インチキ・詐欺的なセキュリティ対策・ウイルス対策・スパイウェア対策ソフトウェア配布の現状(2006年11月)
インチキソフト・偽セキュリティソフト・ミスリーディング・アプリケーション(Symantec社の用語)、Bogus ware・Rogue Wareは海外では活発に議論が行われている、そう、大体3年ほど前にはとっくに。
日本国内ではかなり遅れた感がある。国内にても幾つかのコミュニティ上で単発的に議論はされていたものの、マニア向けのマイナーな話題の域を超えなかった。
何故かって?
日本人をターゲッティングした騙しの手口はほぼ皆無であり、突然の英語表示に拒否感を示すユーザー層が大多数な現状では、「感染例」は極めて散発的に過ぎなかったからだ。
例えば悪質なアドウェアが「Your computer is infected!」なんて表示をちらつかせても、日本人は信用しないだろう。
日本人を対象とした騙し・詐欺的警告の誕生
安穏とした状況を一変させたのは、閲覧したサイト上に日本語の警告ダイアログを表示し消費者を騙し、WinFixerの導入を強要する手口が出現した、2006年初め頃からだ。
(以前日本語のダイアログを押したらばドカンみたいな経験はあったが、詐欺的セキュリティ対策ソフトウェア購入を促すようなものではなかった)
(WinFixerやWinAntiVirusProなどは製造元・配布元が同一と考えられるため、一連のソフトウェアを「WinFixer Family」とこの場では呼称する。)
WinFixer Familyの広告は関与する中間業者(広告代理店等)により、接続元が日本国内であれば英語表記の詐欺ダイアログを日本語表記ダイアログに入れ替えたため、海外サイトを閲覧した多くの日本人が騙されるのではと大変な危機感を感じたのだよ。
WinFixer2005による脅迫は自作自演(2006年1月21日)(Semplice)
しかしながら何故かこのWinFixerは、不思議なほど被害者が生じなかった。主たる理由としては十分な数のサイトに騙し広告が掲載されなかったからだろうか。
2006年4月(恐らく6日)以降、ブラックウォームなるマルウェアに感染していると虚偽の警告を表示し導入を強要する手口が、ネット上に急速に広まる(ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法('2006年04月15日)(Semplice))
またしばらく間を置いてWinFixer Family配布者らは、日本人が運営するブログやBBSを対象とし、コメントスパムやトラックバックスパムにより騙しサイトを凄まじい勢いで宣伝した。
英語表記のコメントやトラックバックならば、誰もが警戒しただろう。だが一部は日本語により投稿されたため、多くの日本人消費者が騙された。
2006年5月2日、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) はコンピュータウイルス・不正アクセスの届出状況[4月分]について(IPA)にて初めてこのような詐欺的商法の存在に注意を促した。
それ以後、あちらこちらのニュースポータルサイトやセキュリティ対策企業が雨後のタケノコのようにこの問題を取り上げ、やっと相応に「一般的な話題」となったのだ。
ブラックウォーム関連のブログエントリを掲載した直後よりSempliceには数百件の検索エンジン経由アクセスがあったが、どんどん急増し、ピーク時には2-3万件/dayものアクセスがあったが、今では沈静化している。
自分はブログを運営するに当って「被害者よりのアクセス数がゼロになる日の到来」を本当に・心の底から望んでいる。
だがその日が訪れるのは、まだまだ先のようだ。
無料のツールバーを削除する方法
検索エンジンの広告に潜む、インチキソフトウェア
2005年頃よりGooleにてスパイウェア(Spyware)などを検索すると、Googleアドワーズ広告(Google AdWords ads )により詐欺ソフトや何かのマルウェアに感染した際に強制的にインストールされる不審ソフトウェアの広告が掲載されるようになっていた。
またPal Spyware Removerなるいかなるマルウェアに感染していなかったとしても虚偽の警告を表示するソフトは、ソフトウェアの名称をGoogle検索すると堂々と、「スポンサー」として表示された。
Googleの広告に潜む、マルウェア配布者による広告(2006年3月22日)(Semplice)にて紹介したように、検索結果の右カラムに怪しい販売業者の広告が表示されるのだ。
海外では2004年頃には相応に問題とされており、Benjamin Edelman氏らはこの手のインチキソフトウェア配布サイトに限らず、多くの危険な・詐欺的なサイトがGoogle検索時に検索上位となり、なおかつスポンサードリンクとして含まれるとレポートした。
だが不思議な話として、日本国内の質問掲示板などを幾つか巡回はしていたものの、検索エンジンの検索結果より「インチキソフトウェアに感染した」との事例はほぼ皆無である。
理由は広告のタイトルが英語表記であり、なおかつリンク先の内容も英語だったためと考えられる。
2006年11月現在、Googleよりは多くのいかがわしい広告主が消された、と思いきや。
マイナーキーワード、一例として何かのマルウェアやインチキソフトウェアの名称でGoogle検索すると、幾つかのいかがわしい広告が未だ表示されている。
他のマルウェア経由による導入
ブラウザハイジャッカー系マルウェアによる強制的サイト表示にて導入を強要される事例や、アドウェア系によりパソコン利用中に変なポップアップ表示がデスクトップに出て感染してもいないのに警告される事例は相変わらず多い。
ダウンローダー系マルウェアにより全く意図せずにいつの間にか導入される事例は、2005年頃よりじんわりと増している。
風変わりな事例として、動画を再生するためのCodecを装いダウンローダー系マルウェアを導入させ、その後複数のマルウェアと共にいかがわしいスパイウェア対策ソフトを導入させるケースもある。
(不審なアンチスパイウェアソフトと、ZlobとCodec(コーデック)の関係(2006年4月8日)(Semplice))
「インチキソフトウェアをアンインストーラーを利用しアンインストールしてしまえば、後はOK」との不適切な解説・回答が、国内のスパイウェア対策専門サイトを中心として広まっている問題については、注意を促したい。
複雑な経路よりの複合感染での事例が多い現状では、「詐欺バナーをク� ��ックしたらば不審なサイトに辿りつき、手動でインストールした」ような事例ではその他のリスクは少ないやもしれないが、多くのBogus ware感染事例にては信頼できる対策ソフトウェアを利用したシステムのフルスキャンを行う必要があるだろう。
Bogus Ware・Bogus Anti-Spyware Soft・Bogus Spyware Removal Soft・Rogue Ware
以前より何度か、この手の悪質なBogus Anti-Spyware Soft(インチキなスパイウェア対策ソフト)やRogue Ware(悪党ソフト)など不審なソフトウェアを試しておりますが。
どうしても判断がつかない部分があり、悩ましいのです。
これは実際にはまともには機能しておらず、その検出結果が業者により意図的に虚偽のレポートであるような、怪しいアンチスパイウェアソフトなどを指します。
これらを追求する著名なサイトとしてThe Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites()などがありますが、日本国内での認知度はそれほど高くはないようで。
急流のindesentの執着
何故にこのようなインチキなソフトが存在するのかと、頭をひねる方も居るとは思われますが。Bogus Wareの製造・配布・販売業者はユーザーに体験版を利用させ、存在しないマルウェアなりスパイウェアを検出してユーザーを脅かし、製品の購入を強要する目的でこのようなBogus Wareを配布しているんですね。
それら脅迫的手法により購入を迫るソフトウェアはランサムソフトと呼ばれるんですが。ランサムウェア(Ransomware)とFUD(Semplice)としてまとめたので、時間があったらばじっくりと拝見してもらいたい。
また具体的な例として、以前紹介した記事を紹介する。
Spyware Stormerは存在しない脅威で脅迫する(Semplice)
WinFixer2005による脅迫は自作自演(Semplice)
Bogus Ware・Rogue Wareか否か
「単なる機能面で未熟なソフトと、本当に悪質なソフトをどうやって見分け判断するのか?」との点が、どうも自分の中では判然とせず。
存在しない脅威をでっち上げて検出するようなソフトであれば、これは単なるBogus Wareの可能性がありますが。まずは少し整理して考えてみますか。
無害なファイルをマルウェアとして誤検出するのはFalse Positiveと呼ばれますが。大手のまともな企業により販売されている製品であっても、このような誤検出は生じるため、即座にはインチキソフトと決め付けられません。
しかし存在しないファイル・存在しないレジストリのキーを検出し警告するようなソフトウェアは、確実にBogus Wareの範疇に含まれるでしょう。
(意図的にあるファイルをマルウェアとして検出しない場合も考えられるため、この場合はFalse PositiveではなくFalse Resultと総称してしまうのが良いような)
それでは「ほとんど使い物にならないような、件出力が低いソフトウェア」は、Bogus wareでしょうか?いえ、そうは言い切れないでしょう。
これはその製品を開発した企業の技術力の低さなりによるものであり、「駄目なソフト」であったとしても「インチキなソフト」とは決め付けられず。
つまりBogus Ware・Rogue Wareか、技術的に未熟なソフトか。それはエンドユーザーには容易には判断できないんですね。
ユーザーがあるソフトウェアを導入する際には、「信頼できるソフトウェアなのか否か」との視点で考えたらばどうだろうか。まともな製品に思えたとしても、インストール後に不安をずっと抱えるのは嫌だろう?
マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか(Semplice)
スパイウェア対策ソフトの評価
スパイウェアの定義をスタンダードとなる形で布告しようとする団体がありますが、それは大変有意義だと思われます。これはスパウェア配布者の言い訳や開き直りを非難するための指針になるでしょう。
しかしこのようなインチキソフトついては、どうなんですかね。言及は難しいのではないでしょうか。
自身の悪意を隠し無実を訴えるスパイウェア配布者を法廷に引き込むのと、他社の対策ソフトを非難するのとでは全く意味が違います。後者は単なる「商売敵への嫌がらせ」と受け取られるリスクを伴い、また大手企業がこのような非難を行えば「寡占化のためか?」とか「新しいベンチャーを潰すのが目的か?」と誤解されそうな。
また近年ではスパイウェア対策ソフトを装い、全く無意味・場合によっては逆に有害なソフトウェアも広く流通している。
悪質な偽アンチスパイウェアソフトではなかったとしても、Virus BulletinのAwardのようなものが無いために、エンドユーザーはスパイウェア対策ソフトの性能を評価するのは困難だ。
2006年2月26日追記事項
2006年になり、スパイウェア対策ソフトの評価がスタートした。
アンチスパイウェアソフトの性能・検出力評価と認証、Spywaretesting.org・ICSA Labs
アマラ互換性のあるmp3を作る方法
リスクが低い脅威をどう扱うのか - Alexa検出
Alexaをご存知だろうか?これはWindowsマシンに予め入っており、WindowsXPならばどのパソコンでも存在するレジストリエントリである。
Windows XPをインストールした直後にアンチスパイウェアソフトにてスキャンし、これが検出され慌てた経験を持つ方は一人や二人じゃないだろう。
(なおこの場合のAlexaとはPestPatrolで言うところの「レジストリ内Alexa」を指す)
PestPatrol関連の「Internet Explorerで"Alexa"が発見される()」なる資料的価値のあるページが将来的に削除されるような気がするので、今のうちにリダイレクト先の内容を転載しておく。
【事象】
スキャンを行うとInternet Explorerで"Alexa"が発見される
【回避方法】
Internet Explorer自体が持っているものです。
削除をおこなっていただいても、InternetExplorerの機能上特に問題はありません。
Alexaについて
AlexaにはAlexaツールバーサービスとレジストリ内Alexaの2種類があります。
レジストリ内Alexa
AlexaレジストリエントリはInternet Explorer6又はInternet Explorerサービスパックのインストールによって作成されます。Internet Explorer6では「ツール」→「関連したリンクの表示」タブがあります。
これを押せば、今表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。またこの機能はツールバーにも追加できます(ツールバーで右クリック→「ユーザ設定」→関連先を追加)。レジストリエントリ内にあるAlexaはこの機能を実現するためのものです。
この機能を使用ことにより完全なURLが"msn.com"と"alexa.com"に送信され、表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。ある場合、ユーザ名、パスワード、セッションID、検索している情報、"秘密のパス"とその他の情報がURLに含まれています。この脆弱性はWindows 2000とWindowsXPの上に動作するInternet Explorer 6とそのサービスパックやホットフィックスに含まれていることが確認されています。このAlexaレジストリエントリを削除してもサービスパックを入れる度に元に戻されます。
ツールバーAlexa
Alexaツールバーはユーザのウェブサーフィンパターンを解析して、これをサーバに送信します。この機能に対してPestPatrolはペストと認識しています。
Alexaツールバーのアンインストール
Alexaツールバーのアンインストールは「プログラムの追加と削除」からアンインストールすることが出来ます。また、Alexaの詳細アンインストール情報は
【ログに表示される内容】
Alexa, HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
サポート終了製品 » PestPatrol(旧) Computer Associates » PestPatrol Internet Explorerで"Alexa"が発見される
Windows XP(SP未適用)をインストールし、初めてInternet Explorerを起動する。
しかしこの状態では、別にAlexa関連のToolbarなどがインストールされるのではない。
その点でこの場にては、「致命的なリスクをもたらすとは考えられない脅威」として扱い、話を進める。
(もちろん異論を持つ方も居るとは思われるのだが、ここではこのリスクの多寡は問題ではない)
このレジストリ内Alexaがスパイウェア対策ソフトにより検出される場合があると、先ほど書いたのだが。
ではこのレジストリ内Alexaをスパウェアとして検出するソフトウェアは、(あらゆる意味で)信頼できる製品なのだろうか?そう考えるならばそれは早計な思い込みである。
最近気付いた一例なのだが、以下のようなアンチスパイウェアソフトウェアが存在するとする。
- 体験版にてレジストリ内Alexaを検出できるとする
- 表示された「スパイウェア」なるレジストリ内Alexaを駆除するには、製品版の購入が必要と表示される
- ユーザーには「レジストリ内Alexa」が何であり・またどれだけのリスクがあるのかを一切説明しない
- そしてその他のスパイウェアには一切(またはほとんど)対応していない
さぁ、どうだろう?何度も繰り返しになるのだが。
「全てのWindowsXPにてレジストリ内Alexa」が存在する、だから業者は、かなり広範囲のユーザーの不安を煽る事が可能だ。
そしてこれを検出し表示するのは「嘘や詐欺とは言いづらい」
しかし「その他のマルウェアを検出できない製品であったならば?」
Windowsの無害なファイルをマルウェアとして検出する例
TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎(Semplice)にてテストしたWorldAntiSpyは、C:\WINDOWS\desktop.iniとC:\WINDOWS\system32\desktop.iniをマルウェアとして検出した。
これらのiniファイルを調査したが、何か不正な改変が行われた形跡は無く、WindowsXPをインストールした後と同じく全く無害なファイルであった。
Desktop.iniファイルは"Desktop.ini" ファイルとは何ですか?(Microsoft)で記述されている通り、WindowsOSならばよくあるファイルであり、それ自体はデフォルトの状態では全く無害なものである。
またこのようなデフォルトで存在されているファイルを(改変されていないにも関わらず)マルウェア関連ファイルとして誤検出するのは、通常ありえないだろう。何故ならばリリース前に当然社内テストを行うはずであり、その際に誤検出が報告されないとは考えられないからだ。
そのためこのようなWindowsOSに元々備わっているファイルがいかなる改変も行われていないのにも関わらずマルウェアとして検出された場合、そのセキュリティ対策ソフトウェアは存在しない脅威をちらつかせユーザーを脅迫するのが目的の悪質ソフトと考えても差し支えが� �いだろう。
検出対象となるファイルをわざわざ自分で作る悪質ソフト
WinFixer2005による脅迫は自作自演(Semplice)にて紹介したWinFixerは、Internet ExploreのキャッシュやCookieを重篤な問題があるとし検出するだけではない。
あまりにも酷い話なのだが、WinFixerはスキャン時に自作自演でCookieを作成し、それを検出する。
これは詐欺だ。
関連記事
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
スパイウェア(Spyware)対策と駆除
スパイウェア(Spyware)の解説と定義、概論
マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
更新履歴
2006年11月3日、日本国内における現状を追記した。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、2005-07-20 ランサムウェア(Ransomware)と悪質ソフト、そのボーダー(
また2005年12月12日、レジストリ内Alexaを追記致しました。
0 件のコメント:
コメントを投稿