欺の場合、削除が困難な「(アダルト動画の視聴に関する)登録費等の支払い請求」のメッセージを執拗にポップアップさせることで、ユーザの羞恥心や罪悪感を刺激しながら支払いを迫るという手口になります。多くの場合、支払い額は、99800円(約1300米ドル)程度となっており、これは、「ユーザがATMを利用してこっそり手短に振込みができる限度額」を想定した上で設定されているとも言われています。

トレンドマイクロの専門家からのコメント:

「このような状況に陥っている原因の一つは、ウイルス対策ソフトでの検出を逃れるようワンクリウェアのファイルの中身を変更することが容易であることです。ウイルス対策ソフトの検出状況を確認してダウンロードさせるプログラムを随時変更できる状況下では、「いたちごっこ」で常に先手を取られるため、ファイルごとにパターンを作成して随時検出対応するパターンマッチング技術のみに頼った旧来型のウイルス対策ソフトでは、効果的に対策することが困難だと言わざるを得ません。つまり、昨今注目されている標的型攻撃と同じように、攻撃者に圧倒的に有利な状況なのです。」

-マーケティングスペシャリスト 内田 大介