2006年03月31日(金) 19時41分

他人事ではない？　「ワンクリックウェア」の実態（ITmediaエンタープライズ）

　アダルトサイトにアクセスして「あなたは18歳以上ですか？」という問いかけに「はい」ボタンを押すと、それだけで「ご入会ありがとうございます。料金は○○円です」といった画面が繰り返し表示されるようになる——ワンクリック詐欺の手法をプログラム的に実行する「ワンクリックウェア」によるこんな被害が増えているという。

　3月28日にブロードバンド推進協議会（BBA）が開催した特別講演会「オンライン詐欺の脅威」では、「日本に固有の犯罪」（セキュアブレインの星澤裕二氏）というワンクリックウェアをテーマにしたパネルディスカッションが行われた。

●2005年夏より急増

　まず情報処理推進機構（IPA）セキュリティセンターの加賀谷伸一郎氏が、寄せられた相談を元にワンクリック詐欺およびワンクリックウェアの状況を紹介した。

　IPAにはウイルスや不正アクセスなどに関する相談が月に700〜800件寄せられるというが、2006年1月はそのうち174件、2月も168件がワンクリック詐欺やそれを助長するスパイウェア——ワンクリックウェアに関するもので占められたという。「2005年のお盆前から急に相談件数が増えた。スパイウェア（ワンクリックウェア）をインストールされてしまうというケースも同じ時期から増えてきた」（同氏）

　加賀谷氏は、ワンクリックウェアの典型的なパターンを幾つか紹介した。1つは、クリックするとDOSプロンプトを模した画像を次々と表示させてユーザーを驚かせ、最後に「ご利用ありがとうございます。利用料金は××円です」と表示するもの。IPアドレス情報を表示させ「身元を割り出して請求にいきます」と脅すものもある（もちろん、IPアドレスだけを元に住所や電話番号が分かるわけはないため、ただの脅しに過ぎない）。また、Webページ上の画像をクリックするだけでスパイウェアがインストールされたり、動画ファイルを装ったワンクリックウェアで、実行するとデスクトップ上に「請求書」が作成されるものなど、いろいろなパターンがあるという。

　悪質なWebサイトの中には「このページの楽しみ方」などと称し、わざわざ「クリックするとWindowsの警告画面が表示されますが、それは無視して『実行する』を選んでください」などと但し書きを付け、ワンクリックウェアをインストールさせるよう仕向けるものも存在するという。

　加賀谷氏は対策として「まず、Webブラウザが表示する警告をきちんと警告として受け止めてほしい」と述べた。「どんどんクリックして先に進むのではなく、警告を無視せずしっかり読んでほしい。入会規約なども読み、少しでも怪しいところがあれば先には進まないように」（同氏）。ウイルス対策ソフトでも検出できないスパイウェアやワンクリックウェアが存在することから、まず、むやみにファイルを実行しないよう注意してほしいとした。

　また「ファイルの見た目にだまされないこと」も重要という。実行形式のファイルであるにもかかわらず、ファイル名を偽装して動画やフォルダを装うワンクリックウェアが存在することを踏まえ、拡張子の確認が重要だと加賀谷氏は述べた。

●ワンクリック詐欺は「明確な犯罪」

　実際にワンクリック詐欺を仕掛けたサイト運営者を相手取って訴訟を起こし、精神的苦痛に対する損害賠償を勝ち取った桜丘法律事務所の桜井光政弁護士は、自らの経験を紹介するとともに、法律的見地から見てワンクリック詐欺やワンクリックウェアは「明確な犯罪行為である」と述べた。

　桜井弁護士がワンクリック詐欺サイトを訪れたのは2005年8月。スパムメールに記されていたURLにアクセスし、画像をクリックしたところPC上にDOSプロンプト風の画面が流れて、利用金額を請求する画面が表示された。乱暴な手口に加え「料金設定がまた微妙。たとえば高校生などが親に言えずにバイトなどで何とかできてしまう額」（桜井氏）

　そのやり方に怒りを覚え、同弁護士は2日後、振込先預金口座を元にサイト運営者の身元を割り出し、即刻差し押さえを求めて提訴。審理の末、2006年1月31日にはサイト運営者に30万円の支払いを求める判決が出た。

　桜井弁護士は、ワンクリック詐欺について「非合法なものを見せて支払いを請求しても契約は成立しない。法で保護されるべき債権は発生しない」と、こうした請求は非合法であると指摘。さらにスパイウェアについては「ものの本来の用法を損なわせるという意味で器物損壊に当たり、十分取り締まりの対象になる。また、これを用いてお金を詐取すれば、電算機使用詐欺罪に当たる」と述べた。

　しかし、今のところ十分な取り締まりが行われているとは言いがたい。その理由として「件数が多く、被害額が少なく、かつ相手の住所氏名を調べるのが面倒だから」と桜井氏は言う。しかし、「世間で『こうした問題は取り締まるべき』という機運が高まれば変わるだろう」と述べた。

●日本固有の問題

　ワンクリック詐欺およびワンクリックウェアは、海外にはあまり見られない、日本国内に特有の問題という。

　日本ネットワークセキュリティ協会（JNSA）スパイウェア対策啓発ワーキンググループの渡部章氏は「ウイルスは海外産がほとんどだが、ワンクリックウェアやスパイウェアの場合、作者が日本人であるとは限らないが、日本人を狙い、日本人の口座番号を詐取しようとしているのは明らか」と指摘した。

　これを受けてセキュアブレインの星澤氏は、「こうなると難しいのは、パターンファイルの作成。アンチウイルスベンダーの多くはユーザーの報告に基づいてパターンファイルを作成するが、日本人でそういったレポートを寄せてくれる人は非常に少ない」と述べた。日本だけで広がるウイルスは報告数が少なく、検体の提出も少なくなり、結果として対策が遅れるというが、スパイウェアやワンクリックウェアも同じ問題を抱えているという。

　BBAセキュリティ部門部会部会長としてパネルのモデレータを務めた野々下幸治氏（ウェブルート・ソフトウェア）はまた、「今はアダルトサイトにアクセスしてワンクリックウェアをインストールされる手口がほとんどだが、そのほかにも応用は可能であり、さらに広がる可能性がある」と指摘し、今後、さらに悪質化する可能性は否定できないと述べている。

　難しいのは、ワンクリック詐欺やワンクリックウェアを仕掛ける側の手口が巧妙化し、ソーシャルエンジニアリングなども悪用されているため、単純な解決策は存在しない。「技術的な手法だけで解決するのは非常に難しい。ユーザー個々人の意識も課題になる」（星澤氏）

　では、誰がこのようなワンクリックウェアを作成し、詐欺を働いているのだろうか。まだその実態は完全に明らかになったわけではないが、桜井弁護士のケースでは「いわゆる、闇金融に近い連中」が相手だったという。しかも「どこかに元締めがいて、同じようなワンクリックウェアを使い、同じようなサイトを用意してやらされているようだ」という。

　野々下氏も「複数のサイトで同じようなPHPのプログラム、スクリプトが利用されているケースを確認している。こうしたプログラムを提供する大元があるのではないかと推測できる」と述べている。

　桜井氏は、ワンクリックウェアなどをインストールされると、被害に遭った社員の士気が下がるだけでなく「機密情報が外に漏れ、企業の信用が失墜する恐れがあるなど、実害は大きい」と述べ、取り締まりが必要であるという機運を高めていくためにも、被害実態の調査とIT業界だけにとどまらない幅広い協力が必要だとした。

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20060331-00000073-zdn_ep-sci