【テクニカルレポート】「わつぃの設定」～おかしな日本語を表示する偽セキュリティソフト－2011年3月の脅威傾向を振り返る……トレンドマイクロ・セキュリティブログ

　セキュリティソフトを装って金銭を脅し取る「偽セキュリティソフト」についてはこのブログでもたびたび注意喚起してまいりました。2011年3月の脅威傾向の振り返りつつ、リージョナルトレンドラボが確認した新たな偽セキュリティソフトを紹介します。

　2011年3月も脅威傾向としては大きな変化がありませんでしたが、日本国内に関しては 3月11日に発生した東日本大震災に便乗した攻撃が複数発生し、今も継続していることを確認しています。

東北地方太平洋沖地震に便乗したSEOポイズニングを確認。「FAKEAV」へと誘導
http://blog.trendmicro.co.jp/archives/3981
東北地方太平洋沖地震に便乗した偽サイト、大量出現のおそれ
http://blog.trendmicro.co.jp/archives/3988
地震、津波、原発、節電などのファイル名の不正プログラムが国内で流通
http://blog.trendmicro.co.jp/archives/4001
震災に便乗したFacebook経由の不正プログラムなど続々と出現
http://blog.trendmicro.co.jp/archives/4020

　日本国内のお客様から 28件の感染被害報告があり、同ランキングで初めて第1位に立った「TROJ_FAKEAV」に代表される偽セキュリティソフトは、震災に便乗した攻撃でも悪用されています。

インターネット脅威マンスリーレポート【2011年3月度】
　http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20110406083423.html

■偽セキュリティソフトとは

　セキュリティソフトを装い、ユーザの PC内で多数の不正プログラムに感染したという警告メッセージを表示し、駆除・復旧するためにはソフトウェアの購入が必要、と金銭や個人情報をだまし取る「偽セキュリティソフト」は、すでにサイバー犯罪の手口としては常套手段となっています。2010年から 2011年にかけても、本ブログで以下のような注意喚起しました。

偽セキュリティソフト「System Tool」が猛威－2011年2月の脅威動向を振り返る
http://blog.trendmicro.co.jp/archives/3946
感染被害急増中？偽セキュリティソフト「Think Point」
http://blog.trendmicro.co.jp/archives/3807

　3月にリージョナルトレンドラボでは、「Internet Security 2011」という実在するセキュリティソフトと似たような名称で、日本語を含む 5言語に対応した偽セキュリティソフトを確認致しました。

　日本語表記が明らかに不自然なため日本人のユーザはすぐに違和感を覚えるものと思いますが、本ブログにて画像で紹介致します。

■Webサイトを通じて侵入、最初の表記は英語

　偽セキュリティソフト「Internet Security 2011」は不正な Webサイト経由、もしくは他の不正プログラムによりダウンロードされることでユーザの PC に侵入します。ユーザの PC には図1 のようなアイコンがあらわれ、実行されると図2のような英語のアラートが出た後、図3のような英語のメイン画面を表示します。

■5ヶ国語に対応、しかし日本語は不自然

　メイン画面をよく見ると右上にプルダウンメニューがあり、複数の言語に対応しているようです。クリックすると英語・ドイツ語・フランス語・スペイン語そして日本語が選べるようになっています。図4が日本語を選択した場合のメイン画面ですが、よく見るとどことなく表記がおかしいことに気付くでしょう。

　かろうじて違和感がないのは「Update Center」の「更新」などで、大半は一般的な日本語の表記からすると不思議なものになっていることがわかります。従来から確認されている日本語の偽セキュリティソフトは、機械翻訳が用いられているものが大半ですが、この事例もその例外ではないといえます。

　このような日本語表記であるということだけでも多くの日本人のユーザは不審感を抱くと思いますが、促されるままに遷移すると、図5のような購入画面に誘導されます。

　左右に小さなフォントで表示されている文章をよく読むとこちらも違和感があるのですが、カード会社のロゴや認証が行われているようなロゴマークが使用されていることから、なかには疑い無く個人情報やクレジットカード番号の情報を記入してしまうユーザもいるかもしれません。

　なお、価格は「Lifetime License（生涯ライセンス）」で米ドル79.95となっています。

■ポップアップもおかしな日本語、他のプログラムの起動を妨害

　この「Internet Security 2011」によってタスクバーに表示されるポップアップメッセージも違和感の残る日本語です。図6は「わつぃの設定」を選択した際に表示される製品の画面です。

　この偽セキュリティソフト「Internet Security 2011」は、このようなこれまで指摘したような拙い日本語で表記されるなど完成度の点では疑問符がつくにも関わらず、過去に登場した偽セキュリティソフト同様、他のアプリケーションの起動を妨害する機能があることを確認しています。新たに何らかのアプリケーションを起動させようとしても図7 のような真っ白なウィンドウが表示され、起動することができません（すべてのアプリケーションが起動できないわけではありません）。

■対策～セキュリティソフトの適切な使用

　トレンドマイクロ製品ではこの「Internet Security 2011」を「TROJ_FAKEAV.LEXA」として検出します。また、「TROJ_FAKEAV.LEXA」は、「Exefile.exe」と「userinit.exe」というファイルを作成しますが、それぞれを「TROJ_FAKEAV.LEXB」「TROJ_FAKEAV.SMDJ」として検出対応しています。

　このような日本語表記であれば、おのずと不審に感じるとは推測されますが、今回は実在する正規のセキュリティソフトと酷似した名前を用いていることからすぐに「ニセモノ」と判断することは難しいかもしれません。日頃から、

1.セキュリティソフトを適切に使用する
2.ソフトウェアを最新の状態に保つ
3.怪しいメールを開かない、怪しい Webサイトに近づかない
の3点を改めて徹底頂き、ご自身の個人情報と金銭を詐取されないよう、くれぐれもお気を付けください。

※同記事はトレンドマイクロ株式会社による「セキュリティブログ」の転載記事である。