隠された罠(パート2):ブラウザーをロックさせるランサム ページの解決

元の「隠された罠」ブログでは、攻撃者のありふれた風景の中に潜む能力について説明しました。このアプローチを活用して非常に大きな成功を収めたキャンペーンとして偽装FBIランサム ページが挙げられます。これは、FBIの所有物であることをうたいながら、被害者からお金をゆすり取ろうとする不正なWebサイトです。

Chris Elisan_Eye_image 1

図1: 偽装FBI Webサイト

このサイトは、ブラウザーがロックしたように見せかけることにより、システムがロックしていてブラウザーのロックを解除するには身代金を支払うしかないとユーザーに思い込ませます。上で紹介した前の記事では、このサイトの仕組みについて説明しています。

このタイプの攻撃は最近大きな成功を収めたため、同じ考え方の新しいバリエーションのサイトが次々と見つかっています。いくつかの国の法務機関を装ったローカライズ版の攻撃さえあります。ただし、検出を逃れるために使用される基盤テクノロジーは一貫しています。従来のAVおよび静的スキャン テクノロジーでは、これらのページはブロックされません。ブラウザーをロックするための基になるコードは、実際には悪質なコードではないからです。ただし、不正に適用すれば悪質な使い方ができることは確かです。

この場合、使用されているコードは150回ループするループ文です。つまり、ユーザーがクリックを150回繰り返せば、ブラウザーのロックが解除されます。しかし、ユーザーはこのことを知るすべがなく、おそらくは屈服してしまいます。また、攻撃者が回数を150回から150,000回に増やすことを防ぐ手段もありません。

良いニュースがあります。第一に、この問題は、実際にはほぼすべてのユーザーが複雑なセキュリティ ツールを入手または使用することなく解決できます。次の4つのステップ(詳細は以下で説明します)を実行すると、ブラウザーのロックが解除されます。

  1. プロセスを強制終了する
  2. 履歴をすべてクリアし、ブラウザーをリセットする
  3. 「クラッシュからの復元」設定を変更する
  4. ブラウザーを更新する

ブラウザー プロセスを強制終了する手順は、ハングしたプログラムを強制終了する場合と同じです。Windowsの場合は、Ctrl-Alt-Delを押し、ブラウザー プロセスを見つけて終了します。Macの場合は、Apple アイコン | [強制終了]をクリックし、ブラウザー アプリケーションを選択して終了します。これにより、ロックされたブラウザーが強制終了されます。

攻撃者は、これがほとんどのユーザーが最初に試みる対策であることを知っています。そのため、偽装Webサイトがブラウザー プロセスの終了後も存続するようにしています。通常は、ブラウザーを再度開くと、偽装FBI Webサイトが再び表示されます。攻撃者は持続性を組み込んでいるのです。

2番目のステップは、履歴をすべてクリアし、ブラウザーをリセットすることです。こうすることで、問題を部分的に解決できます。これを達成するにはさまざまな方法があります。どの方法を使用するかは、お使いのブラウザーによって異なります。図2は、MacでSafariをリセットする手順を示しています。図3は、WindowsでFirefoxの履歴をクリアする手順を示しています。

Chris Elisan_Eye_image 2

図2: Safariのリセット

Chris Elisan_Eye_image 3

図3: Firefoxの履歴のクリア

言うまでもなく、問題はまだ完全には解決されていません。「クラッシュからの復元」設定も変更する必要があります。プロセスの強制終了または終了は、アプリケーションまたはプログラムによってクラッシュ条件とみなされます。プログラム(この場合はブラウザー)がクラッシュからのリカバリー後に最後のセッションを表示するように設定されている場合は、ブラウザーを開くと偽装FBI Webサイトが再び表示されます。これを防ぐには、すべてのブラウザーがクラッシュからのリカバリー後に新しいセッションを開くか、ホーム ページに直接移動するように設定します。一部のブラウザーでは、ページに直接移動する代わりに最後のセッションを開くように選択できます。Safariの場合は、図4に示すように、「最後のセッションのすべてのウィンドウ」ではなく「新しいウィンドウ」を開くように設定します。この設定は、Safari | [環境設定]の[一般]タブにあります。

Chris Elisan_Eye_image 4'

図4: Safariの「クラッシュからの復元」

最初の3つのステップはある程度の労力を必要としますが、追加のツールを使用せずに偽装Webサイトの問題を解決できます。ブラウザーの製造元は、偽装ランサムWebサイトの問題を認識しており、ありふれた風景に隠れているこのロック メカニズムの悪用を制限するための対策を講じています。ダイアログ ボックスを閉じるために操作を150回繰り返さなくても済むように、一部のブラウザー ベンダーは、「OK」をクリックしたときにメッセージ ウィンドウを閉じるかどうかをユーザーに尋ねるシンプルなチェック ボックスを導入しています。これは偽装ランサム サイトを阻止するのにかなり役立ちました。

したがって、ブラウザーの更新(プロセスの4番目のステップ)は非常に重要です。問題の再発を防止できるようになる可能性があるだけでなく、最新の機能やセキュリティ対策がすべて手に入ります。お使いのプラグインとの互換性の問題が発生する可能性もありますが、これはまた別の問題です。

No Comments