ユーザーをだまして偽サイトに誘導するトロイの木馬「Qhost」が2015年7月末に急激に世界中で検出された。これまで10年以上活動が続いていた形跡はあったものの、なぜ急に増えたのか、その原因を明らかにする。

「Win32/Qhost」という名称を持つマルウェアが2015年7月に急増した。ユーザーが目的のWebサイトにアクセスしようとすると、攻撃者が用意したIPアドレスへと勝手に変えられてしまい、偽サイトへと誘導させられるトロイの木馬である。その結果、最も被害が多いのは、ユーザーのパスワードが盗まれることだった。

なぜ「Qhost」は突然、活発な動きを見せたのだろうか。最初に「Qhost」がこの世に現れたのは、2005年2月3日である。このときESETによって検知されて以来、すでに10年以上活動が続いてきた。つまり、攻撃者側がよく利用する「定番」のようなマルウェアである。

これまでもしばしば顕著な活動を行うことがあったものの、2015年7月28日は前例のないほど激しく上昇し、その日のマルウェア活動（世界中における）のうちの23.64％をも占めた。

Win32/Qhostの活動履歴（世界、ESET調べ）

もちろん国内においても同様の傾向が見られ、7月全体でも約8%を占めるに至った。

Win32/Qhostの活動履歴（国内、ESET調べ）

しかも、そのまま上昇することなく、一気に収束した。8月、9月には今まで通りの推移に戻り、マルウェア全体の1%前後の割合となっている。

このマルウェアはどういった使われ方をして、このような奇妙な活動経歴を残すことになったのだろうか。

急増の理由

「Win32/Qhost」はトロイの木馬に属するため、ウイルスと異なり増殖することはない。感染したパソコンから他のパソコンへとプログラムが増殖するのではなく、Webサイトの閲覧（HTMLファイルの実行）によって不正プログラムが起動し、DNS設定やhostsファイルを変更するものである。

hostsファイルは、インターネットにアクセスするアプリケーションがドメイン名からIPアドレスを割り出す際に最初に参照するアドレス変換テーブルである。これを悪用してWeb ブラウザーなどによる接続先サイトを別のものにすり替えさせるのである。

世界中で数多くの「Win32/Qhost」がわずか1日の間に活動をしたということは、仕掛けられたWebサイトを閲覧した人数が膨大な数に上ったと考えられる。

また、これまでの10年間のデータの分析から、以下のような特性を指摘することができる。

１）Internet Explorerの脆弱性が利用された
２）Googleなどの検索エンジンの偽物にリダイレクトされた
３）Google の広告表示システムが悪用された

なお、「Win32/Qhost」にはさまざまな亜種がある。代表的な亜種だけでも以下のものがある。

Win32/Qhostの代表的な亜種

ファーミング攻撃

フィッシング詐欺は主にスパムメールを無差別に送り付けてその本文にあるURLリンクをユーザーがクリックすると不正サイトに誘導されるが、「Win32/Qhost」では、いわゆる「ファーミング」（Pharming）と呼ばれる手法が用いられていると考えられる。

ファーミングの場合、不正なスクリプトを埋め込んだ罠（わな）のサイトに自発的にユーザーがやって来るのを待っているのである。

被害

「Win32/Qhost」の攻撃による被害は大きく分けると二つある。

１）偽サイトへの誘導
DNSサーバーの情報が書き換えられた結果、ユーザーが問い合わせたドメイン名に対して偽のアドレスが返ってくる。つまり、いつも利用しているWebサイトを閲覧しようとしても、攻撃者が用意した偽サイトに誘導される。

２）個人情報の窃取
オンラインバンキングやネット通販に見せかけた偽サイトにユーザーが誤ってクレジットカードの情報を書き込んでしまうと、攻撃者にそうした情報が漏出する。

対策

いつもよく使うサイトは「お気に入り」などに登録しておきアクセスすることで、多くの場合は防ぐことができる。

不審な場合は、ドメイン名をチェックしたり、通信プロトコルがHTTPSになっているかどうか、鍵マークがあるかどうか、鍵マークの後に企業名が表示されているかどうか、さらには鍵マークをクリックして表示される証明書に怪しいところがないかどうか、などを確かめる。

なお、「Win32/Qhost」のような攻撃は、「フィッシング対策」を機能として含んでいるウイルス対策ソフトを正しく利用していれば防御される可能性が高い。