この攻撃の背景

2010年3月29日(現地時間)、2人の女性による自爆テロがモスクワ地下鉄駅2箇所で発生。世界中がこの事件に衝撃を受けました。しかし、サイバー犯罪者は、この不幸な事件を利用して、SEOポイズニング(悪質なSEO対策)攻撃を仕掛け、偽セキュリティソフト型不正プログラム「FAKEAV」ファミリ拡散を企みました。

SEOポイズニング攻撃では、通常、Googleといった検索エンジンが感染経路として利用されます。しかし今回の攻撃で注目すべき点は、「Twitter」といったソーシャル・ネットワキング・サイトの検索オプションが悪用されたことです。こうして、SEOポイズニングにより悪質に操作された検索結果が表示されることとなりました。

この脅威は、どのようにしてコンピュータに侵入しますか?

Twitterの検索機能を使用したユーザは、悪質に操作された検索結果により、最終的に「TROJ_FAKEAV.SMDY」が組み込まれた不正なWebサイトに誘導されることとなります。こうして、今回の脅威が、コンピュータに侵入することとなります。

この脅威は、どのような影響をユーザに与えますか?

悪質な検索結果を誤ってクリックすると、偽のスキャンページが表示されるまで、ユーザは複数のWebサイトに誘導されることとなります。このスキャンページに誘導された結果、ユーザのコンピュータが他の不正プログラム攻撃を受けやすい状況であるという偽の警告が表示され、不正プログラムに感染していないかどうかウイルス検索するように促されます。ユーザが偽の警告メッセージ内の「OK」ボタンをクリックすると、感染コンピュータ内に偽セキュリティソフト型不正プログラム「TROJ_FAKEAV.SMDY」がダウンロードされることとなります。

「TROJ_FAKEAV.SMDY」が実行されると、この不正プログラムは、ウイルス検索の終了画面を表示し、偽のスキャン結果を表示します。これにより、ユーザは、偽セキュリティソフトの購入を促されることとなります。

サイバー犯罪者は、この脅威により、どのようにして利益を上げますか?

この脅威は、偽の検索結果を表示することにより、ユーザのコンピュータが不正プログラムに感染しているように装うのです。

ユーザが偽セキュリティソフトを購入することにより、今回の攻撃を仕掛けるサイバー犯罪者は、金銭を得ることができるのです。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

「SEOポイズニング」および偽セキュリティソフト型不正プログラム「FAKEAV」ファミリの組み合わせた攻撃では、自然災害や有名人のニュースといった重大なニュースや出来事に便乗し、様々な詐欺のわなを仕掛けてくるのです。こうして、通常、Googleのような人気検索エンジンやTwitterのようなSNSの検索機能で最近の出来事を検索するユーザが標的となります。