G DATAはドイツにおいて、Googleの検索で「Flash Player」とするとマルウェアサイトに誘導されるトラップが発見されたと発表した。現時点において日本語版のGoogleには、そのような検索結果は表示されない。しかし、類似した動きが予想されるため、注意を喚起している。

偽Flash Player 10、ドイツにおける事例

悪意を持った攻撃者は、最新版Flash Player 10のあるサイトと偽りGoogle広告に登録し、その結果、トップ表示に成功した(図1)。

図1 ドイツのGoogleの検索結果

Flash Player 10は、日本では10月15日にアドビから発表された。日本では、Googleで「Flash Player」と検索すると、トップに表示されるのは、アドビの「Adobe Flash Playerダウンロードセンター」のページであり、問題がない(2008年10月22日現在)。ドイツのGoogleでは、10月18日未明より断続的に、広告枠に「Adobe Flash Player 10」のページが表示される。このWebページのURLは「www.flash-player-10.com」となっており、クリックすると、あたかも最新版プレーヤがダウンロードできるような画面が表示される(図2)。

図2 最新のFlash Playerがダウンロードを可能に見せる

[インストール]ボタンをクリックすると、ダウンロード開始の画面が表示され、「flash10_setup.exe」という実行ファイルのダウンロードが行われる。しかし、本当のFlash Player 10ファイル名は「install_flash_player.exe」で、実体は「Win32:Agent」系統のマルウェアである(図3)。

図3 偽のファイルがダウンロードされる

アドビの最新版Flash Playerをダウンロードしようとしているユーザーならば、Google検索の上位にあるページを安心してクリックするかもしれない。しかし、悪意を持った攻撃者は、Googleの広告枠を利用してマルウェアをばらまいている。

Googleのような検索サイトの上位の検索結果ですら、安心して利用できない可能性が存在する。くれぐれも、検索結果から、アプリケーションなどのダウンロードを行う場合には、注意をしてほしい。G DATAでは、日本でも偽のWebサイトに誘導するようなことが、何時発生するかわからないと警告をしている。