セキュリティ企業のトレンドマイクロは2009年4月7日、新たな手口のワンクリック詐欺が出回っているとして注意を呼びかけた。HTA形式(HTMLアプリケーション形式)のウイルスを使って、アダルト動画や料金請求画面を表示することが特徴。

 ワンクリック詐欺サイトの中には、動画ファイルなどに見せかけてウイルスを置いているところがある。だまされて実行すると、ウイルスに感染。ウイルスは画面上に料金請求画面などを絶えず表示して、パソコンを著しく使いづらくし、料金を支払わせようとする。こういったウイルスは「ワンクリックウエア(ワンクリウエア)」などと呼ばれる。

 通常、ワンクリックウエアは実行形式ファイル(拡張子はexeやscrなど)。しかし、今回同社が報告した事例では、HTA形式のワンクリックウエアを使っている。HTAとは、HTMLで記述したアプリケーション(プログラム)のこと。HTAは「HTML Application」の略で、拡張子は「hta」。

 一般的に、HTMLはWebページなどを作成するための言語であるが、スクリプトを組み込んだり、外部のプログラムを呼び出したりすることで、実行形式ファイルと同様にさまざまな動作が可能となる。

 今回報告されたワンクリック詐欺サイトでは、動画ファイルに見せかけて、HTA形式のワンクリックウエアを実行させようとする。ダウンロード時や実行時には、実行形式ファイルの場合と同様に警告ダイアログが表示されるものの、実行形式よりもユーザーは警戒しないだろうという。加えて詐欺サイトには、警告を無視して「実行」をクリックするよう勧める「動画再生手順」が記載されている(図1)。

 今回のワンクリックウエアを実行すると、パソコン画面の中央にはメディアプレイヤーのようなウインドウが表示され、詐欺サイトに置かれたアダルト動画が繰り返し再生される(図2)。このウインドウは、マウスで移動できないように設定されている。

 ウインドウには、タイトルバーと閉じるボタン(右上の「×ボタン」)が表示されているが、いずれも偽物。動画ウインドウを消そうと思って閉じるボタンを押すと、「有料アダルトサイトへご入会ありがとうございます!」と記載された、料金請求画面が表示される。

 実行されたワンクリックウエアはレジストリも改変。Windowsが起動されるたびに特定のスクリプトを実行して、前述のようなアダルト動画が表示されるようにする。

 このとき実行されるスクリプトは、インターネット上の特定サイトに置かれている。通常、スクリプトをダウンロードして実行する際にはセキュリティ警告が表示されるが、このワンクリックウエアは、Windowsのシステムファイル「mshta.exe」を利用するため、警告なしで実行される。

 同社スタッフは、今回のワンクリックウエアの特徴として、「EXEファイルより警戒するユーザが少ないと思われるHTAファイルを使っている」「mshta.exeを利用し、警告を出すことなくスクリプトコードを実行させている」などを挙げ、「ワンクリック詐欺として非常に悪質な新手法が既に確立されていることが分かります」とコメントしている。