FIFA ワールドカップの全試合を、PINK BANK というサイトから生中継またはオンデマンドで無料で視聴できるとうたった日本語のスパムが出回っています。このスパムには、ドイツの No.1 動画サイトがFIFA との完全コラボレーションで FIFA 唯一の公認動画配信サイトが実現したとも記載されています。PINK BANK???変だと思いませんか?
サイトを訪問しても、ワールドカップ、FIFA、サッカーに関連するものは何もありませんでした。わいせつな動画ばかりです。普段アダルトサイトにアクセスしないような人たちを誘導しようとする、お決まりのスパムでしょうか。どちらとも言えません。このスパムには通常のスパム以上の問題があります。
サイトを見ると、わいせつな動画しかないように見えます。
画像のぼかしがかかった部分が動画です。たとえば、検証のためにこの中の 1 つを見るとしましょう。動画をクリックすると次のページが表示され、ユーザーが 20 歳以上か、利用規約に同意するかが確認されます。
同意すると、同じページが異なる URL で表示されます。同意の最終確認と動画を含むページへの移動の確認です。
2 度目の同意の後、さまざまな動画の中から好きな動画を選べるページに転送されます。ページの上部には、選んだ動画を視聴するにはポップアップウィンドウの[実行]をクリックするよう指示があります。これは変です。なぜ動画を視聴するのにファイルを実行する必要があるのでしょう。コーデックファイルでもありません。HTA(HTML アプリケーション)ファイルです。
そこで分析のためにファイルを実行してみました。(あくまでも分析のためです!)
ファイルを実行すると、動画が視聴できるようになるだけでなく(ストリームの質が悪く、動画は何度も停止していましたが)いつの間にかコンピュータにマルウェアがインストールされます。
私のデスクトップを見てみましょう。見たこともない女性です!
メッセージには、ユーザーへの登録のお礼とともに、3 日以内に入会金を支払うよう記載されています。(利用規約を注意して読むと、入会金が必要であることが記載されています。)このメッセージは手動で削除しない限りデスクトップから消えません。[詳細はコチラ]をクリックすると、ユーザー ID、ユーザーの IP アドレス(自分の居場所を把握されていると思って不安になり、入会金を支払う人も多いでしょう)、ユーザーのブラウザ情報(これを見て不安になり支払う人も多いかもしれません)、支払いの金額が記載された以下のサイトが表示されます。
ワールドカップの全試合を無料で視聴できると思いましたか? 少なくともこのサイトでは無理です。この詐欺サイトはワールドカップに興味がある人をサイトに誘導し、サッカーの試合以上にサイトのコンテンツに興味を持つことを期待しているのです。最終的にはユーザーをだまして料金を支払わせようとします。3 日以内に支払えば 9000 円のディスカウントを受けることができ、支払いは 5 万円で済むそうです。ボタンを数回クリックするだけで登録したことになるかどうかの判断は関係当局にお任せします。
ただし、シマンテックはこのサイトのマルウェアをコンピュータにインストールさせません。シマンテックではこの HTA ファイルをトロイの木馬として検知します。ちなみにこの手口は「ワンクリック詐欺」と呼ばれ、スパムと多くの場合アダルト関連のサイトを使った日本の典型的な詐欺手口です。
この記事は Security Response Blog(英語)にてJoji Hamadaによって掲載された内容を日本向けに編集 された記事です。原文(英語)はこちら。