「なぜ、イスラム教徒は、イスラム過激派のテロを非難しないのか」という問いは、なぜ「差別」なのか。(2014年12月)

「陰謀論」と、「陰謀」について。そして人が死傷させられていることへのシニシズムについて。(2014年11月)

◆知らない人に気軽に話しかけることのできる場で、知らない人から話しかけられたときに応答することをやめました。また、知らない人から話しかけられているかもしれない場所をチェックすることもやめました。あなたの主張は、私を巻き込まずに、あなたがやってください。

【お知らせ】本ブログは、はてなブックマークの「ブ コメ一覧」とやらについては、こういう経緯で非表示にしています。(こういうエントリをアップしてあってもなお「ブ コメ非表示」についてうるさいので、ちょい目立つようにしておきますが、当方のことは「揉め事」に巻き込まないでください。また、言うまでもないことですが、当方がブ コメ一覧を非表示に設定することは、あなたの言論の自由をおかすものではありません。)

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=


2015年04月20日

危なく、非常に厄介なアドウェア(?)をインストールするところだった。Googleの検索結果1位だからって、信用しちゃいけない。

PCのトラブルに対処しているときに、地雷を踏みそうになったので、簡単に記録しておく。

「地雷」というのは、「悪名高い厄介な『無料ソフト』」だ。まず第一に、その「無料ソフト」は、「マルウェアを無料でスキャン・検出する極めて高性能なソフト」をうたっているが、その実、無料なのはスキャンと検出だけで、検出されたマルウェアの除去は有償になる。そこまでならよくある「無料体験版」かもしれないが、私がインストールしそうになった当該の「無料ソフト」はさらに輪をかけてめちゃくちゃなものだ。自分でマルウェアをインストールしておいて「これをアンインストールできるのは私だけなのでお金払いなさい」と言ってくるという、自作自演というか非常にたちの悪い当たり屋というか押し売りというか……というシロモノだ。黒翼猫さんという方の技術関係のブログにわかりやすいエントリがある。
手口としてはこうだ

・無償で、ウィルスのスキャンができることを謳う / フラッシュ広告で、このパソコンはウィルスに感染していますと表示し、今すぐスキャンソフトをダウンロードすることをすすめる(ユーザーがこのソフトをインストールして有償契約をすると広告主は多額の報酬をもらえるようになっている)
・インストールすると複数のマルウェアと一緒にアドウェアをインストールする。
・そのうちのひとつをウィルスとして表示する。
・有償版でアンインストールできるのはこのソフトだけですと薦める。
・有償版を入れると6ヶ月ごとにクレジットカードから自動引き落としされ続ける。


「広告で、このパソコンはウィルスに感染していますと表示し……」というと、多くの人が「ああ、あれだな」、とピンと来ると思う(→実例のキャプチャ)。しかし、私が遭遇したのはその手の広告経由ではなかった。一見まともそうな「技術解説のブログ」経由である。

最終的な結論を書いておくと、そのブログの文末で「紹介」されていた「対策ソフト(無料)」のダウンロードのURLがこれまでに見たことのない短縮URLだった(&私はFirefoxで「短縮URLはすぐには開かない」ような拡張/アドオンを入れている)ので、正直パニクっていろいろ限界ギリギリの中でも、「これ、インストールしちゃダメなんじゃないの」という判断力が働いたのだ。

そう。こちとら、これまでで最も深刻なPCトラブル(起動しなかった)から何とか這い上がって、SAFEモードで起動してデータを救出したり、システムのスキャン、ウイルスのスキャン、マルウェアのスキャンをし、長時間、まったく慣れないことをしてひどい頭痛と集中力の限界にあった。ここが第一の注意点だ。こういうときに限って、本当に何も考えずにとんでもないことをしてしまうものだ。

そのとき、私は常用しているマルウェア検出・除去ソフトによって「マルウェアである」と判定されたある.exeファイルについて、誤検出なんじゃないのか、ということについて確認していた。その.exeファイルが「これがマルウェアであるというのは、何かの皮肉ですか」というものだったからだ。

このような誤検出 (false positive) は、まれではあるが、ないことではない。ずっと以前にも、マルウェア検出・除去ソフトによって、あろうことか「秀丸」が隔離されてしまったことがある。 (´・_・`) アノトキハコマッタ〜

ともあれ、今回、私のマルウェア検出・除去ソフトの画面内には、その.exeファイルは「トロージャン何ちゃらかんちゃら」であると判定されて、おどろおどろしい、目に刺さるような真っ赤な文字(関係ないけど、Togetterで文字を「デコる」ときに真っ赤な大文字を使いたがる人が多いのは一体何なのかと。もっと別な色がたくさん使えるというのに!)で表示されている。

まあ、ファイルが隔離されてしまっている当該のソフトは「ないと困る」ものではなく、いつでも再インストールできるし、そもそもそんなに使っていないので、いったんアンインストールした。

それから、真っ赤な文字で表示されていた「トロージャン何ちゃらかんちゃら」という名称をGoogleの検索窓にコピペしてEnterキーを叩いたときに表示されていた10件の検索結果の一番上に、問題のサイトがあった。



サイト名は「スパイウェア・リムーヴァーズ」。「スパイウェアを除去する者たち」ということで、よくある「技術系の人たちが、問題のあるソフトウェアを解説しているサイト」のように見える。ページタイトルはHow to remove so-and-soで、これも一般的だ。スパイウェアは検出ソフト(というかその運営元の会社や機関)によって名称がさまざまなことが多いし、中には「削除するのも一筋縄ではいかない厄介なもの」もある。そういった注意点をまとめてあるページにありがちな感じがする。つまり疑わしいところは何もない。

実際に、クリックして閲覧してみても、見た目はよくある「WordPressか何かのテンプレ」だが、逆に言うとまったく一般的で何も疑わしいところはなく、こういう場合(私はこのとき、自分のPCに何か変なファイルがあるんじゃないかというパニック状態で、しかも疲労困憊している)、「何も疑わしいところはない」ということは単純に「信頼できそう」と判断される。



実際、ページの記述はしごくまともな「技術的な解説」に見える。いわく、「当該のトロージャン何ちゃらかんちゃらは危険なワームです。トロイの木馬に分類されており、除去のタイミングが遅れるとコンピューターが完全に役立たずになる可能性もあります。このマルウェアは、スパム・メールの添付ファイルをクリックしたり、エロ動画サイトを訪問したり、感染しているリムーヴァブル・デバイスを知らずに使ったり、P2Pでファイルを共有したりすることで、システムに入り込みます」云々。

前回(何年も前だが)、私がマルウェアにやられたときは、アメリカの有名なソフトウェア・レビューサイト(日本でいう『窓の杜』のような)の「ダウンロード」のボタンから直接DLしたものが感染していたことが原因だったのだが(そのマルウェアはすぐに発見できたし、簡単に除去できた。でもそのサイトはそれ以来使っていない。超大手なんだけどね)、実際、マルウェアはどこから入ってくるかわからない。信頼していないメールの添付ファイルは開かないとか、変な広告はクリックしないとか、対策ソフトを入れておくとかいったことを徹底していても、入ってくるときは入ってくる。……などと書くと「達観している」かのようだが、実際にマルウェア(とされるもの)が自分のマシンから出てくると、「どっから入ってきたのかわからないけど、やっかいなものをもらっちゃったなあ」という焦りに圧倒される。そういえば先日、アップデートしなきゃと思ってそのままにしてたソフトがあったよなあ、その脆弱性が突かれたのかなあ、など頭は「ありそうな原因」を勝手に探してぐるぐるし始める。

Google検索結果トップのページの説明はさらに続き、このマルウェアがいかに危険で厄介なものであるかを書き進める。別に煽り口調ではないが、書かれている内容がおそろしいので(「遠隔操作される」とか「個人情報を抜かれる」とか「重要なシステムファイルを消してしまう」とか)、書き手は何もしなくても読み手を煽ることができる。「やっべ、こないだ変な添付ファイル開いちゃったよ」といった心当たりがある人は、このページの説明を読むだけでパニックは深まり、ますます焦ることだろう。

このページでは、このように「いかに厄介なマルウェアか」が説明されたあとに、除去方法が解説されている。しかし、そこに書かれていることは「専門的」で、技術的に明るい人ならばともかく、「広告バナーをクリックしてへんなソフトに入り込まれてしまう」ようなユーザーが読んでも、「自分の手には負えそうにない」感に圧倒され、ますますパニックがひどくなるだけかもしれない。

私の場合は、「かくかくしかじかのファイルを削除します」とか「レジストリ・エディタを立ち上げて……」とかいった説明を見て、「もしこれがマルウェア検出ソフトの誤検出でなければ、これをしないといけないのかもしれない」と思っただけで、めんどくささに圧倒された。もう既に完全にへろへろになっているのに、さらにこれがあるのか、と。

と、そこまで記事を読んだところで、Disclaimerとして脚注のようなものがあり、そこで「超便利なソフト」が紹介されているではないか。「自動的にこのトロージャンを除去してくれるツール」と。



実はこのとき、私は普段使っているのとは別のアンチウイルス・ソフト(カスペルスキーのもの)で、スキャンを実行中だった。普段使っているソフトではウイルスは検出されないのだが、別のエンジンなら何かを検出するかもしれないという「念のため」の対応だが、これが時間がかかってしょうがない。

「俺、このスキャンが終わったら、次にこのソフトウェアも試してみるんだ……」(死亡フラグ)

……という軽い気持ちでDownload Nowのボタンをクリックした。

ところで私はFirefoxにRequestPolicyというアドオンを入れている。このアドオンについてはMozilla Firefox まとめサイトで詳しく解説されているし、高木浩光さんが導入時に詳しく紹介しておられるが、要点だけいえば、「JavaScriptをデフォルトで無効化しておき、閲覧しながら必要に応じてJavaScriptを許可できる」というアドオンである(制御可能となるのはJavaScriptだけではないが、本稿はこれについて説明することが本義ではない)。

JavaScriptを無効化しておくと、「短縮・転送URL」で変なところに連れて行かれる可能性を極限まで小さくできる。

例えばこれ:


"jrnl.ie" は、アイルランドのオンライン・メディア、The Journalが使っている短縮URLなのだが、FirefoxでRequestPolicyを入れた環境でこのURLをクリックすると次のように表示される:


※なお、Twitterで直接クリックするといちど、Twitterの短縮URLであるt.coのURLでの確認画面が出て、その次がこれだ。

「このWebページは hxxp://www.thejournal.ie/?p=... へリダイレクトしようとしています」と表示され、自分で「許可」しない限りはその先に進まない。RequestPolicyでスクリプトを切っておかずに閲覧すると、自動的にwww.thejournal.ieのページが開くはずだ。

The Journalは極めてまっとうなメディアで、短縮URLもごく当たり前のものだが(大手メディアなどはアクセス解析のために短縮URLを使っていることが多い)、「あやしい」サイトの場合は、短縮URLを何段も通すと元が見えづらくなるということを利用している場合もある。そんなときにも、リダイレクトのたびにこの確認画面が出るし、リダイレクトの回数があまりに多いと、それだけで「ん?」と思う。

では、私がGoogle検索結果の一番上から入ったこの「スパイウエア除去情報」のサイトに貼り込まれていた「除去ツール」のダウンロード・ボタンをクリックすると、どうなるか。

まず、直接的にリンクされているのは、"ukroi.com" というURLである。



このサイトは何をするところなのかよくわからないが、Prosper202という商標が表示されている。これで検索すると "Prosper202 provides digital marketers with leading edge self-hosted marketing dashboard and attribution tool for tracking and optimizing your campaigns!" というのが出てくる。まあ、そういうツールだ。。。などということは、このエントリを書くときに調べて知った。

当該の解説ページに遭遇した時点で、かなりパニクった状態でDownload Nowのボタンをクリックしたときに私が見たのは、この画面だ:



「このWebページは、hxxp://7*****.enigma.revenuewire[dot]net/spyhunter2/do... へリダイレクトしようとしています」

まあ、実はこんなのよく見ないで、RequestPolicyで「一時的に許可」をして先に進んだのだが、冷静に見ていればここでrevenue云々というのを見た段階で「ん?」となったかもしれない。

ここで先に進んでも、まだある。



「このWebページは hxxp://7*****.enigma.safecart[dot]com/spyhunter2/downl... へリダイレクトしようとしています」

その先も、まだ。



「このWebページは hxxp://download.enigmasoftware[dot]com/spyhunter-free-... へリダイレクトしようとしています」

さすがにこんなに何度もリダイレクトされるのはどうよ、とパニック状態の私でも思うわけだ。それでも「一時的に許可」で先に進むと……





こうして、そもそもの発端の解説記事から "Trojan.Agent-Gen-Symmi Removal Tool" をダウンロードしているはずだった私は、"SpyHunterのインストーラー" をダウンロードしようとしている。

SpyHunterという名称にピンと来る人なら、ここでやめただろう。あるいは、このソフトの提供元であるenigma softwareという名称を知ってる人なら、ここに至る前に引き返しただろう。

しかし、10年以上前から「あなたのPCが感染しています」みたいな画像広告は見たらスルーすることにしてきた(「とにかく無視しろ」と最初に言われたので)私は、その問題のある詐欺ソフトの名称も、提供元の名称も、まったく知らなかった。

というわけで、インストーラーの実行ファイルのダウンロードまではしてしまった。

だが、最後のこの「転送、転送、また転送」に引っかかったことと、ソフトウェアの名称がなんかざっくりしすぎてないかと思ったことで、インストーラーを実行する前に、このソフトはどんなソフトなのかを検索して調べてみることにした。(そもそも、カスペルスキーのスキャンはまだ全然終わっていなくて、まだしばらく待ち時間があった。)

その結果が、本稿の最初の方に記した「SpyHunterは悪質な詐欺ソフトである」というブログや、各種オンライン質問回答サイトでの質疑応答だった。うっかり入れてしまって困っているという人が相当数いるのだということが、それだけでわかった。こちらのブログでは、「どうして私はうっかりこんなソフトを入れてしまったのか」といったことも書かれている。非常によく似た状況だ。
もうぶっちゃけて言うとですね、ちえ袋とかに書いてある回答者さんの言うことをその通りに処理するのは面倒くさそうだったんですw
あのソフトをインストールしろ、とかここをチェックしろとか、私は今、ウイルスっぽいヤツに感染しているパソコンをどうにかしようと焦っているわけですから、更に色々とソフトをインストールとかしておかしな状況になりたくなかったんです。

と思ってしまったことが間違いでした。
もうハッキリ言えます、コレは間違いです。
ちえ袋に面倒くさそうな処理が書いてあったとしても、必ず、回答のように処理してください。
私のようなやり方をするとダメです。

http://komainuuuu.blog.fc2.com/blog-entry-27.html


私はダウンロードしたSpyHunterインストーラーの.exeファイルをそのままゴミ箱に放り込んで、ゴミ箱を空にした。

そもそもの発端のブログ(Google検索での1位)、「スパイウェア・リムーヴァーズ」の記事の末尾には、筆者の署名が、顔写真つきでなされていた。



※FirefoxでRequestPolicyを入れていると、このアバターも実はいちいち許可しないと表示されない。

筆者の「ジェイムズ・パーカー」氏が使っているこのアバターの顔写真が、何かもう途方もなくファイルフォトっぽいのでそれも見てみようと思った。(カスペルスキーのスキャンが、終わらん)

まず、「画像のURLをコピー」してみる。



得られたURLは、hxxp://1.gravatar[dot]com/avatar/5b10068bcb28f4f1e2ff9ee66699f847?s=60&d=&r=G だ。Gravatar[dot]comは、WordPressが使っている「グローバルに使えるアバター」である。つまり、私が閲覧した「スパイ・リムーヴァーズ」のブログは、WordPressで運営されている(やはり)。

次に、「ジェイムズ」氏の顔写真を:



Google画像検索に投げてみたら、……出てくる出てくる。



これは、ほぼ間違いなく、「サポセンのお兄さん」の素材写真だろう。



つまり、「スパイウェア・リムーヴァーズ・コム」というWordPressを使ったサイトで、「サポセンのお兄さんの素材写真(と思われるもの)を自分の顔写真としてWordPressに登録しているJames何某という、自称「よく知られた専門家 a well known technology expert」が書いている「このマルウェアの特徴と対策」というブログ記事(その記事自体はまっとうなように見える)に、当該のSpyHunterが(たぶんアフィリエイト・コードつきで)「転送、転送、また転送」する形で、肝心のソフトウェア名を明示することなく、リンクされている。

「スパイウェア・リムーヴァーズ・コム」の記事自体はまっとうなように見えたのだけれど、こうなると、ここで紹介されている対処法(レジストリ・エディタを立ち上げてどうのこうの、という部分)も信用できるかどうかわかったもんじゃない、というくらいに警戒しておくのが無難なように思える。

「スパイウェア・リムーヴァーズ・コム」は、特定のトロージャンのエージェント名(って言うのかな)で検索したときにGoogleのページで一番上に表示されていたので、いわゆる「SEO」的にはそれなりのものだろうが、中身はよく言って「玉石混交」の「アフィ・ブログ」のようだ(「アフィ・ブログ」=情報の共有以前に、特定の商品を販売することを目的としたアフィリエイト・ブログ)。

別の分野にたとえると、「健康法」に関してまっとうな内容(適切な運動、節制のとれた食事)などを書きつつ、トンデモなサプリや健康食品(「ガンに効く○○○」など)を売ろうとしているサイト、というようなものだろう。「まっとうな内容」もオリジナル記事なのか、どこかからのコピペ・剽窃なのか、素材文があるのか、わからない。

そういうのを、コンピューターのセキュリティに関してやられると、めっちゃ混乱する。

個人的に、いろいろ「ニュースサイト」とか見てるのだが、「サイトの見た目」が「書かれていることの中身」以上に「信頼できそうな感じ」をお膳立てするということは、よくあることだ。

例えば、2013年6月、実際の訃報より半年も早く「ネルソン・マンデラが死亡した」と流したオンラインメディアの記事は、文章は実にひどく(中学生の作文のほうがましなレベル)、サイトの見た目はまっとうで、メディア名が「ガーディアン」を含んでいたために英国のガーディアンさん(※敬称つき)と混同されることによってますます信憑性を増した、という摩訶不思議なことがおきていた。

サンディ・フック小学校事件についてとんでもないことを主張して、「言論の自由」で守られている「陰謀論」系のサイトも、見た目は立派である(ただしWordPressのテンプレ)ということは私が個人的に心底うんざりするほど確認した

同じようなことが、たぶん、「IT系」にも起きているのだろうと思う。つまり、見る人が見れば「中身はゴミ」とわかるようなものであっても、体裁が立派なので、それなりに信用されちゃっている、ということが。

しかも私が接した事例のようにGoogle検索結果でトップである場合は。。。orz



さらに日本語圏のQ&Aサイトの「SpyHunter」についての質問で「こんな画面になってるんです〜」という文に添えて、hxxp://www.2-removevirus[dot]com/ というサイトのページが出ているので見てみた。当該のページは既に削除されていたのだが、サイト自体は残っていて、トップページに戻って確認してみたところ、このサイトが、何というか、もう、すさまじい。

これさ、誰に向けた「自称・日本語」なんだろうね。何の目的があって、こんな「自称・日本語」のページを作るんだろうか。



すべてがこういう「自称・日本語」で書かれている。パニクってるときに「こういう、誰も責任を取っていなさそうな記述があるページは信用しない」と判断できるか、「まともなページが、単に機械翻訳のせいでおかしくなっているのだ」と判断してしまうかで大きく分かれると思う。

ただこれ、日本語話者に向けたサイトであるというより、非日本語圏で「おお、この製品は日本語でも紹介されているのか」と人を感心させたい場合に用いられる「見かけだけの日本語」の可能性も、なくはない。

※この記事は

2015年04月20日

にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。


posted by nofrills at 22:00 | TrackBack(1) | 雑多に | このブログの読者になる | 更新情報をチェックする

この記事へのトラックバック

「Windowsセキュリティでシステムが壊れていることを検出」? 「あと○秒でファイルを削除」? そんな表示が出ても無視すればOK。
Excerpt: ちょうど2年ほど前に、危なく、厄介なマルウェアをインストールしそうになったことを書いたが、今日も変なのに遭遇した。2年前の記事がけっこう読まれているようなので、今日の変なのについても少し書いておこう。..
Weblog: tnfuk [today's news from uk+]
Tracked: 2017-04-05 18:14

【2003年に翻訳した文章】The Nuclear Love Affair 核との火遊び
2003年8月14日、John Pilger|ジョン・ピルジャー

私が初めて広島を訪れたのは,原爆投下の22年後のことだった。街はすっかり再建され,ガラス張りの建築物や環状道路が作られていたが,爪痕を見つけることは難しくはなかった。爆弾が炸裂した地点から1マイルも離れていない河原では,泥の中に掘っ立て小屋が建てられ,生気のない人の影がごみの山をあさっていた。現在,こんな日本の姿を想像できる人はほとんどいないだろう。

彼らは生き残った人々だった。ほとんどが病気で貧しく職もなく,社会から追放されていた。「原子病」の恐怖はとても大きかったので,人々は名前を変え,多くは住居を変えた。病人たちは混雑した国立病院で治療を受けた。米国人が作って経営する近代的な原爆病院が松の木に囲まれ市街地を見下ろす場所にあったが,そこではわずかな患者を「研究」目的で受け入れるだけだった。

……全文を読む
▼当ブログで参照・言及するなどした書籍・映画などから▼