2008年08月21日

【要確認】クリップボードを乗っ取られていませんか?SPAM

メールやWebサイト上に記載されているURLを「コピー」

そのデータをブラウザのアドレスバーに「貼り付け」


しようとすると、

・コピーしたのとは全く別のURLが貼り付けられてしまう
・さらにそのままENTERキーを押すと、「偽のセキュリティソフトを販売したり、カード番号などを入力させる悪質サイト」に移動させられてしまう


という現象が各地で確認されているという。

正規サイトに不正Flash広告掲載か:URLをコピペしたら悪質サイトに――乗っ取り被害が続出 - ITmedia エンタープライズ

 どんなサイトのURLをコピーしても、悪質サイトのURLがペーストされてしまう――。テキストなどのコピー&ペーストに使われるメモリ領域「クリップボード」が乗っ取られる被害が続出している。被害報告はWindows、Macユーザーの両方から寄せられているという。セキュリティ企業の英 Sophosが8月19日のブログで伝えた。

 Sophosによると、ネットの掲示板には被害に遭ったというユーザーからの報告が相次いでいる。「URLを選択して“ctrlとc”でコピーし、ペーストしようとするたびに、ウイルスと思われるリンクが出てくる」「例えば、http://www.google.com/というURLを Windowsのクリップボードにコピーして、ペーストすると問題のURLになる。ウイルス対策ソフトでスキャンしても何も見つからない」などの声が寄せられているという。


詳しい説明はこの後に回すとして、不安な方はまずテストをしてみるのがいいでしょう。

1:何らかのURLをドラッグ選択して、「コピー」(記事では「Ctrl+C」のショートカットを紹介しているが、右クリック→「コピー」でも勿論可)する。
URLをいちいち探すのが面倒臭い人は、以下のURLをコピー用にお使いください(私のメインサイトです。うっかりアクセスしてしまっても、この現象の原因となるものは入れていない筈なので大丈夫だと思います)。

http://zerodama.com/


2:アドレスバー(ブラウザ上部にある、現在見ているページのURLが表示されている部分)を右クリックし「貼り付け」する。

3:選択したURLと同じものが貼り付けられているなら多分問題なし。全く異なるURLが貼り付けられたなら紹介した問題が発生している状態と思われます。「Enter」を押すと悪質サイトに移動するのでできるだけ押さないように(仮にアクセスしてしまってもそれだけなら即感染等の問題が発生するものではないと思われますので慌てずに「戻る」ボタンで戻ってください)


PC上でコピーしたデータ(文字・画像・音楽や動画などのメディアファイル)は、一時的に「クリップボード」というスペースに仮置きされます。
今回の問題は、このクリップボードが改ざんされたことで生じるものと考えられています。
クリップボードは例えるならホテルや劇場のクロークのようなもので、白いコートを預けたはずが、帰りに受け取ったらなぜか黒く染められていたような状態だと言えば分かりやすいかもしれないですね。

その改ざんがなぜ行われたか。これはウィルス等の仕業ではなく、広告バナーに用いられたFlashの中に、クリップボードの動作を制御するスクリプトが仕込まれたせいではないかと考えられています。
この機能は最初から仕様として用意されているもので、技術自体としては違法性のあるものとは言えません。
危険性については以前から指摘があったのですが、今回はそれを悪用した形となったようです。

原因や具体的に起こる状況について、上で紹介した記事ではちょっと表現があいまいでかえって分かりづらくなっている印象があります。

Javascriptなどのスクリプト言語を使って、自動的にデータをシステムのクリップボードにコピーする技術はよく知られているという。

 今回の現象は、被害者が正規サイトを閲覧した後に発生しており、不正スクリプトを仕込んだFlashが使われているもよう。広告が汚染された可能性もあるという。現時点でクリップボードを上書きしている悪質なURLは2種類あり、いずれも被害者のマシンで偽のシステムスキャンを実行するサイトへつながるとSophosは伝えている。


「正規サイト」とはまた漠然とした表現で、できれば「どこそこにアクセスした場合」と特定されていればこちらも対処しようがあるのに、という感じですが、ここでは単に
「悪質サイトではない、ごく日常的に多くの人が利用する一般のwebサイト」
と考えればいいでしょう。
検索サイトやショッピングサイト、ポータルサイト、あるいは一般人のサイトやブログといった可能性があります。

これらのサイトの多くには、広告表示のバナーが多く用いられています。
これは単に静止画像・アニメ画像の場合もあれば、表現力の高いFlash動画が使われることもあります。
Flashは単にアニメを表現するだけでなく、さまざまな表現の演出(ムービーと一体化したようなメニュー画面や動的・あるいは凝ったレイアウト)のためにも用いられます。また、YouTubeなどの動画を見れるサイトでもその多くはFlash化した動画を流しています。
特に広告バナーの場合、サイト運営者が直接製作するのではなく、広告配信業者や代理店、デザイナーなど多くの人の手を経ているため、その過程のどこかで今回のような「仕込み」をすることが可能です(これまでも、広告バナーに仕込んで悪意あるサイトに誘導する手口は確認されています)。
これは大手サイトやショッピングサイトだけではなく、無料ホームページの上部や下部に義務として表示されている広告バナーや、アフィリエイトのバナーや画像を用いているブログなどにも同様の可能性があります。
まあここで重要なのは、それを表示しているサイトの管理者の多くは、
「バナーに仕込みがしてあるとは知らず、悪質サイトに誘導しようという悪意を持っていない」
という点でしょう。
しかし、「正規サイト」のうち多くの人に信頼されている検索サイトやポータルサイト、あるいは人気のサイトなどに表示された広告バナーFLASHにその「仕込み」がある場合、サイト管理者も閲覧者も知らないうちに今回のようなクリップボード改ざんが行われてしまうというわけです。
ちなみに今回のような仕込みは、別にその広告をクリックしなくても、表示しただけで作動する可能性が十分にありますので、「クリックしなかったから大丈夫」とはなりません。

で、対処・予防策ですが、機能としては仕様通りのもので、セキュリティソフトも対応していないとあれば次のような手段が有効と考えられます。

・[Internet Explorerご使用の場合]

ioption.jpg「ツール」→「オプション」→「セキュリティ」→「レベルのカスタマイズ」から「セキュリティの設定」ウィンドウを開く

そのウィンドウ内をスクロールし
「スクリプト」→「スクリプトによる貼り付け処理の許可」の項目を
「有効」ではなく
「無効」あるいは「ダイアログを表示する」に変更する

とりあえずこれをやっておきましょう。(今までこの項目を変更したことがなければ初期設定で「有効」になっています)
「ダイアログを表示」にすると、処理の前に確認を促すウィンドウが現れるようになります。
「確認されてもよくわからんし」という場合は「無効」にしておくのがいいでしょう。
javascriptを用いたサイトを見ている場合に若干の不便があるかもしれません。どうしてもダメだという場合には「有効」に再度戻せます。

・[Firefoxご使用の方]

プラグイン「NoScript」・あるいは「FlashBlock」をインストールする

この件に限らず、さまざまな偽装やアタックへの防御策として非常に有効です。
詳しい運用方法を書くと長くなるので、検索してみて下さい。色々分かりやすいサイトが出てくると思います。
特にNoScriptは更新が頻繁なので、常に最新の状態を保つように心がけましょう。

・セキュリティソフトで対応する

ソフトの機能で、「広告バナーを表示させずブロックする」ものがあれば、それを利用するのもある程度効果があると思います。(機能を使うことによって、一部の画像や広告でないリンクバナー、アイコンなどが表示されなくなる場合があります)
また、定義データベースが更新されることによって、ここで使われている悪質サイトがブラックリストに入れられて危険を回避できる可能性もあります。更新をきちんとして最新の定義状態をキープするのも大事です。


[悪質サイトにアクセスしてしまったら]

あくまで現時点での話ですが、実は「悪質」とはいうものの、慌てなければ影響は軽微で済ませる類のものです。

下の記事は、誘導先に主眼を置いて今回の件を説明するニュース記事ですが、これを読むと誘導先のサイトの性質についてよく分かると思います。


「悪質Flashでクリップボードを乗っ取る」――偽ソフト配布の新手口:BPnet

 メールなどに書かれたURLをクリップボードにコピーして、ブラウザーのアドレスバーに貼り付ける(ペーストする)ことはよく行われている。今回の手口は、この行動を悪用するもの。攻撃者は、配布サイトのURLを上書きするようなFlash コンテンツを作成し、広告として正規サイトに掲載させる。そのサイトにアクセスしたユーザーは、知らず知らずのうちに、クリップボードのデータが偽ソフト配布サイトのURLに書き換えられる。

 そのユーザーが、以前コピーしたURLにアクセスしようとしてブラウザーのアドレスバーで貼り付け(ペースト)を実行すると、実際に貼り付けられるのは偽ソフト配布サイトのURL。ユーザーがEnterキーを押すと、偽ソフト配布サイトへ誘導されてしまう。


 偽ソフトとは、たいした機能を持たないにもかかわらず、セキュリティ対策やユーティリティなどの機能を備えているとかたられて配布されるソフトのこと。詐欺的な手法で販売されるため、「詐欺的なソフトウエア」などと呼ばれることもある。

 通常、偽ソフトは無料で配布される。ユーザーが偽ソフトをインストールすると、偽ソフトは、パソコンに問題がないにもかかわらず、「ウイルスが見つかった」「システムに致命的な欠陥がある」といった偽の警告を表示。問題を解消したければ、有料版を購入する必要があるとして販売サイトにユーザーを誘導し、クレジットカード番号などを入力させる。

 もちろん、ここで販売される有料版も“偽ソフト”。そもそも、パソコンには問題がないので、有料版を利用しても問題が解消されることはない。


これらの偽サイトで典型的なパターンはこんな感じ。

・アクセスすると、勝手に「あなたのパソコンにセキュリティの問題がないか確認します」というようなダイアログや、いかにも作業してます感あふれるプログレスバーが表示される。
これはたいてい、単なるアニメ画像やだましメッセージで、実際には検査などしていない。

・「チェックの結果、ウィルスに感染している可能性があります!早急に対策してください!」という意味の警告画面が出る。勿論これもウソ。


[ここから危険]

・詳しいチェックをするために、無料体験版のセキュリティソフトを提供しているからダウンロード・インストールをするように提示される。
ここでダウンロードやインストールをしないこと。実際のチェック機能のないプログラムならばまだいいが、キーロガーやスパイウェア・ウィルス等をのみ込まされる危険性がある。

・インストールして検査すると、「有料版じゃないと対応できないから買え」と言われて、別のサイトに誘導されたり、販売手続きと称して、個人情報やクレジットカード番号などの重要なデータを入力される画面に移動させられる。
言うまでもなく、ここで入力などしてはロクなことがないのでダメゼッタイ。


というわけで、「セキュリティ云々」と急に言われた時点で、「ああ、この手のやつね」と即座に引き返せば深刻な被害に至ることは少ないでしょう(ただし何を噛まされるか分からないのでアクセスしないに越したことはない)。ニセセキュリティソフト系であれば、基本的に慌てなければ大丈夫かとは思います。
ただしこれは、繰り返すけれどもあくまで「現時点」の話であって、直接ウィルスを仕込んだページ、キーロガーやアカウントハック目的のさらに物騒なページに飛ばされる可能性もあります。
また、バナーだけでなく、「面白動画」などの誘い文句でストリーミング動画として登場する可能性もあるので気が抜かずに対応したいところです。


誘導される「悪質サイト」のURLが分かれば即ブラックリスト送りにできるのだけども、ここでは誤クリックや誤アクセスを防ぐためか公開されていないのがちと残念。
詳細が分かれば後で内容を追加するかも。
posted by 大道寺零(管理人) at 04:35 | Comment(0) | TrackBack(0) | SPAM
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/105082819

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。