素人スパマーが相手のPCにログインしてMicrosoft Officeをインストールしていく事案が発生

By Summer

ハッカーによってユーザーのPCが乗っ取られ、金銭を要求されるなどのサイバー犯罪が世界中で発生しているなか、IT関連メディアのArs Technicaが遭遇したサイバー犯罪は、ユーザーのPCを操作してMicrosoft Officeをきちんとインストールしてから金銭を要求するという少し変わった事例になっています。

The spammer who logged into my PC and installed Microsoft Office | Ars Technica
http://arstechnica.com/information-technology/2016/05/the-spammer-who-logged-into-my-pc-and-installed-microsoft-office/

ことの始まりは、「Microsoft Office 2010をインストールしようとしてくるスパマーがいる」というArs Technicaの読者からの報告です。読者が送ってきたテキストメッセージのスクリーンショットには、スパマーが「Microsoft Office 2010が欲しいですか？リモート操作であなたのPCにインストールできます」という誘い文句が写っています。スパマーはこのメッセージをYahoo！のメールから送ってきたとのことです。

読者からの報告を受けたArs Technicaは、Itman Kooolという名前のスパマーに「Microsoft Office 2010を無料で入手できるというあなたからのメッセージを受け取りました。どうすればいいですか？」とメールしたところ、以下のように会話が進められました、

Itman Koool：インストールには30ドル(約3300円)かかります。インストール後に支払う形で問題ないです。
Ars：安いですね。何をすればいいですか？
Itman Koool：PCを開いてgoogle.comに行って「TeamViewer」と検索してそのソフトウェアをダウンロードしてください。
Ars：TeamViewerをダウンロードしました。次は何をすればいいですか？
Itman Koool：私にTeamViewerのIDとパスワードを教えてください。

Itman KooolがインストールさせたTeamViewerは、PCのリモートコントロールに使われるソフトウェアです。ArsはリモートコントロールでPCを乗っ取られないために、仮想マシンに最新版までアップデートしたWindows 7をインストールし、さらにアンチウイルスソフトウェアをインストール。これで、もしItman KooolがPCのシステムをウイルスに感染させたとしても、仮想マシンを消去してWindows 7を再インストールするだけで被害は最小限に収まります。また、マイドキュメント直下に「passwords」というフェイクのフォルダを作成し、Itman Kooolがパスワードを盗もうとしているかの確認をとることに。

全ての準備が済み、Itman KooolにTeamViewerのIDとパスワードを送信。その後の会話のやり取りは以下の通りです。

Ars：今何をしていますか？
Itman Koool：今からMicrosoft Office 2010をインストールするところです。
Ars：あなたはMicrosoftで働いているのですか？
Itman Koool：いいえ、違います。
Itman Koool：いくら払ってくれますか？
Ars：30ドルって言っていましたよね？
Itman Koool：そうです。

この会話の最中に、Itman KooolはArsのPCをリモート操作してChromeを開き、自分のYahoo！のアカウントにログイン。メールの受信ボックスには、PayPalからの振り込みの確認メールや、「これは誰ですか？」「やめてください」といったスパムメールを受け取ったユーザーからのメールが並んでいたとのこと。Itman Kooolは1通のメールを開いて、メール内のリンクからファイル転送サービスのWeTransferを開き、654MBの「OFFICE2010.zip」というファイルをダウンロードしました。

ファイルをダウンロードしている間に、Arsが「どうやって送信相手の電話番号を入手したのか？」と聞くと、Itman Kooolは「局番の下に最後の4桁を生成して付けているだけ」と回答。ファイルのダウンロードは数分で終わり、Itman Kooolは「office2010proplussetup」「office2010proplusactivate」という2つのアプリケーションと「office2010propluskey」というドキュメントが入った「office2010proplusfiles」を開きました。ここでMicrosoft Security Essentialsが、「あなたのプライバシーやPCに被害を与える潜在的な脅威を発見しました。このファイルへのアクセスはあなたがアクションをとるまで停止される可能性があります」という警告を発します。

Microsoft Security Essentialsの警告に対して「心配する必要はありません」とするItman Kooolは、Windowsファイアーウォールの設定を変更してインストーラーの起動を許可し、「Microsoft Office Professional Plus 2010」のインストールを開始。このときにItman Kooolはインストール済みのプログラムリストをチェックしていて、リストには仮想マシンを使っていることを示す「VMware Tools」が入っていたのですが、気づかれずに済んだそうです。

Microsoft Office Professional Plus 2010のインストールを完了させるために、「office2010propluskey」というドキュメントファイルから一時的なライセンスキーをコピー。インストール完了後、Itman Kooolは「office2010proplusactivate」を開いてライセンスキー生成プログラムを使って、Microsoft Office Professional Plus 2010を最低でも6カ月は使用可能な状態にしたとのこと。

その後、ExcelやWordを起動してきちんと動くことを説明したItman Kooolは、ArsにPayPalを通して30ドルを支払うよう要求。Arsは「もし料金を払わなかったらItman Kooolがリモートコントロールで自分のPCに悪さをするのではなかろうか」と考え、料金支払いを拒否した上でTeamViewerを起動したままPCを2時間放置しました。

しかし、2時間放置しても何も起こらず、TeamViewerを終了しアンチウイルスソフトウェアでPCを検索してもウイルスは一切見つからず。ただし、インストールされたMicrosoft Office Professional Plus 2010は正常に動作したとのこと。また、Itman Kooolはフェイクで仕掛けた「passwords」フォルダに見向きもしなかったそうです。

Arsは、すぐにMicrosoft Office Professional Plus 2010をアンインストールしました。その後、Itman Kooolからの連絡は一切なかったそうです。

Arsの記事には「このスパマーは明らかに素人だ」というコメントが投稿されています。