学生さん、気をつけて!教科書や論文になりすましたマルウェア

2019年9月13日

人気のテレビ番組ゲームのチートツールをダウンロードしようとすると、どれほど簡単に、そして気付かないうちに悪意あるものを拾ってしまうのか、Kaspersky Dailyでは折に触れて取り上げてきました。しかし、サイバー犯罪者が悪用するのはエンターテインメントばかりではありません。仕事や勉強に必要な資料を探している場合でも、マルウェアに遭遇してしまう可能性があります。欧米の学校では9月に新年度が始まりますが、教科書その他の教材にはお金がかかるため、なるべく安価で(できれば無料で)手に入れようとネット検索する学生も少なからず存在します。そして、ここに危険が潜んでいることがあります。

論文をダウンロードしたら、マルウェアがくっついてきた

当社では、無料で入手できる資料に悪意あるコンテンツが含まれる頻度はどのくらいか、調査を実施しました。学校関連および学生関連の名前が付いたファイルの中にカスペルスキー製品が感染を検知した数を確認したところ、かなりの数に及びました。

調査の結果、教育分野をターゲットにしたサイバー犯罪者が昨年度を通じ、当社製品の利用者に対して合計35万6,000回以上の攻撃を試みたことが明らかになりました。このうち23万3,000件は悪意あるものが含まれた論文で、7万4,000台以上のコンピューターにダウンロードされ、当社製品によってブロックされました。

このようなファイルの3分の1は教科書です。教科書になりすましたマルウェアによる攻撃は、12万2,000件検知されました。このようなファイルを開こうとした人の数は、3万人以上に上りました。

K-12(主に米国での学年。日本での幼稚園から高校3年生にあたる)の学生に対する攻撃で最も多かったのは、マルウェアが潜む英語の教科書で、2,080人がダウンロードを試みました。次に多かったのは数学の教科書で、1,213人の学生のコンピューターが危うく感染するところでした。第3位は文学で、870人がわなにかかるところでした。

それほどメジャーではない科目も標的になっています。自然科学の教科書を装ったマルウェア(ダウンロードを試みたのは18人)と、あまり一般的でない外国語の教科書を装ったマルウェアが、K-12の学生と大学生の両方の場合で見つかりました。

教科書や論文になりすまして感染を広げるマルウェアの種類

教材を探していてたちの悪いWebサイトに行き着き、そこから何かをダウンロードしたならば、それこそあらゆる種類のマルウェアに遭遇する危険性がありますが、この経路での感染が他よりも目立つものがあります。そこで、教材になりすまして拡散されることの多いマルウェアを、第4位から順に見てみましょう。

第4位:トレントダウンローダー「MediaGet」

「無料ダウンロード」ボタンがあちこちにあるようなサイトから教科書を手に入れようとした場合、探しているファイルではなく「MediaGet」というトレントダウンローダーをダウンロードしてしまうことがあります。このダウンローダーは、教材を探している学生にとってまったく必要ない、トレントクライアントをダウンロードします。

第3位:ダウンローダー「WinLNK.Agent.gen」

マルウェアはアーカイブの中に身を潜めるのを好みます。ZIPファイルやRARファイルの中に隠れていれば、脅威として検知されにくいためです。教科書や論文を探しているときによく出くわす「WinLNK.Agent.gen」というダウンローダーも、この手法を使います。アーカイブの中にはテキストファイルへのショートカットが入っていますが、それをクリックすると、テキストファイルが開くだけでなく、添付されているマルウェアのコンポーネントも実行されます。

新たに別のマルウェアがダウンロードされる場合もあります。よくあるのは、感染したデバイスのリソースを勝手に使用して暗号資産(仮想通貨)をマイニングする、悪意ある仮想通貨マイニングプログラムがダウンロードされるケースです。マイニングが行われた結果、コンピューターとインターネット接続の速度が下がり、請求される電気代が上がるかもしれません。アドウェアに感染し、消すことのできない広告が大量に送り込まれる可能性もあります。さらに、もっと危険なプログラムがダウンロードされる恐れもあります。

第2位:マルウェアダウンローダー「Win32.Agent.ifdx」

教科書や論文に身を潜めるダウンローダーは他にもあり、DOC、DOCX、PDF形式のファイルに見せかけています。何かのドキュメントになりすまし、それらしきアイコンを表示させていますが、実際は実行可能なプログラムなのです。その上、何か怪しいことが起きていることに利用者が気づかないようにするため、このファイルを起動するとテキストファイルが開きます。このプログラムの主な目的は、標的のコンピューターに悪質な何かをダウンロードすることです。

最近では、この種のマルウェアはさまざまな暗号資産(仮想通貨)マイナーをダウンロードする傾向にあります。マルウェアを拡散する人たちが何を優先してダウンロードさせようとするのかは、変わる可能性があります。彼らはマルウェアを改造して、仮想通貨マイナーではなく、スパイウェア、オンラインバンキングやオンラインショップのアカウントからデータを盗み出すバンキング型トロイの木馬、またはランサムウェアをダウンロードさせるようになるかもしれません。

第1位:Stalkワームによるスパム配信

怪しいサイトにアクセスしなくても感染してしまうことがあります。悪意ある教科書や論文を、スパムメールを通じて拡散する手口もあるのです。たとえば、Stalk(Worm.Win32 Stalk.a)というワームは、感染を広げるのにスパムメールをよく使います。このワームはかつて長期にわたって観測されていましたが、すでに使われなくなったと当社では見ていました。しかし驚いたことに、現在も活発に活動を続けているだけでなく、「教育関連の」マルウェアとなって最も多い被害者を出していました。

コンピューターに入り込んだStalkは、そのコンピューターに接続されているすべてのデバイスに侵入します。たとえば、ローカルネットワーク上の他のコンピューターや、教材が保存されているUSBメモリに感染を広げます。USBメモリに保存した論文を学校のコンピューターからプリントアウトすると、このワームは学校のネットワークに侵入します。実に油断のならないやり方です。

このマルウェアの目的は、それだけではありません。できるだけ多くのシステムに感染を広げようと、あなたの連絡先リストに登録されている人々に、あなたの名前をかたって自分自身をメールで送りつけます。学校の友達やクラスメイトは、あなたからのメールであれば危ないことはないと思って、添付されている悪意あるプログラムを開いてしまう可能性が非常に高いと考えられます。

Stalkが危険な理由は、ローカルネットワークへの感染力や、メールを通じた拡散能力だけではありません。このマルウェアは、感染したコンピューターに他の悪意あるプログラムをダウンロードすることができ、また、感染したコンピューターにあるファイルをコピーしてマルウェア作成者にこっそりと送信することも可能です。

Stalkがいまだに活発な活動を続けている主な理由として考えられるのは、教育機関(特に教育機関のプリンターシステム)では、一般的に言って、驚くほど古いバージョンのOSやソフトウェアを使っている場合が多々あることです。このため、このワームの拡散は今後も続くでしょう。

悪意ある「教科書」や「論文」から身を守るには

このように、教材をインターネットで探すと良くない結果となる可能性があります。感染を防ぐために、以下のことに注意しましょう。

  • 教科書や論文は、可能であればデジタル版ではなく紙のものを探す。またはオンライン図書館を利用する。
  • ダウンロードしようとしている教科書がどのようなWebサイトに置かれているのか、必ず確認する。点滅する「ダウンロード」ボタンがたくさん表示された怪しげなサイトや、まずダウンローダーをインストールするように要求してくるサイトは避けましょう。
  • 古くなったOSやソフトウェアを使用しない。ソフトウェアのアップデートは速やかに行いましょう。
  • メールの添付ファイルは、知人から送られたものであっても、すぐには信用しない。頼んでもいないのに突然友達が論文を送ってきた場合は、疑った方がよいでしょう。
  • ダウンロードするファイルの拡張子を確認する。自分がダウンロードしているのがドキュメントファイルではなく実行ファイル(.exeファイル)だった場合、そのファイルは開かないでください。
  • 信頼できるセキュリティ製品を使用する。たとえば、カスペルスキー セキュリティは、この記事で説明したような脅威以外にもさまざまな脅威を検知し、コンピューターに危害が及ぶ前にそうした脅威をブロックします。