本物そっくりに作られた検索サイトが暗躍している。その名も「Gooogle」で、本家グーグルに「o」を一つ増やしただけの名前だ。このサイトでキーワード検索しようとすると、悪意のあるソフトウエアに感染してしまう。(テクニカルライター・三上洋)
グーグルそっくりのサイトでマルウエア配布
トレンドマイクロのセキュリティーブログによれば、大手検索サイト「グーグル」そっくりに作られた悪質サイトが見つかった。これがその画像で、ご覧のとおり本家グーグルにうり二つのサイトだ。デザインはまったく同じで、違いはロゴが本家の「Google」ではなく、「o」が一つ多い「Gooogle」となっていること。サイト内のリンクも本家グーグルのイタリア語版へのものなので、本物と信じ込み使ってしまいそうだ。
ところがよく見ると、ブラウザーの警告表示が出ている。「このサイトには次のAcitiveXコントロールが…」という表示で、追加のプログラムを入れろというもの。本家グーグルではこんな表示は出ない。単なる検索サイトなのだから、ActiveXのような追加プログラムは一切必要ないはず。実に怪しいサイトだ。
実はこれが、マルウエア(悪意のあるソフトウエア)の一種である「ダウンローダー」を導入させる手口なのだ。「ダウンローダー」とはパソコンに忍び込んで、ウイルスなど悪意のあるソフトウエアを勝手にダウンロードしてくるもの。ダウンローダーに入り込まれると、家の鍵を盗まれたようなもので、外部から自由にウイルスなどを仕込まれてしまう。犯人は本家グーグルをかたったサイトを利用して、ダウンローダーを配布しているようだ。
キーワード検索にも罠をしかけている
さらに罠(わな)がある。この偽検索サイトでキーワード検索したのが、この画面だ。検索結果はイタリア語の本家グーグルと同じもので、グーグルの結果をそのまま盗んで(リダイレクト)表示している。ところがマルウエアを仕込むスクリプトが書かれており、表示しただけで感染してしまう(ウイルス対策ソフトがない場合)。どんなキーワードで検索してもマルウエアに侵入されてしまうのだ。トレンドマイクロの表記では「TROJ_AGENT.ZTH」というトロイの木馬に感染する。
2008年2月6日の時点で、この偽検索サイトはまだ生きている。URLアドレスは感染の危険性が高いため伏せておくが、日本のある動画検索サイトのドメインに似たものが使われている。キーワード検索しただけでマルウエアに感染するため、URLアドレスの入力には注意したほうがいいだろう。
トレンドマイクロのセキュリティーブログによれば、偽検索サイトが発見されたのはイタリア語の旅行サイトに仕込まれたマルウエアがきっかけだった。このマルウエアでは、別のサイトを強制表示させた上で、インターネットエクスプローラを操作不能にさせ設定ファイルを書き換える。もう一度インターネットエクスプローラを起動すると、ブラウザーの起動時の画面が変更されており、上で紹介した偽検索サイトに設定されてしまうという流れだ。感染に気づかないユーザーは、インターネットエクスプローラを開くたびにマルウエア配布サイトを表示することになる。
URLアドレスをチェックするクセを
幸いなことに今回の偽検索サイトはイタリア語サイトで、日本人が使う機会はめったにないだろう。しかし同じ手口を使って日本語サイトが登場する危険性がある。マルウエア配布サイトの罠にかからないように、常にリンク先のURLアドレスを確認したほうがよい。
インターネットエクスプローラでは、メニューの「表示」→「ステータスバー」で画面下側にリンク先のURLアドレスが表示されるようになる。マウスカーソルをリンクの上に持っていくと、画面下側の窓にURLアドレスが表示されるから、本物のURLアドレスなのか確認したい。マルウエア感染を防ぐ基本の基本として、URLアドレスをチェックするクセをつけよう。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080206nt06.htm