脅威
普段から、見知らぬ人からのメールを開くときには十分注意している。おいしい話には特に慎重になる。アダルトコンテンツは絶対に見ない。なのにある日気付くと、ブラウザーに見慣れないツールバーがあり、やたらと広告が表示され、インストールした記憶のないPC最適化ツールとやらがインストールされている…。どうしてこんなことに?
犯人はおそらく、アフィリエイトサービスです。アフィリエイターがファイル共有サービスと手を組み、あなたがほしいと思うファイルに他の製品(ブラウザー、オプティマイザー、アドウェア)をバンドルさせているのです。ダウンロードされるごとにアフィリエイターが料金を支払います。Kaspersky Labでは、その仕組みを詳しく調査しました(英語記事)。詳細はリンク先の記事に譲るとして、主なところをかいつまんで説明しましょう。
人はなぜそんなサイトにファイルを保存するのか
アフィリエイターと手を組んでいるファイル共有サイトは、利用者を増やしたがっています。そこで、ファイルを保存するというサービスに加え、サイトにファイルをアップロードしてくれる人に対して少額のお金を支払うことがあります。たとえば、当社が調査したあるファイル共有サイトは、アップロードされたファイルがダウンロードされるたびに4ルーブル(現レートで7円弱)を支払っていました。大した額ではありませんが、これに惹かれる人もいるでしょう。
このやり方でお金を得ようと考える人は、こうしたファイル共有サイトに動画、書籍、楽曲、改造版ゲームをアップロードするだけではありません。アップロードしたファイルに通じるリンクを、何らかのフォーラムやファンサイトなどに公開します(フォーラムやファンサイトの管理者はアフィリエイトのことなど知りません)。
ダウンロードのためのダウンロード
フォーラムを見たり珍しいコンテンツを探したりしている別の人がそのリンクを見つけてクリックすると、当該のファイル共有サイトに誘導されます。そうしたサイトの多くは、正規のクラウドサービス(Google Driveなど)のような見た目をしています。ファイル共有サイトにたどり着いた人は、お目当てのファイルを見つけます。ファイルは、アーカイブやTorrentファイル、ISOイメージ、もしくはHTMLドキュメントの形式に見えます。
しかし、こういったファイルの実体は実行ファイルです。パスワード保護されたZIPファイルの中にインストールファイルが隠れている場合や、拡張子が2つあるように見えるファイル(「super-new-map.zip.exe」など)である場合があります。「ZIPを解凍してください」「このパスワードを入力してください」などと、詳細なインストール指示が付いてくることもあります。このように複雑にしてあるのは、ブラウザーやセキュリティ製品にファイルの不審さが気付かれないようにするためです。
このインストールファイルは実際には何なのか
さて、ダウンロードしたZIPを解凍し、パスワードを入力し、表示されるさまざまな要求に対応し、実行ファイルを実行すると、何が起こるのでしょうか。まず、インストーラーがアフィリエイトサーバーに、そのコンピューターに関する情報(ユーザー名や実行中のタスクの一覧など)を伝えます。サーバーは、コンピューターにインストールする候補となるアフィリエイトプログラムの一覧を返します。そこには、その人がもともとほしがっているファイルの名前も含まれています。
次に、アフィリエイトプログラムごとにインストーラーが、セキュリティ製品がコンピューター上にないかどうかをチェックします。セキュリティ製品が警告音を発したりして気付かれてしまうことがないようにするためです。
これらがすべて済むと、インストーラーはようやく、その人が希望するファイル(それから、その人のシステムに「ぴったりと合った」3~5個のアフィリエイトプログラム)をダウンロードします。このとき、Internet Explorerのものによく似たダウンロード画面が表示されます。その人がインストールするつもりであるファイルの名前のほかに、ダウンロードされるものがすべて一覧表示されますが、薄い色の文字で非常に小さく書かれています。さらに、情報のほとんどが隠れているため、インストールされるプログラムを全部見るには、ウィンドウのサイズを変えなえればなりません。この時点で何かがおかしいと思い、すべてのチェックボックスをオフにして余計なものがインストールされないようにできるかもしれませんが、そうするには注意力と非常に鋭い洞察力が必要です。 
広告、広告、そして広告―ついでに少しばかりのマルウェア
ファイル共有サービスが「パートナー」と契約するとき、頭にあるのは自分たちの利益だけです。言い換えれば、ファイルをダウンロードした人のデバイスに何が起ころうとも知ったことではないのです。お金になるかどうかだけが重要なのですから。
結果として、サービス利用者は、こうした「パートナー」経由で怪しいファイルをダウンロードさせられることになります。そのほとんどはアドウェアですが、調査によると、本物のマルウェアがダウンロードされるケースも20%あります。なお、そうした「余計なお荷物」の中身が一般的なブラウザーだったケースも5%あります(その場合は運がよかったと言ってもいいでしょう)。
ダウンロードは安全に
何かの役に立つ便利なファイルをダウンロードするときに、何の役にも立たないゴミ(もしくはもっと悪いもの)が一緒に付いてこないようにするにはどうすればいいでしょうか。以下の対策を参考にしてください。
- ブラウザーのアドレスバーをよく確認しましょう。こういったタイプのファイル共有サイトは、DropboxやGoogle Driveのような無害なサービスに似せようとしていますが、URLはごまかせません。サイトの見た目は問題なさそうなのにURLが怪しいという場合は、そこからダウンロードするのは避けた方がいいでしょう。
- 提供されるファイルの種類が自分の思っているものではなく実行ファイル(.EXE)である場合は、ダウンロードも実行もしないでください。
- サイト上でどんなに強く勧められたとしても、余計なインストーラーをダウンロードしないでください。
- 怪しいアプリをダウンロードさせないような、信頼できるセキュリティ製品を使用しましょう。
ヒント