HTAを利用した新たなワンクリック詐欺の手口!!
2009/4/10
今回は新しい手法を用いたワンクリック詐欺についてご紹介させていただきます。
一般的に、ワンクリック詐欺に対する基本対策は、「無視」する事が鉄則である、と言われています。その背景として以下の2点が挙げられます。
1.法的に無効であること
2.IPアドレスやISP情報だけでは、ユーザの個人情報までは取得できないこと。しかし、中には単純に「無視」できないワンクリック詐欺も存在します。
その代表例としてあげられるのが、いわゆるワンクリックウェア(※1)を利用するケースです。
悪質なワンクリックウェアは、コンピュータ内の個人情報(名前や住所、メールアドレス、電話番号)を取得・送信し、脅しに利用する可能性が考えらます。また、広告を繰り返し表示するなど、通常業務を妨げる動作を行うこともあるため、単純に無視することもできません。
そして、今回ご紹介させていただくワンクリック詐欺は、これまでの「.exe」拡張子のプログラムファイルではなく、「.hta」という見慣れない拡張子を持つアプリケーションを利用しているのが特徴です。
HTAとは何?と思われると思いますが、これはHTML Applicationの略で、Internet Explorer5以降に利用可能なプログラムファイルです。要するにインターネットブラウザを利用して悪さをすることが可能なプログラムですね。
次に、HTAを利用したワンクリック詐欺の手法です。
1.ワンクリック詐欺サイトへの誘導
2.動画フィアイルなどに見せかけてワンクリックウェア(.hta)をダウンロード
させる
3.料金請求画面などを絶えず表示して料金を支払わせるようにする
といった手口です。3の料金請求画面では、右上に「×」ボタンが表示されていますが、実はこれはgifファイルなどのイメージファイルで、クリックするとまた別のウインドウが表示されます。
以下にこのHTAワンクリック詐欺の特徴をまとめます。
・EXEファイルより警戒するユーザが少ないと思われるHTAファイルを使っている
・HTAの中で転送させるため、ダウンロードファイルのソースだけではレジストリを改変させる悪質なコードを確認出来ない
・転送先のHTMLには、暗号化されたVBScriptを使用し、人の目では動作が判別できないようにしている
・「mshta.exe」を利用し、警告を出す事無くスクリプトコードを実行させている
このような非常に巧妙な手口でワンクリック詐欺を実行しようとする悪質業者などが増えているので注意が必要です。
ワンクリックウエアに対する対応策は、
・不審なサイトへはアクセスしないこと
・適切なペアレンタルコントロールを実施すること
・安易なクリックをやめ、警告文にしっかりと目を通すこと
・通常のウイルスケースと同じようにセキュリティ対策製品を最新の状態に保ち保護すること
です。しかし、巧妙化するワンクリック詐欺に対して万全の対策をするにはセキュリティソフトを常に最新の状態にしておくことでしょう。
トレンドマイクロのウイルスバスター2009では、URLフィルタリング(アダルトカテゴリ)および、Webレピュテーション技術によりこうしたワンクリックウェアをブロックすることが可能です。
※今回ご紹介した国内のサイトで使用されているHTAファイルは全て「HTML_PORN.AP」「HTML_PORN.AM」として検出・削除対応しています。
さらに、ウイルスバスター2009に搭載されている「システムチューナー」は、Windows起動時に自動実行される全てのプロセスを列挙・設定変更できます。「システムチューナー」を利用することでワンクリックウエアに改変された自動実行レジストリを修正することが可能です。
この機会にウイルスバスター2009の総合セキュリティをお試しの上、ワンクリック詐欺の対策を万全にしましょう!!
