Semplice - ワンクリック詐欺、ワンクリウェアなるもの

ワンクリウェア（One-click ware, Oneclick ware）の解説

　ワンクリック詐欺と言えば、携帯電話で見知らぬ方からメールが送られ、それを閲覧し参照したらばアダルトサイトで、なる話が有名なんだけど。今回のお題は携帯電話で閲覧できるサイトではなく、パソコンでの話である。
　そしてここでは限定的に、あるファイルをパソコンにてダウンロード・実行したらば何らかのマルウェアに感染し、金銭の支払いを強要されるとの事例を扱う。これを「ワンクリウェア」とこの場にては称する。
　（正直な話として、自分は携帯電話は不要と考えているため保有しておらず。そのため携帯電話での事例は感覚的なものが備わっておらず判断ができない）

　ワンクリウェアの語源はabcdefさんなる方がネット上で最初に利用したとの説があるものの、本人に突撃取材したらば初利用とされる時期が微妙に合わず。このような単語の語源や用法には興味がありますが、とりあえず今回のリサーチでは「語源」は見つけられませんでした。
　恐らくはワンクリック詐欺、及びソフトウェアなる用語を結びつけて作成された造語なんでしょう、ワンクリウェアは。

　さて、ワンクリウェアについて簡単に説明するのだが、その前に。
　多分Lucaさんがアレコレと書くよりも、この問題について積極的に取り組み成果を上げているサイトがあるので、まずは以下の2つのサイトを閲覧してもらいたい。なおネット詐欺相談室は現在更新停止中ではあるが、過去ログは閲覧可能である（再開した）。
　abcdefのワンクリウェア試験記録
　ネット詐欺相談室

　どこかのアダルトコンテンツを含むサイトにて、「動画はこちら」とか「もっと画像が欲しい？」などの文面に惹かれ、リンクを踏んだとする。それがaviファイルやmpegファイルと思いきや、それが実行形式ファイル（exeなど）また時には二重拡張子（例：adult.avi.exeやpic.mpeg.exeなど）であり。動画と思い込んで開いたファイルにより悪質なマルウェアに感染する事例が近年多数発生している。
　このような場合において、怪しいアダルト業者のサイトよりダウンロードした実行形式ファイルを、「ワンクリウェア」と称する。
　具体的な症例として、OSを起動するたび、また何かの操作のたびに「金払えー、契約したんだから金を振り込めー」としつこく何度もポップアップ表示が出るなどだ。

　そのような極めて低次元のソーシャル的なテクニックによりワンクリウェアをインストールさせる事例が大多数のように思われる。面白いものですな。
　不思議な話なのだが、過去に日本国内の悪質業者が活躍した強制架電（国際電話ダイヤルQ2にダイヤルアップ接続の接続先を変更させる罠）ではRedlofで使われたMS00-075のExploitを用いて、脆弱性を解決していないバージョンのInternet Exploreｒを用いて閲覧したユーザーに強制的に実行ファイルを踏ませシステムの設定を改変する事例が多数あったものの。このワンクリウェアにては、そのようなExploitを利用した強制的インストールの事例はほぼ皆無である。
　（これは踏んだサイトの数が十分でなかった可能性もあるのだが）

　これらワンクリウェアは、感染してもそれほど凝った仕組みの改変は行わない傾向があるようだ。例外としてウォッチャー（Watcher）タイプのものが存在し、複数のプロセスが相互監視しており駆除がやや難しいものが存在する。
　（もちろんこれも、自分が踏んでテストしたサイトの数が十分でなかったし、また見落としている可能性を否定はしない）

　特定サイトへの接続を妨害（2006年2月追記事項）
　アンチウイルスソフトメーカーへの接続を妨害するワンクリウェア感染例を発見した。システムの復元機能により修復できたようなので、hostsファイルによるものではないようだ。
　ワンクリウェア以外のマルウェアに感染していた可能性は否定できないが、全く関わりの無い方のブログに掲載されていたその方の知人のパソコンでの話であったため、詳細情報の入手は断念した。

　またワンクリウェアの特徴として、更新のスピードが極めて早い悪質サイトが多いのも興味深い点だ。
　つまりあるアンチウイルスソフトにて対応できたとしても、その直後に更新版のワンクリウェアが配布され、そしてアンチウイルスソフトのシグネチャファイルにては検出できなくなる事例が多発している。どうもパッカーか何かで元々のexeを処理してるような感じなんだけど、自分は職業的プログラマーぢゃないし詳しく解析するのは無理だったりする（所謂ノースキルね）。
　シグネチャによる対応のみではなく、ヒューリスティックスキャンでかなり対応しているソフトとしてはNOD32が善戦しているとのレポートを前述のabcdefのワンクリウェア試験記録にて閲覧しましたが。
　これに対してはabcdefさんがアンチウイルスソフトメーカーに積極的に検体を提出し対応を迫る、草の根的運動を行っている。もしも興味深い事例を発見したならば、是非とも協力し支援していただきたいと、Semplice読者の方々にはこの場にてお願いします。

　と言いますかアンチウイルスソフトは、二重拡張子やまたexeファイルのアイコン画像がaviやmpegの場合には警告したって、いいんぢゃないのかと不満を覚えたり。これらはいずれも「まともなファイル」である事例はほぼ皆無だろうし、サクッと検出してもいいような気がする。

ワンクリウェアの感染様式について

　何故にこのような「騙しテク」に依存し、Internet Explorerの脆弱性を利用した強制的にインストールするようなテクニックを用いないのかが、長らく引っかかっていたのだ。
　ある日ふっと気付いたのだが、それはこのようなユーザーの誤解なり理解不足に付け込み金銭を要求するような詐欺においては、強制インストールは必要が無い・もしくは不適切なのではなかろうか。
　強制架電詐欺、これはユーザーに気付かれないようひっそりと行う必要があった。後日数万円から数十万円単位の情報料を請求するまでに、時間を稼ぐためである。そして海外との国際電話サービスなどとの契約の関係で、この支払いを拒絶するのは難しかったようだ。

　ワンクリウェアの場合、法的にはこれはまともな契約とは言いづらいのは確かなのだが。
　悪質業者が求めるのは金銭であり、これを得るためにはカモに対して何らかの形で罪悪感とか「そう言えばこのような操作を行った」との認識を与えるのは必須である。
　「そう言われればどこそこのサイトにて自分が何かを開いて、それから支払いを要求されたんだよな」、との被害者（カモ）による明瞭な認識が生じなければ、銀行口座への振込みにより完成するビジネスモデルは成立しないのだ。
　強制的・無断インストールであれば、被害者は当然警戒するだろう。だがユーザーの自発的行為の結果だと思いこませられれば、支払い率は相応に向上すると期待される。

　要するに、被害者には「そう言えば自発的にこのような操作を行った、それが契約なのだろう、だから金銭を支払わなければならないのだな」とのあきらめ感を感じさせる必要性があるのだろう。

　一部の海外業者が現在行っている悪質的マーケティングにより、ブラウザハイジャッカーに感染したユーザーのパソコンが完全にジャックされ、あらゆる種類のマルウェアに感染するような事例は多数見かけるのだが。それらが行うような強制的無断インストールによるマルウェアの強制インストール、つまり「ユーザーに責任を感じさせない（そして被害者意識をまず感じさせる）」ような手法は、銀行口座への振込みやクレジットカードよりの支払いへの成功率を下げるだけである。

ワンクリウェア配布者とその実態

ワンクリ詐欺は組織犯罪

　これらワンクリック詐欺を行っている業者は、どうもLucaさんの私的な感覚的なものでは、以前不正架電詐欺トラップをWeb上でやっていた業者と同一のような気がする。というのは、某ワンクリウェアのアダルトサイト業者が使う画像、これのカメラマンは過去に相当数の被害者を出した某サイトのカメラマンと同一人物のような気がするのだ。
　またサイトの構成などが劇似とか。
　（これらはあくまでも、個人的な「感想」や「思い込み」に過ぎないのだが）

　いずれにしてもこのワンクリウェアは国内初の悪質アダルトサイト運営者によるトラップではない点は、心に留めてもらいたい。
　以前より「日本発のウイルスは皆無だ、それは日本人の倫理観の高さによるものだ」的な記事を何度か拝見したんだけど。何でもアリな分野では、そうでもないのだな。

　さて、ワンクリウェアや不正な詐欺的請求についての代表的ニュースを幾つか眺めてみよう。

　ホームページの画面を１回クリックさせて登録料などを請求する「ワンクリック詐欺」を繰り返していたとして、大阪府警は、男女５人を組織的犯罪処罰法違反（恐喝）容疑などで逮捕し、主犯格の男１人を同容疑で指名手配した。「振り込め詐欺」の一つであるワンクリック詐欺が摘発されたのは全国初。「社長」と呼ばれる男が約５０人の「社員」を統括して「支店」を開かせ、携帯電話のアダルトサイトを利用した１２都道府県の数千人から約６億６０００万円を振り込ませていたという。
　指名手配されたのは、アダルトサイト制作会社長、中西俊昭容疑者（４０）＝大阪府松原市。逮捕されたのは男４人と女１人で、岩阪達也容疑者（４０）＝兵庫県西宮市＝のほかはいずれも２０代。
　捜査２課の調べでは、中西容疑者らは１月、携帯電話のアダルトサイトを見た兵庫県内の６０代の男性に対し、「登録申込金と解約手数料を支払わないと家族や会社に見たことが知られる」などと電話で脅し、指定した銀行口座に約１１０万円を振り込ませた疑い。中西容疑者らは昨年末、別の会社が運営する携帯電話のアダルトサイトの利用料を徴収する業務を請け負っていた。
　このサイトは携帯画面上を１回クリックしただけで「会員登録」のメッセージが表示され、自分の電話番号を通知しないと退会手続きができないシステムになっている。中西容疑者らは、通知された番号に何度も電話をかけ、閲覧者に振り込みを迫っていたという。
　岩阪容疑者が「部長」、残り４人は「社員」などと呼ばれ、中西、岩阪両容疑者が直轄する「直営店」と、それ以外の「支店」は計８店あった。府警が、指定された複数の銀行口座を確認したところ、約６億６０００万円の振り込みがあったという。これらの口座の大半は架空名義だった。

　「ワンクリック詐欺を摘発　大阪府警、１２都道府県に被害（2005年4月13日）（http://www.asahi.com/digital/internet/OSK200504120068.html）」

　また、これなど。
　著名ネットジャーナリストが「ワンクリック詐欺」で逮捕。
　えっ！？あの本の著者がワンクリック詐欺師！
　「解除」しても入会させられる仮登録催促型ワンクリック詐欺
　ネットトラブルコンサルタント、裏では詐欺集団のボスだった！
　京都府警と岡山県警、ワンクリック詐欺でソフト開発業者を逮捕

　このワンクリウェアによるアダルトサイトトラップは、組織犯罪なのだな。それはほぼ同種のトラップが乱立し時には同一業者が運用していると考えられるトラップ付きサイトが複数存在している点で示唆されるのだが。
　具体的には表示される内容の類似性、使われているワンクリウェアの類似性や「個性」など）

　日本の警察、これは割とこのような分野では「鈍い」ような気がする。かつてLucaさんはこの手の悪質アダルトサイトをリストアップしあちらこちらの県警や団体に通報したものの、全くかけあってもらえず門前払いを喰らった経験がある。

　今後ウイルス作成罪とか意味不明な法律が施行されたらば、またはされなくてもですね。
　これらワンクリサイトなる悪質業者は詐欺であるのは間違い無いのだし、とりあえずバンバンと取り締まってもいいような気がするんですが。またいっそ猥褻図書配布とかで網をかけてとか。
　自分は法律って全くわからないんですがね。
　実際に被害に遭った方からの訴状が届かなければ、対応されないものなんですかね、警察って。

アダルトサイトの悪質な宣伝

　いつ頃より始まったのか、詳細にはわからないんですが。アダルトサイト運営者がサイトを宣伝するに当ってネット上での掲示板やBlogを利用するケースが近年多発している。
　ワンクリウェアを配布するワンクリサイトでも、この手の手法により宣伝される事例が多数あるのだが。
　実際に見つけた事例を幾つか紹介する。

1. 自動書き込みツールによる宣伝
   
   
   
   • 同一の文書を電子掲示板（例としてメガビや2ch）に自動投稿する
     
   • Blogへのコメントスパム、トラックバックスパム
     
   
   
2. バイトによる手動書き込み
   
   
   
   • 同一の文書をただ書きこむだけ
     
   • 前後の文章を踏まえて、極力不自然ではないような形で書きこむ。一例としてSMのサイトにて「ここまで激しいプレイはどうこう」と、一般の参加者による情報提供や書き込みを装った宣伝
     
   • 一応断っておくが、LucaさんはSMとかそういうのは興味が無い。
     
   
   
3. 実在の女性であるよう装ったブログやWebサイトへの誘導
   
   
   
   • これらは極めて巧妙であり、一般的な普通のユーザーであるように装い宣伝する。
     
   • ワンクリウェアの例ではないが、unknown-userさんがこれらの実態についてレポートしている。業者が設定した「個人のブログ」を実在の人物によるものと錯覚させ、そこで推奨されている出会い系サイトに登録するよう誘導するなど。
     
   
   

　そこまでして宣伝したいのかねぇ。。。。。。。。しみじみとうっすら背筋が寒いし、また人間として激しく軽蔑しますよ、はい。
　妻子やご近所には、自身の職業をどう説明してるんですかね。

ワンクリック詐欺セットはネット上にて販売されているのか？

　「オレオレ詐欺」とか「スパム用メールアドレス収集ソフト及び自動書き込みツール」などは、昨年の時点ではネット上にてはメチャクチャ溢れており。Google検索したり怪しいサイトを辿れば容易に宣伝もしくはこれを販売するサイトが発見できた。
　ところが近年、マスコミの報道にてこれらの怪しいサイトや業者の存在が披露されたためか、これらは急速に陰を潜め・また発見できないよう深く潜行しているような気がする。
　ワンクリ詐欺業者が「ワンクリ詐欺用パック」などを販売していないかと興味を持ち、かなり時間をかけて探したのだが。とうとう発見できなかった。

　蛇足だが、スパム送信業者によるメールアドレス収集ソフト、これは複数の製品が未だネット上にて宣伝されているのだな。海外ではWeb上の書き込みよりメールアドレスを収集するような作業は違法行為となる地域もあるようなんだけど、日本国内ではこれらは違法行為ではないのだ。
　だからなのか、これは例外として「まともな企業を装って」宣伝されているらしい。

Acknowledge and Appendix

　2005年（平成17年）はもうすぐ終わりで、本日は大晦日。
　Lucaさんは特定のネタに関して、これだけゴタゴタと騒動に巻き込まれた経験はありません。
　取材？をするうちに諸般の嫌がらせのようなものもあり（業者よりではなく、セキュリティ万歳な立ち位置の方）。また変な方より「自分の業績稼ぎを邪魔するな」と電波な要求PMを送りつけられ、対応には大変難儀しました。
　この2ヶ月間は多少精神的にナーバスになっていたような気がしまして。心配していただいた方々には、この場にて深くお詫び申し上げ、また感謝いたします。
　（そのような理由にて、本来はExcelにて書いていた原稿は300行あったものの、大変コンパクトなものとなりました）

　abcdefさん、イカさんには様々なアドバイスをいただきました。
　助次さんは誤解や齟齬がありましたが、大変お世話になりました。
　yassyさんにはこれらワンクリサイトに関する状況を紹介していただき、ありがとうございました。
　Sakaiさんからは、様々なゴタゴタでメゲつつあった自分をフォローしていただきました。
　その他ここでは名前を出しませんが、Lucaさんの好奇心に親切に対応していただきアドバイスしていただいた方々に、心より感謝いたします。

関連記事

　悪質業者による不正請求と小額訴訟