マルウェアまがいの手法を使う Pinball Corporation のアプリケーション


By  Andrew Brandt

 ここ何週間か気になっていたある現象が、次第に増えてきているようです。フィッシング犯罪で広く使われている無料の Web ホストで、ページ上に新種のマルチメディア広告が表示されるようになってきたのです。サイトに誘い込まれたユーザーにとっては、オンライン バンキングやソーシャル メディア サイトのログイン情報を盗まれるだけでなく、そんな広告にも惑わされるおそれがあります。この手の広告では、「コーデックが見つかりません」などのメッセージを利用する、マルウェアで以前からよく見られるものとそっくりなソーシャル エンジニアリングの手法が使われています。

この広告はバナーなどに表示されます (この手の仕掛けはオンライン広告の倫理面から見てグレーゾーンにあるので、「広告」という言葉をかなり広い意味で使っています)。またマルチメディアを多用したバージョンでは、ページの前面に居座り続けるフローティング広告として、ユーザーの閲覧を邪魔します。これらの広告は多くの場合、メディア プレーヤーの外観を装い、「動画の読み込み中」の状態で止まっているかのように見えます。しかしこれはまやかしで、メディア プレーヤーではないのです。それらしく見せかけた Flash アニメーションを使って、偽のプレーヤーをユーザーにクリックさせることが目的です。これを実際にクリックすると、appbundler.net というドメインのサーバーから、XvidSetup.exe というファイルのダウンロードが始まります。

このドメイン以外にも appbundler.comclickpotato.tv というドメインを所有しているのは、ネット上での評判があまりよくない Pinball Corporation という会社です。ダウンロードされる実行可能ファイルは、マルウェアではないものの、ファイル名のとおりに Xvid のセットアップだけを行うものでもありません。後述のように、スポンサー提供のアプリケーションと抱き合わせになっています。また、インストールする Xvid コーデックは古いバージョンのものですが、この配布方法は Xvid に適用される GPL のソフトウェア ライセンスの条項に違反している可能性があります。この手の悪質な広告は、何か新しい造語を使って表した方がよさそうな気がします。たとえば、詐欺 (scam) と広告 (ad) を組み合わせた「スキャッド (scad)」と呼ぶのはどうでしょうか。さらに関連する不正ソフトウェアは、「潜在的に不要なアプリケーション (Potentially Unwanted Application)」といった冴えない呼び方ではなく、「スキャッドウェア (scadware)」と呼ぶことができます。

Pinball Corporation の広告は、詐欺的な方法でスポンサーのソフトウェアのダウンロードとインストールを促すもので、不快感を覚えます。詳しくは後で紹介します。

この手の偽広告や迷惑なインストーラーを目にするようになったのは、2010 年秋の終わり頃からです。動画ページに見せかけた配布の手口を見た当初、私は勘違いしていました。どこかで見たことがあると思った方は、同じように勘違いしているかもしれません。私は最初、Koobface の新種かと思ったのです。

前述のダウンロード ファイルへとつながるページの例を紹介します。一見 YouTube 風ですが、サイトのロゴをよく見ると「TouTube」となっています。偽の動画に付いた見出しは、実に不快なソーシャル エンジニアリングで、「恐怖! カメラの前で本当に自殺する少女 – 必見!」とあります。


こんなクリエイティブ (広告の成果物のことで、こちらも広い意味で使っています) を承認する広告会社などあるのでしょうか。

別の例では、「Download Now (今すぐダウンロード)」、「Play Now (今すぐ再生)」という言葉だけのバナー広告もありました。トルコ語版の Facebook のホーム ページに見せかけたフィッシング ページ (ホストは facebookonlinegiriss.tr.gg) の上部に表示されたものです。

Facebook を装ったこのフィッシング ページに掲載された広告では、「Onvertise」というタイトルのウィンドウに「動画再生に必要なプラグイン VLC が見つかりません」という警告が表示されます。VLC とは、人気の高いオープンソースの無料メディア プレーヤーの名前ですが、「プラグイン VLC」なるものは存在しません。

この場合も、ビデオ プレーヤーを装った Flash アニメーションです。クリックすると、次のようなダウンロード画面が表示されます。

この連中は、「プラグイン」なるものと、ダウンロードするファイルの名前を一致させる気もないようです。

偽の YouTube ページが絡んだ別の例では、Xvid コーデックをダウンロードせよという警告を出すものもありました。実際には、Xvid はメディア プレーヤー用の MPEG ビデオ コーデック プラグインです。偽の YouTube ページで偽の動画をクリックすると、ブラウザーの新しいウィンドウが megaplayerhd.com という別のドメインで開き、またしてもビデオ プレーヤーに見せかけた Flash アニメーションが表示されました。

ウィンドウには、「Download the Xvid Codec (Xvid コーデックのダウンロード)」と大きく表示され、Xvid Video というロゴ マークが付いています。このウィンドウをクリックすると、やはり XvidSetup.exe が icr01.appbundler.net からダウンロードされました。

もちろん私は、動画を見ようとしたわけではありません。VLC Player や Xvid コーデックも、もともとインストール済みです。つまり、この「警告」メッセージの前提からして怪しいということになります。

これらのインストーラーには興味深い特徴があります。1 つは、いずれのファイルも Pinball Corporation の名のデジタル署名が付いているものの、一般的なデジタル署名ファイルと違い、プロパティを見ても社名以外の情報がないということです。

もう 1 つの特徴は、サーバー側でファイルの配信時にランダム化を施しているということです。これまでは、この手法を使うのは、マルウェアや商用キーロガー ソフトの配布元しかありませんでした。目的は、マルウェア対策スキャナーをかいくぐるというただ 1 点です。サーバー側では、インストーラーのダウンロードの要求を受け取るたびに、インストーラーにごくわずかな改変を施すことで、MD5 ハッシュがそれぞれ異なるファイルを配信しています。私が試したときも、ファイル名は毎回同じでしたが、ファイルはダウンロードのたびに微妙に異なっていました。

しかし、そんな配布手法もさることながら、インストーラー自体にも目を引かれます。「xvid プレミアム セットアップ ウィザード」と称するこのインストーラーの説明によると、「スポンサーからの提供品」(有名なメディア プレーヤー製品) を「表示」した後で、Xvid コーデックをインストールできるとのことです。

しかし、ここで言う「表示」には、意味の取り違えがあるようです。私としては、スポンサーの提供品を見て、自分のニーズに合うかどうかを判断し、必要であればインストールできる、という意味に思えます。しかし、作者の言う「表示」は、そういう意味ではないようです。我々が先週入手したサンプルでは、スポンサーのメディア プレーヤーのダウンロードとインストールが即座に始まってしまいました。ユーザーはその様子を黙って眺めるしかありません。

スポンサーのアプリケーションのインストールが完了すると、Xvid コーデックのバージョン 1.2.1 のセットアップ プログラムがダウンロードされます。ダウンロード元のサーバーは、Xvid が使用しているものとは別です。

技術面や配布手法の問題は別にして、オープンソースではない商用プログラムと Xvid を独自のインストーラーでバンドルするという Pinball Corporation の手法は、Xvid に適用される GPL ライセンスの精神にも条文にも反している可能性があります。ライセンスの一部には、「This General Public License does not permit incorporating your program into proprietary programs (本 General Public License では、独自のプログラムに自らのプログラムを組み込むことを認めないものとする)」との記述があります。

Xvid の運営組織に連絡を取り、プラグイン配布への関与の有無を尋ねてみたところ、マネージング ディレクターの Michael Militzer 氏の返事は、きっぱりノーでした。同氏によると、Pinball Corporation が Xvid のソフトウェアを頒布していることは把握しているものの、同社にその許可を与えたことはないとのことです。また Pinball Corporation を相手に訴訟を起こして頒布を止めさせたいが、同組織は非営利団体でソフトウェアが無償のため、訴訟にかかる高額な費用をまかなえるだけの収入がないという話でした。

かつて、Zango (旧 180Solutions) などのアドウェア企業を中心に詐欺的な広告手法が広まり米連邦取引委員会 (FTC) による厳しい制裁処置が下りました。こうした企業の消滅後、一部のオンライン広告ネットワークは、倫理的な広告活動の促進に力を注いできました。しかし今回の件を見ると、非倫理的な活動へと振り子が戻った感があります。Pinball Corporation は、旧 Zango の資産の一部を引き継いでいることから、今回の件は、ほんの始まりに過ぎないかもしれないという嫌な予感もします。取り越し苦労ならいいのですが。
wordpress blog stats