サイバー護身術	一覧

アダルト画像表示でHDDを初期化

　画像へのリンクをクリックしたら、パソコンのハードディスクを初期化しデータを消去する実行ファイルを仕込まれてしまった。こんな問題が２ちゃんねるなどの掲示板で騒ぎになっている。犯人は複数の手段を使って、巧妙に罠をしかけていたようだ。（テクニカルライター・三上洋）

発端は掲示板でのアダルト画像リンク

　この騒ぎが大きくなったのは暮れも押し詰まった昨年12月30日のこと。事件の情報をまとめている「HDDをフォーマットするブラクラまとめwiki」によれば、12月28日にあるサイトにアップロードされた画像が発端で、その後２ちゃんねるの一部の掲示板にリンクが貼られたことから事件が拡大した。

　このリンクをクリックすると、アダルト画像が表示される。画像にもさらにリンクが貼ってあり、これをクリックすると別のサイトに飛び、そこから「ダウンローダー」と呼ばれる悪意のあるソフトが忍び込む。最終的にはダウンローダーによって、ハードディスクを初期化する実行ファイルが仕込まれるという流れだ。

　最近では珍しく「ハードディスクを初期化する」という実際の被害が出るマルウェア（悪意のあるソフトウェアのこと）だったため、大きな問題となった。対策ソフトメーカーによれば被害者は少ないようだが、掲示板を見ると被害に遭った人もいるようだ。

　「画像のリンクを表示する」という単純な行為が、ウイルス感染に繋がってしまうこともショッキングだ。今回は２ちゃんねるが舞台だったので「怪しいサイトを見なければいい」という対策もあるが、一般のサイトで使われたら被害はもっと大きくなっただろう。また実際の被害が目に見えない潜伏型であれば、さらに広範囲の被害を及ぼす可能性があった。

第一の要因：画像などを登録する「アップローダー」

　犯人は巧妙な手段をいくつか用いている。その一つが画像などのファイルを登録する「アップローダー」の利用だ。アップローダーとは画像などのファイルを第三者が自由に登録できるサービスのことで、掲示板でよく使われている。たとえば自分が撮影した画像を見て欲しい場合に、画像をアップローダーに登録しておき、「昨日撮った画像を見て！」と掲示板に書き込む、といったように使われている。

　つまり誰もがファイルを自由に登録できる場所、それがアップローダーである。便利なサービスではあるのだが、何が登録されているかわからないという恐ろしさがある。今回の事件では、この「誰でもファイルをアップできる」という点を悪用され、マルウェアを仕込まれる原因の一つとなった。

　犯人は自分が管理するサイトにマルウェアを仕込んだ上で、そのサイトへのリンクをアップローダーに登録した画像に被せていた。掲示板に書かれたのは、そのアップローダーの画像へのリンクである。掲示板にはアップローダーにある画像のリンクだけ書かれているから、踏んでしまう（クリックしてしまう）人が続出する。特に２ちゃんねるではアップローダーがよく使われているため、安易にクリックしてしまう人が多かったようだ。単なる画像へのリンクだけに見えたのが大きな原因だ。

第二の要因：「ブラウザクラッシャー」

　第二の要因は、ブラウザーの動作やウィンドウズの表示をおかしくする「ブラウザクラッシャー」が使われていたことだ。ブラウーザクラッシャーとは、ブラウザーの窓が大量に開いたり、閉じることができなくなるなどの被害が出るもの。通称「ブラクラ」とも呼ばれている。

　このブラクラには、ブラウザーのバグ（脆弱性）を利用するものと、Javaスクリプトなどを使うものがある。トレンドマイクロ・リージョナルトレンドラボの岡本勝之氏によれば「今回の事件では脆弱性を利用しておらず、単純に画像偽装とJavaスクリプトによるものではないか」とのこと。ブラウザーのバグを使うものであれば、ウィンドウズアップデートによって修正できるが、Javaスクリプトを使ったブラクラは修正できない。

　この事件では、ブラクラによって窓を大量に開かせたり、メールソフトなどが起動する。その中で別サイトにあるマルウェアを仕込もうとする。ブラクラに驚いたユーザーが、急いで窓を閉じようとする行為を利用して、マルウェアを仕込もうとしているようだ（筆者の推測）。脆弱性を使った方法では修正されれば無効になるが、この方法なら修正されずにいつまでも使われてしまう。

第三の要因：「ダウンローダー」

　三つ目の要因は、「ダウンローダー」と呼ばれる悪意のあるソフトウェアを使っている点にある。ダウンローダーとは被害者のパソコンに常駐して、勝手に外部からファイルを導入するもの。犯人から見ると、被害者のパソコンに突破口を開くようなもので、このダウンローダーを仕込んでしまえば、後からウイルスだろうがトロイの木馬だろうが何でも導入できてしまうのである。

　ダウンローダーについては、以前の記事「安全なはずのサイトでウイルス感染？」でも詳しく紹介している。最近のマルウェアでは非常によく使われているもので、特に一般のサイトを書き換えてマルウェアを仕込む「サイト感染型」では、常套手段となっている。

　このケースでは、このダウンローダーをユーザーのパソコンに仕込もうとしていた。そしてダウンローダーが、ハードディスクを初期化する実行ファイルをほかのサイトから導入する。再起動すると実行ファイルが動き、ハードディスクをフォーマットするという流れである。この実行ファイルは単純なバッチファイルであり、知識さえあれば誰でも書けるものだ。つまりウイルスがハードディスクを消去するのではなく、悪意のあるソフトであるダウンローダーが単なる実行ファイルを仕込んだということになる。

被害が出ないもののほうが恐ろしい

　今回の事件で使われているダウンローダーについては、トレンドマイクロのウイルスバスターでは1月4日（亜種については1月7日）、シマンテックのノートンでは1月3日に対策ファイルが出ている。シマンテックによれば「アップデートをしていれば、クリックしても被害には遭わない」とのことだ。ただし防げるのはダウンローダーだけであり、ブラウザークラッシャーを防ぐことはできない。そのため最新のパターンを導入したウイルス対策ソフトであっても、リンク先がどこなのか確かめる必要があるだろう。

　今回のマルウェアは、再起動時にハードディスクをフォーマットするという実害が出るものだ。最近のマルウェアのほとんどは、目に見える実害は出ず、潜伏して迷惑メール送信などの足場に利用するものが多い。実はこの潜伏型のほうが怖い。ハードディスクを初期化するような目に見える被害が出ないため、ユーザーはいつまでも気づかずにいる可能性があるからだ。

　なお対策としては以下のことを頭に入れておきたい。