「Fireball」と呼ばれる中国のブラウザハイジャックマルウェアが2億5000万台のコンピューターに感染した。
セキュリティ企業Check Pointは、このマルウェアがウェブブラウザを乗っ取り、ゾンビ化させると警告しています。Fireballは感染したマシン上であらゆるコードを実行でき、認証情報の窃取から不正なソフトウェアのダウンロードまで、多岐にわたる活動を引き起こします。
現在、Fireballは広告を強化するためにプラグインや追加設定をインストールしますが、他のマルウェアの主要な配布元となる可能性も容易にあります。アドウェアモードでは、Fireballは感染したユーザーのウェブトラフィックを乗っ取り、操作して広告収入を得ます。
Fireballは主に「バンドル」によって拡散します。これは、ユーザーがダウンロードしたいプログラムと一緒に、ユーザーの同意なしにインストールされることを意味します。感染の大部分はインド、ブラジル、メキシコで発生していますが、米国でも550万件以上の感染が確認されています。
Fireball の感染フロー [出典: Check Point のブログ投稿]
研究者によると、このマルウェアは広範囲に拡散し、企業ネットワークにも影響を与えているという。Fireballは世界中で2億5000万台以上のコンピュータに感染しており、その20%が企業ネットワークで発生している。欧米の企業ネットワークは、依然として複数の感染事例が確認されているものの、比較的健全な状態にあるように見える(インドネシア、インド、ブラジルが最も大きな被害を受けている)。
チェック・ポイントのデータによると、英国の企業ネットワークの9.3%に、Fireballアドウェアがインストールされているマシンが少なくとも1台存在しており、これは米国と同率です。一方、ドイツの企業ネットワークではFireballに感染したマシンが9.75%、フランスでは18%に存在しています。
感染率が驚くほど高いことを示すもう一つの指標は、中国のデジタルマーケティング会社Rafotechが運営する偽検索エンジンの人気だ。Alexaのウェブトラフィックデータによると、これらの怪しいページのうち14ページが上位1万ウェブサイトにランクインしている。
Check Pointは、Rafotechが潜在的に迷惑なアプリケーション(PUP)を配布していると主張しています。El Regは、ウェブサイトからメッセージを送信し、Rafotechにこの主張についてコメントを求めましたが、まだ返答はありません。詳細が判明次第、この記事を更新いたします。
研究者たちは北京に拠点を置く企業のビジネス慣行を批判している。
Rafotechは、アドウェアの配布はマルウェアの配布のように犯罪とはみなされないことを認識し、合法性の境界線を慎重に歩んでいます。多くの企業はソフトウェアやサービスを無料で提供し、データ収集や広告の表示で利益を得ています。顧客がコンピュータへの追加機能やソフトウェアのインストールに同意してしまうと、プロバイダー側に悪意があると主張することは困難です。
幸いなことに、駆除は非常に簡単です。Fireballは、Windowsのコントロールパネルの「プログラムと機能」リストから、またはMacの場合はアプリケーションフォルダにあるMac Finder機能を使用して、アドウェアをアンインストールすることで、PCから削除できます。「ユーザーは、ブラウザから悪質なアドオン、拡張機能、またはプラグインも削除する必要があります」とCheck Pointはさらにアドバイスしています。
Fireball の詳細と除去方法については、こちらをご覧ください。®
