［世界］
Skypeユーザーをねらったトロイの木馬が再び登場

偽ログウィン・ウィンドウの本物との違いに注意

（2007年10月18日）

　ルクセンブルクのスカイプ・テクノロジーズは、同社のVoIPインスタント・メッセージング・サービスをターゲットにした悪意のあるコードについて再び警告を発した。同社は、5週間前にも同様の警告を出している。

PWS-Pykse感染後に表示される偽のSkypeログイン・ウィンドウ
＊資料：米国マカフィー

　スカイプのオンライン広報担当者ビリュー・アラック氏が10月16日に行ったブログへの書き込みによると、この「PWS-Pykse」というコードは、Skypeアドオンとしてポストされるトロイの木馬で、ログイン証明書を盗み出すという。

　PWS-Pykseは、自らを「Skype Defender」という名称のSkypeアドオンと偽り、ユーザーが「SkypeDefenderSetup.exe」をダウンロードして実行するとインストールされる。インストール後は、ユーザー名とパスワードの入力欄を備えた偽のSkypeインタフェースを表示するが、ここに有効なユーザー名／パスワードを入力しても、「あなたの名前とパスワードは承認されませんでした。チェックしてから、再度入力してください」というメッセージを表示するだけだ。

　しかし、この時点で、すでにログイン情報、ユーザー名、パスワードがInternet Explorerに記憶され、攻撃者に送信されている。

　スカイプは5週間前、同社のVoIPソフトが稼働するコンピュータを乗っ取るワーム「Ramex.a」の存在を認め、警告を発した。セキュリティ・ベンダーの多くも、この新たな脅威に対処しようと、10月17日朝までにそれぞれのシグネチャ・ファイルを更新した。

　マカフィーの研究員パラディープ・ゴビンダラジュ氏によれば、「このPWS-Pykseは、自力で感染する能力を持たない。ソーシャル・エンジニアリング的な手法でユーザーをだまし、自らを実行させることによって感染を広げるのだ」という。

　別のセキュリティ研究者によると、Skype Defenderをホスティングしているサイトへのリンクは、インスタント・メッセージング・サービスを介して一部のSkypeユーザーに送られたとのことだ。

　ゴビンダラジュ氏は、「ログイン・ウィンドウを注意して見てほしい。通常のものとは大きく異なっているはずだ。特に、表示されているハイパーリンクやオプションが機能していないので違和感を覚えるだろう」と語っている。

　Skypeについては、ウェブセンスから詐欺行為に関する警告も出ている。これは、インスタント・メッセージによるスパムで、受信者のPCが複数のマルウェアに感染していることを警告する文面になっている。「Scan Alert」と名乗るユーザーから送信され、リンクをクリックしてパッチをダウンロードするよう促す内容だが、もちろん、このパッチは偽物だ。

　リンク先のWebサイトには、PCが悪意のあるコードに感染しており、19.95ドルを支払って「Windows Software Patch -- Scan＆Repair」と呼ばれるものを導入するよう勧めるダイアログが表示される。

　ウェブセンスのWebサイトに掲載された警告によると、この詐欺には、3重の脅威があるという。同社は、「これは、Skypeで増殖しているスパムの一例だ。このマルウェアの作者は、ソーシャル・エンジニアリング的な手法を駆使したうえで、マルウェアの送信のために正規のソフトを装い、そしてユーザーから直接お金をだまし取ろうと試みている」と注意を促している。

(グレッグ・カイザー／Computerworld オンライン米国版)