パスワードを忘れた? アカウント作成
38426 story
セキュリティ

偽Flash Playerをインストールさせる「flash-player-10.com」にご注意を 19

ストーリー by hylom
このURLならだまされてしまいそう、 部門より

あるAnonymous Coward 曰く、

セキュリティソフトメーカーのG DATAが、Google検索でトップに表示される偽FlashPlayerに注意と警告している。

Flash Playerをドイツ版Googleで検索すると、トップに表示される検索連動広告枠に「Adobe Flash Player 10」と表示され、「www.flash-player-10.com」という、非常にそれらしいサイトへの誘導を行うリンクが表示される。

www.flash-player-10.comでは、最新版であるFlash Player 10のダウンロードが行えるように見えるページが表示され、「flash10_setup.exe」という実行ファイルをダウンロードさせようとするとのこと。しかし、この実行ファイルは実際にはFlash Player 10ではなく、「Win32:Agent」系のマルウェアとのことだ。

日本のGoogleではこの広告は表示されないものの、日本でも同様の手口が利用される可能性もある。注意していただきたい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by goji (949) on 2008年10月23日 14時28分 (#1442981) ホームページ 日記
    DNSが引けないようだ。Firefoxだと「偽装サイトとして報告されています!」と言う警告画面が出てちょっと嬉しいな。
  • Google Streetview専門家の高木先生が
    「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安 [takagi-hiromitsu.jp]
    三井住友銀行、「雨やどり」「お風呂あがり」で検索のテレビ広告で便乗フィッシングの危機(被害防止用エントリ) [takagi-hiromitsu.jp]
    といった記事ですでに警告を発していますね。いまGoogle Adsの料金体系 [google.com]を見たら、比較的小額・小規模(1日の予算を使い果たしたら表示されない?)に広告表示できるようなので、あまり大規模に広告を出さず、ごく少数のユーザにマルウェアをインストールさせるような手口だと、犯罪が話題になりにくいですね。
    --
    Your 金銭的 potential. Our passion - Micro$oft

    Tsukitomo(月友)
    • by Anonymous Coward on 2008年10月23日 16時48分 (#1443095)
      アメリカなら今でも「○○.comに今すぐアクセス!」ってURLを短くキャッチーになのでは。IDNもその延長ですよね。
      日本人ライトユーザーはURL直打のやりかたを知らないから検索CMが出るようになったみたいっす。
      とくにケータイに慣れた若年層。あるとき試験サイトたてて見て内輪の人に率直なフィードバックしてねって言ったら「なんて検索したら見れますか?」聞かれて唖然。未公開「試験」だしログイン制にしてるし検索かからんようにしてますがなって...で結局URL教えても見てくれてなくてフィードバックあまり集まらず...検索にかかれば見てくれてたのかと思うと複雑な気持ち。SEO対策じゃなくてデザインや機能を見てほしいとちゃんと伝えたんだけど。

      この手のCMは他にないキーワードを使う等して、CMをTVに流し始める前に当然検索トップに出てくることを確認済みですよね。そしてCMを流し始めるくらいから検索広告やSPAM-BLOGを利用した不当SEOの攻撃が猛烈に追い上げます。(CM流す直前に一気に追い抜き去られて、撮影済みCMが無駄になることもあるのかもしれない。)
      これらに対して(コンプライアンス的に正攻法でという縛りで)無理な順位上げをするせこいSEOを利用せずに、検索事業者やフィッシングブラックリストに通報する等のみで被害を少なくして上位を維持することって可能なんですかね?
      親コメント
      • 「~で検索」っていうCMが増えたのはTVCM界の自主的なルールで「URLは1秒程度しか表示しない」ってなってるからだって聴きましたけれど。
        ちょっとググったらこの辺 [akashic-record.com]が見つかりました。

        URLを表示する時間に規制がないと、URLを表示するだけのCMが出来て、それはTVCMを崩壊させるとかなんとか言う理由らしいです。
        親コメント
      • by Anonymous Coward
        検索エンジンに金払えばいいと思うんですが。
    • Google Streetview専門家の高木先生が

      いつからそうなったんだろう、と思ったけど「自宅の日記」を見たら確かにそんな感じだった。セキュリティ専門家からクラスチェンジしたのかな。

      # 「自宅の日記」で検索すると出るあたりが楽しい、とこのストーリーに書いてみるテストなのでAC
    • by Anonymous Coward
      > 外国では「○○で検索」って少ないのかな?

      英語圏なら、「○○○○○○○.com」って叫んでる。ラジオとかでも。
      日本語だとそれじゃ一般の人に通じないんだろうね。
      • by Anonymous Coward on 2008年10月23日 17時27分 (#1443114)
        > 日本語だとそれじゃ一般の人に通じないんだろうね。

        一般の人と限定しないでも
        「いわしどっとこむへアクセス」と言われたときに
        「iwashi.com」か「iwasi.com」かで悩みますよね

        この場合は両方とも取ってしまえばいいという考え方もあるでしょうけど、
        ヘボン式の中でさえ「方言」がある(「ん」や「ー」など)ため
        すべて網羅しきれない場合が十分に考えられますね

        その上、「一般の人」なら日本語で打ち込む可能性もあり
        あんまり普及していないとはいえ日本語ドメインで
        「いわし.com」「イワシ.com」「鰯.com」「鰮.com」と押さえないいけない
        (ですよね?)

        そうするよりも検索エンジン側で正規化をかけたほうが早いし、
        ついでに検索にも引っかかるようになると考えるほうが多いのでは?

        まあ、日本のTV CMでURLに関しては制限があるという話 [akashic-record.com]もありますが。
        (個人的にはある断言できないけど、ないとも断言できない話だと思ってます)

        iwashi.comとかのオーナーとは無関係なAC
        親コメント
  • by Anonymous Coward on 2008年10月23日 18時07分 (#1443139)
    や、タイムリーな話題が。

    ちょうど昨日の夜入れたんですけど、いつもは「adobe」で検索してadobeのトップページから行くんですが、その時はGoogleで「flash」と入れて、何も考えず結果の最初をクリック、そしてダウンロード、インストールしました。そうしながら、

    「これが偽サイトだったらアウトやなあ」

    と思っていました。あれげな私ですらこうなってしまったのですが、一般人はデフォルトでこうなんでしょう。

    flash以外でも、plug inは時々はアップデートされるわけだし、皆さん普通はどうしているんでしょうねえ。

    • by Anonymous Coward on 2008年10月23日 21時18分 (#1443242)
      私の場合はアドレスとして www.macromedia.com を入力して行きます……昔の癖で。
      このドメインをAdobeが手放したらいつか引っかかることでしょう
      親コメント
    • by kei100 (5854) on 2008年10月24日 0時33分 (#1443343)
      見ているサイトでバージョンが古いという警告出たらそのリンクをクリックしてそのまま気にせずアップデート。
      もしくは通知領域(タスクトレイ)に更新があるとお知らせが出たら。かしら?
      親コメント
      • by zozbug (9256) on 2008年10月24日 11時43分 (#1443490)
        バージョンが古いって出すflashを作って偽サイトに飛ばすようにするとひっかかる人がでるってことですかね。
        してみると結構危険だなあ。IEならActiveXをonにしろとか言われて従っちゃう人多そう。
        親コメント
    • by Anonymous Coward
      UACのダイアログやActiveXのインストールダイアログで発行者がAdobe Systems Incorporatedであることを確認しています。極端な話、ダウンロード元が偽サイトでもP2Pファイル共有でも関係ありません。
      • by Anonymous Coward on 2008年10月24日 13時07分 (#1443538)
        > Adobe Systems Incorporatedであることを確認しています。
        その署名が実は
        Adobe Systems Incorporate
        とか
        Ad0be System Incorporated
        じゃないことは本当に確認した?
        親コメント
        • by Anonymous Coward
          コードサイニング証明書はSSLと違って実在証明が必須なので、
          > Adobe Systems Incorporate
          > とか
          > Ad0be System Incorporated
          なんてCNを持つ証明書をそうそうあっさりメールだけで3分で発行したりはできません。
          まあわざわざ怪しいところから落とす必要は確かにないのですが、それを言ったらドメインが ad0be.com じゃなかったりすることもちゃんと確認したのですか?
          というわけで目視で文字列比較するのが不安なら、デフォルトでファイルのダウンロードは禁止にして fpdownload.macromedia.com など必要なところのみ信頼済みサイトに追加しておけば、コンピュータが自動的に判断してくれます(もちろんIE6以前では信頼済みサイトのセキュリティレベルは「中」にしておきます)。
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...