Defencebyteというローグウェア

2019/01/15

ときどき海外からアプリのレビュー依頼が来る。
基本的に「来るもの拒まず」の精神で依頼されたアプリを試用して、問題がないようなら記事にしている。
中には「EaseUS Todo Backup Free」や「MiniTool Partition Wizard」など記事にするつもりだったアプリが、タイミングよく先方からオファーが来て、使い方で不明だった部分などを直接質問できたりして、まさに渡りに船というようなときもあったりする。

フリーソフトでよくあるのが、セットアップウィザードにサードパーティ製アプリがバンドルされているもの。

ESET Internet Securityでは対象のインストーラーを起動した時点で警告が出て「駆除」を促される。
現在は「PUP(疑わしいプログラム)」として検出されるが、サードパーティ製アプリのバンドルは一昔前までフリーソフトなら当たり前だったもので、「無料の代償」としてユーザー側で対応すべきものだった。

ただ、記事にして公開するので、オファーが来たアプリに関しては不審な点があれば全て先方に確認を取っている。
最近ではMiniTool Partition Wizardでインストーラー起動時に「win32/installCore」を検出した。

「win32/installCore」はセットアップ時にサードパーティー製アプリを表示させるプログラムで、ESETなどでは「アドウェア」認定されているものの、確認しながらセットアップを進めれば普通に回避できるので実害はほとんどないのだが、念のためにMiniToolの担当者へ質問すると、以下の返答が帰ってきた。

MiniTool Partition Wizard無料版には、サードパーティ製品の広告が含まれています。無料版をインストールする際、一部のランダムな製品広告が表示されます。ただし、ユーザーはサードパーティ製品をインストールしないことが選択できます。こ
れらのサードパーティ製品をインストールできるようにすることは必須ではありません。
なお、Partition Wizardプロ版にはそのような広告がありません。

全く悪びれず率直な返答だったので非常に好感が持てたのだが、オファーの中には本当に怪しいアプリが存在していたりする。



それが今回の「Defencebyte」という会社のアプリ。
「Malwarebyte」であれば「AdwCleaner」を提供しているので知っているが、「Defencebyte」というベンダーは初耳。

メールには「We’re Australia based software company providing Antimalware」とあり、オーストラリアのソフト会社で「Defencebyte Privacy Shield」「Defencebyte Computer Optimizer」「Defencebyte Antimalware」を開発していると記載されていた。

ただ、このオファーが他と違っていた点は、通常は「レビューの依頼」なのだが「アフィリエイトパートナーの依頼」で、しかも手数料が製品価格の70~90%と破格値というか有り得ない設定になっていた。

なんとなくキナ臭い感じがするので、はじめにサイトを確認したが特に不審な点が見当たらないというか、しっかりと作り込まれていた。
そこでAV-TEST、AV-Comparatives、Virus Bulletinなどセキュリティソフトの比較サイトを確認したが「Defencebyte」なる製品はリストにない。

ただ、「疑わしきは罰せず」なので、取り敢えず試用することにした。

ところが「Defencebyte Antimalware」をダウンロードしたところ、ESET Internet Securityが拒否反応を起こした。
「”win.32 / auslogics.k”」というPUPが含まれているらしい。

「Auslogics」はオーストラリアのソフトウェアベンダーで、サイトを確認すると何となく「Defencebyte」と雰囲気が似ている。。。

そこで「Auslogics」の「Anti-Malware」をダウンロードしてみたら、同様のPUPが検出された。

このPUPは「検出された問題を誇張して、その解決のためにユーザーへ有料版へのアップグレードを要求」するものらしい。
試用版やフリーソフトが有料版へのアップグレードを訴求してくるのは、ある意味で当然のことなのだが、問題なのは「誇張」していること。

評判が悪化している「avast!」も、無料版だと微妙に誇張している気もするが、程度の問題でセキュリティソフトもローグウェア認定されてしまうということらしい。

「Defencebyte Antimalware」はESETに拒否されて微妙なので一旦保留にし、気を取り直して「Defencebyte Computer Optimizer」をインストールしてみた。

セットアップは順調に進んでいったのだが、インストールが開始後またもやESETがPUPを検出。
今後は「MSIL / RegProCleaner.A」でシマンテックのページでは「コンピュータ上の潜在的な問題を検索する誤解を招くアプリケーションです」となっている。
これは完全にローグウェアっぽい。

そこで「Defencebyte Computer Optimizer」をVirusTotlaで分析してみたら、検出したのは「Dr.Web」のみで、当のESETもファイル分析だけでは未検出だった。

同様に「Defencebyte Antimalware」のインストーラーを分析するとESETを含め4つウイルスソフトが検出。

これはどうやらアカンやつっぽい。。。
と、確信を得たので状況をメールに書いて、オファーのお断りを先方へ送信したら、ちょっと強気な返信が届いた。

「こちらのメールを見てアプリを検査したが問題は発見できなかった。自分たちのアプリは「Appesteem」に認定されているから安全だ」という内容。

Appesteemはソフトウエアの審査機関らしいが、ネットを見ると認証されているのが「SpyHunter 」や「RegHunter」など悪名高い米国のEnigma Softwareが開発しているローグウェアだったりするで、微妙どころか信憑性がまったくない。

そこでセキュリティソフトにESETを使用していることや、VirusTotalでも脅威が検出されたことなどを記載し、これらが偽陽性であれば検出された脅威はどのような動作をするのか回答を要求したら、面倒くさい奴だと思われたのか連絡が来なくなった。

ただ、それが関係しているのか不明だが、その直後にDefencebyte のサイトから「Defencebyte Antimalware」が消えてしまったので、本日(2019/01/15)現在トップページからDefencebyte Antimalwareをダウンロードすることはできなくなっている。

Defencebyte Antimalware

ESET Internet SecurityやVirusTotalでPUPが検出されたDefencebyte Antimalwareだが、ローグウェアと言うのも憶測の域を脱していないので、実際に使用してみることにした。

ESETの保護を有効にした状態では検出された脅威を無視してもインストールに失敗するので、一時的に保護を無効化してインストール。

ご丁寧にセットアップは日本語化されている。
おそらく日本のPCリテラシーが低く、日本語をサポートすることでカモにしやすいのだろう。
しかもウィザードではなく「インストール」をクリックするだけで、Defencebyte Antimalwareが完了する簡単さ。

Defencebyte Antimalwareが起動したら、他のセキュリティソフトと同じくデータベースの更新が開始する。

アップデートが終了したらPCのスキャンを開始。

スキャン終了後、検出されたのはインターネットクッキーで、危険レベルは「低い」だがレベル「2」。

クッキーには個人情報が入っている場合があり、盗まれると厄介なことは事実なので、その点では危険と言えなくもないが、クッキーそのものが危険なわけではない。
また、怪しいサイトを巡回したり、改竄されたサイトにアクセスしない限り、Cookieが盗まれる可能性も低い。

検出されたCookieの詳細を見ると、それらしき事が書かれてある。

Cookieならブラウザから普通に削除できるのだが、「対象物の削除」をクリックすると削除する代わりに「完全なクリーンアップのために購入」ボタンが表示された(笑)。

アンインストールもESETの保護が有効だとアンインストールする前にESETが脅威を駆除しようとするので保護を無効化し、GeekUninstallerを使用して普通に削除できる。

結果的にDefencebyte Antimalwareは、システムエラーやウイルス感染などユーザーの不安を煽ってアプリを購入させる「ローグウェア」に属することは事実で、おそらくライセンスを購入したらCookieくらいは削除してくれると思うが、Defencebyte Antimalwareを購入するくらいなら、ESET Internet SecurityやNorton、ウイルスバスター、カスペルスキーあたりを購入したほうが有益だと思う。





セキュリティソフト

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

VirusTotalの概要と使い方

VirusTotalはオンラインのマルウェア検出ツールで、2012年にスペインのセキュリティベンダー「Hispasec」 … “VirusTotalの概要と使い方” の続きを読む

Kaspersky Free のインストールと使い方

MicrosoftのWindows Defenderに物言いを付けたカスペルスキーが2017年7月、ついに無料バージョン … “Kaspersky Free のインストールと使い方” の続きを読む

Avast Free AntiVirusのインストールと使い方

AVASTはチェコ共和国の企業で、2016年には「avast!」と同様の無料ウイルス対策ソフトを提供していたオランダのA … “Avast Free AntiVirusのインストールと使い方” の続きを読む





ウイルスや不正アクセスが減少傾向に

2018/10/26

2018年10月25日に公表されたIPA(情報処理推進機構)の「コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)]」では、ウイルスや不正アクセスの届出数・検出数ともに前年度よりも大幅に減少している。

コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)]



2017年は春頃からランサムウェア「WannaCry」が世界的に流行し、国内でも大手企業で感染が確認されたのは記憶に新しい。

「WannaCry」の残した被害と教訓、2017 年上半期の脅威動向を分析

いま現在もWannaCryのようなランサムウェアや、2016年に流行したIoT機器の脆弱性を狙って攻撃する「Mirai」のようなマルウェアは確認されているものの、脅威の規模は確実に減少している。

ただ、IPAの統計情報には「不正マイニング」という今年になって台頭した新たな脅威や、広告ネットワークから侵入してくるアドウェアが含まれていない。

サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析

Coinhiveの問題

2018/06/15 いま話題のCoinhive。 16人が摘発、3人が逮捕されている。 他人PCで仮想通貨「採掘」=サ … “Coinhiveの問題” の続きを読む

Coinhiveで初めて逮捕者が出て、その直後から1~2ヶ月は大きな話題になったものの、7月に仙台地裁で不正指令電磁的記録供用などの罪に問われた兵庫県尼崎市の無職の男に対し、懲役1年、執行猶予3年の判決が言い渡され、折から仮想通貨の暴落や流出問題もあって、Coinhiveの問題は尻すぼみになった。

仮想通貨のマイニング悪用に懲役1年判決 全国初

Coinhiveの違法性についての是非はともかく、CoinMinerによって行われる「不正マイニング」は急速に拡大しており、セキュリティーベンダー各社は不正マイニングをマルウェアとして検疫している。

不正マイニングはユーザーがWebサイトを閲覧中、仮想通貨の採掘にユーザーのPCリソースを使用するもので、PCに感染したり、身代金を要求されることがなく、体感的にはサイト閲覧中にPCの動作が重くなる程度なので、不正マイニングが実行されていても気づかないことが多い。

同様に広告ネットワークを介して表示されるアドウェアについても、ユーザーは普通にネットサーフィンをしているだけで、悪意のあるコードがダウンロードおよび実行され、不快な広告が表示されるようになる。

これらウェブブラウザ上で動作するマルウェアの予防については、有料のセキュリティソフトの導入が最も手っ取り早い。

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

残念ながら無料のウイルス対策ソフトは、不正マイニング等のマルウェアの検疫機能は実装していない。

マルウェアの種類や攻撃方法が多様化している中、PCのセキュリティは今まで以上に重要なのかも。





トピック&コラム

Huawei問題は第2フェーズへ

2019/01/29 昨年末に次世代通信規格「5G」や日本政府機関の調達先から排除されたHuawei。 デバイスにバック … “Huawei問題は第2フェーズへ” の続きを読む

国内でもHuawei・ZTEの排除が本格化

2018/12/13 2018/12/23更新 今年の夏に日本がオーストラリアとともに次世代通信規格「5G」から、Hua … “国内でもHuawei・ZTEの排除が本格化” の続きを読む

ウイルスや不正アクセスが減少傾向に

2018/10/26 2018年10月25日に公表されたIPA(情報処理推進機構)の「コンピュータウイルス・不正アクセス … “ウイルスや不正アクセスが減少傾向に” の続きを読む

アドフラウド対策によりYahooが直接契約以外の広告配信を停止

2018/09/26 9月20日、Yahooの広告配信を取り扱っている代理店からメールが届いた。 内容は「Yahooの広 … “アドフラウド対策によりYahooが直接契約以外の広告配信を停止” の続きを読む

豪州・日本もファーウェイ・ZTEを排除

2018/08/27 オーストラリア政府がファーウェイ・ZTEを次世代通信規格「5G」からの排除を発表したのに続き、日本 … “豪州・日本もファーウェイ・ZTEを排除” の続きを読む





Coinhiveの問題

2018/06/15

いま話題のCoinhive。
16人が摘発、3人が逮捕されている。

他人PCで仮想通貨「採掘」=サイト閲覧者に無断で-16人を初摘発・警察当局

すでに賛否両輪、様々な意見が噴出しているが、家宅捜索を受けたデザイナーは刑事裁判を起こすらしい。



ウェブサイトに専用のJavaScriptコードを埋め込み、閲覧者に仮想通貨「Monero」のマイニング(採掘)をさせる「Coinhive」は、サイト運営者からすればアフィリエイトなどの広告収入に変わる、画期的な収入源となるので、確かに魅力的ではある。

「不正指令電磁的記録供用・保管に関する罪」の「不正」については、曖昧といえば曖昧で、御上が「黒」と言ったら「黒」になるため、確かに微妙。
ただ、「Coinhiveが違法ならGoogleのアドセンスなども違法」というのには少々違和感を覚えてしまう。

そもそも昨年末からネットニュースは仮想通貨の話題で持ちきりだが、話題は億り人だけでなく、マイニングするマルウェアが急増しているというもので、国内では「CoinMiner」の検出が圧倒的に多いという調査結果も公表されている。

国内でマイニングマルウェアが爆発的流行、1月は「CoinMiner」の検出数がトップ

流通しているモネロの約5%、マルウェアによってマイニング

検出されたCoinMinerのうち大多数のスクリプトが「Coinhive」をベースとしている。Coinhiveは、閲覧者に仮想通貨「Monero」を採掘させてウェブサイトの運営者が広告の代わりに収益を得るためのサービスだが、これが悪用されてサイトへ不正に埋め込まれる事例が確認されている。中には、検出を逃れるためにJavaScriptライブラリのjQueryに偽装しているものや、難読化されている場合もあるそうだ。

「CoinMiner」がマルウェアとして取り扱われる理由は、サイトが改竄されてCoinhiveのコードが埋め込まれ、サイト管理者の関知しないところでサイト閲覧者にマイニングをさせているからだと思う。
もちろん改竄を受けたサイト管理者は被害者なのだが、実害を被っているのは勝手にマイニングさせられている閲覧者だったりする。
「CoinMiner」も「Coinhive」も閲覧者にマイニングさせる点では同じで、告知がなければ「CoinMiner」も「Coinhive」もマイニングさせられる閲覧者にとっては同じ事。

「CoinMiner」はサイトを改竄するからマルウェア、「Coinhive」はサイト管理者が自ら行うので収益サービスというのも、一般論的に如何なものかと。
もちろん告知してユーザーの同意を得れば、Coinhiveそのものに違法性はないと思う。

また、閲覧者が予測しないコードが実行されるという点では、Googleのアドセンスもアナリティクスも、その他のアフィリエイトも同じなのかもしれないが、スロバキアのセキュリティベンダー「ESET」のサイトに、「この種のCPUリソースを激しく消費するタスクは通常は広告配信の世界では禁止されている」という一文がある通り、コードを実行する点で広告と同じでも、Coinhiveが「禁じ手」であることが分かる。

仮想通貨の採掘を勝手に実施するマルウェアの正体

ESETは調査を開始し、この脅威が特にマルバタイジング(広告に見せかけたウイルス)を通じて拡散していることを発見した。この種のCPUリソースを激しく消費するタスクは通常は広告配信の世界では禁止されている。というのも、このような行為はユーザーの利便性を著しく低下させるからである。

では、ユーザーのCPUリソースを消費しないマイニングなら良いのか、という問題になってしまうが、個人的には法律がどうのこうのと言う前に、倫理的にやっては行けない一線のような気がする。





トピックス&コラム

Huawei問題は第2フェーズへ

2019/01/29 昨年末に次世代通信規格「5G」や日本政府機関の調達先から排除されたHuawei。 デバイスにバック … “Huawei問題は第2フェーズへ” の続きを読む

国内でもHuawei・ZTEの排除が本格化

2018/12/13 2018/12/23更新 今年の夏に日本がオーストラリアとともに次世代通信規格「5G」から、Hua … “国内でもHuawei・ZTEの排除が本格化” の続きを読む

ウイルスや不正アクセスが減少傾向に

2018/10/26 2018年10月25日に公表されたIPA(情報処理推進機構)の「コンピュータウイルス・不正アクセス … “ウイルスや不正アクセスが減少傾向に” の続きを読む

アドフラウド対策によりYahooが直接契約以外の広告配信を停止

2018/09/26 9月20日、Yahooの広告配信を取り扱っている代理店からメールが届いた。 内容は「Yahooの広 … “アドフラウド対策によりYahooが直接契約以外の広告配信を停止” の続きを読む

豪州・日本もファーウェイ・ZTEを排除

2018/08/27 オーストラリア政府がファーウェイ・ZTEを次世代通信規格「5G」からの排除を発表したのに続き、日本 … “豪州・日本もファーウェイ・ZTEを排除” の続きを読む





悪質なリダイレクト広告

2017/11/29
2017/12/17更新

先日、GoogleはChromeでリダイレクトを規制する機能の追加を発表したが、当サイトも一時、悪質なサイトへリダイレクトされる現象に悩まされた。
リダイレクトの原因は掲載している広告。

最近、当サイトで発生した事案と同様の現象が他サイトでも頻発している。

Reference

リダイレクト広告によるスマホの画面ロックの対処法は下記参照。

スマホに表示される悪質な警告メッセージの対処法

2018/05/13 スマホでウェブサイトを閲覧していると、月に1度くらいの頻度で悪質なリダイレクト広告に遭遇する。 以 … “スマホに表示される悪質な警告メッセージの対処法” の続きを読む



リダイレクトはGoogleのAdSenseでは発生しないが、AdSense以外の広告配信によって発生している可能性が高い。
当サイトの場合、AdSense以外は「アドジャポン」を使用しており、事象発生時にはアドジャポンの担当さんが迅速に対応してくれて、問題と思われるアドソースを停止して以降、リダイレクト事案は確認できていない。

スマホの場合は普通にサイトを開くと、一瞬の間を置いて上記のようなページが表示される。

当サイトで発生していた事案では、最初のリダイレクト先は http://aff.chaopengz.cc。

http://aff.chaopengz.ccへリダイレクトされた後、そこから更に複数のURLに飛ばされる。

PCだと最終的に「Reimage Repair」という不安を煽ってソフト購入などを促すスケアウェアと呼ばれる、マルウェアの一種のダウンロードページが表示される。

スマホの場合はもっと悪質で、リダイレクトしていきなりウイルス感染が宣言される。

そこへ追い打ちをかけるようにメッセージまでも表示。

もちろんウイルス感染などしておらず、スケアウェアのダウンロードを促すもの。

PCの場合、リダイレクト先はスケアウェアのダウンロードページだけでなく、海外のアダルトチャットと思われるページに飛ばされることもあった。

アダルトチャットといえば国内にもいろいろとあるようだが、出演している人たちはネット上に拡散する可能性があることを理解しているのか、下手すると消したくても消せないデジタルタトゥーになるのに。。。と、上図をキャプチャしてちょっと心配になった。

リダイレクトが確認できた環境

当サイトでの事案でリダイレクトが確認できたPCとスマホの環境。

PC
Wondows10 Google Chrome(Ver. 62.0.3202.52 Beta)
Windows7  Google Chrome(Ver. 62.0.3202.52 Beta)

スマホ
Nexus6 Android 7.1.1 Google Chrome(Ver. 61.0.3163.98)
Essential Phone Android 7.1.1 Google Chrome(Ver. 61.0.3163.98)

アドジャポンで問題と思われるアドソースを停止→様子見→リダイレクト発生→アドジャポンに報告→アドソース停止という作業を経て、現在リダイレクトは確認できていない。

ブロックしたアドソース

参考までに当サイトでブロックしてもらったアドソースは以下の通り。

csdc.tech
aff.chaopengz.cc
ja.reimageplus.com
aff.chaopengz.cc
ps4.femo.gdn
ja.reimageplus.com
pwlwv.insatadating.clu
www.virustotal.com
vms.drweb.co.jp
mobiappzones.site
sitecheck.sucuri.net

新たなリダイレクトを確認

その後も他社サイトで同様のリダイレクト事象を確認していたが、本日(11月29日)の通勤途中でシステムのアップグレードを促す新たな事象を確認した。

発生したのは 「J-CASTニュース」で、その後、「SPA」でも同事象を確認。

ページを開くとリダイレクトされ、使用しているデバイスをアップグレードするようメッセージがでる。

その後、更に飛ばされて「要アップグレード」のページが表示される。

ここで念のため表示されているブラウザを強制終了して、調査を続行するためリダイレクト先のURLをPCに転送。

一応、VirusTotalでURLを確認後に、該当ページへアクセス。
PCで開くとデバイス名が取得できないの「Mobile」と表示されている。

スマホと同様のページが表示される。

やはりウイルス感染(笑)

ご丁寧にGoogleのエラーページに模したデザインになっている。

最後にたどり着いたのは「Reimage Repair」と同じデザインの「CC Cleaner Repair」というソフトのページ。

「CC Cleaner」ってなんだ?(笑)
「CCleaner」と勘違いさせたいらしい。

リダイレクトで飛ばされ、不審なメッセージが出現しても動揺せず、訳の分からないソフトをダウンロード&インストールしなければ大きな実害はないはず。

システムアップデートのメッセージが出て気になるようなら、「設定」→「端末情報」→「システムアップデート」を確認。

普通にアップデートをしていれば最新になっているはず。
もし、ここで最新でないようなら、アップデートをチェックして更新を推奨。


2017年12月16日に再び当サイトでリダイレクト広告を確認した。

PCでしか確認できていないが、スマホでも発生しているはず。

「システム警告」というウインドウが表示され、カウントダウンが始まるものの、「0」にはならず「1秒で削除されます」の状態で停止する。
「更新」ボタンをクリックすると、いつもの「PC Repair」というスケアウェアのダウンロードページ飛ぶ。

リダイレクト先は下記のアドレスで、一応ブロックしたものの現在は様子見の状況。

tracking.beginads.com
nextoptim.com
d220n1ikiyhaa1.cloudfront.net

早くChromeのリダイレクト規制機能を実装してほしい。





レポート

リッピングソフトの比較検証

DVDやBlu-rayの保護解除は違法行為になるが、保護解除に対応したリッピングソフトは、DVDFabからリリースされて … “リッピングソフトの比較検証” の続きを読む

識別されていないネットワーク・デフォルトゲートウェイがない場合の対処法

PCケースを換装した際にネットワーク設定でトラブルが発生した。 症状はポピュラーな「識別されていないネットワーク」で、タ … “識別されていないネットワーク・デフォルトゲートウェイがない場合の対処法” の続きを読む

Apple IDがロックされたというフィッシングメール

2019/01/20 以前にAppleを騙ったフィッシングメールという記事をアップしたのだが、その後もApple系のフィ … “Apple IDがロックされたというフィッシングメール” の続きを読む

Defencebyteというローグウェア

2019/01/15 ときどき海外からアプリのレビュー依頼が来る。 基本的に「来るもの拒まず」の精神で依頼されたアプリを … “Defencebyteというローグウェア” の続きを読む

KickstarterでバックしたSuperScreenは詐欺だった模様

2017/12/21 2018/01/05更新 2019/01/11更新 ちょうど買って2ヶ月のZenFone3 Del … “KickstarterでバックしたSuperScreenは詐欺だった模様” の続きを読む





Appleを騙ったフィッシングメール

2017/08/23

フィッシングメールと思われるAppleサポートを騙ったメールが届いた。

リマインダ:チームサポートからの購入詳細

Gmailを利用しているので該当のメールは「迷惑メール」に振り分けられていたのだが、差出人は「Appleサポート」。



以下のサブスクリプションをご購入いただきありがとうございます。 22/08/2017 01:04:55 AM
サブスクリプションの名前:ギフトカードiTunesの
注文番号:424564687455
受領日:22/08/2017 01:04:55 PM

注文総額:99.99米ドル

どうやら99.99ドルのiTunesギフトカードを購入したらしい。
1ドル110円換算で10,998円。

中国あたりから送られてくるスパムメールは、日本語がかなり不自然で、漢字が中華フォントだったりするので、一目瞭然で判別できるが、このメールは一見すると普通っぽい。

ただ、よく見ると機械翻訳でありがちな単語の並びがおかしな箇所がある。
「ギフトカードiTunesの」
「この購入を承認していない場合は、をご覧ください。iTunes支払いキャンセルフォーム  」

iTunesギフトカードを購入した経験があれば、メールの体裁そのものに違和感を覚えたりするかもしれないが、購入した経験がなければ分かりにくい。

詳細を見ると、メールアドレスが笑ってしまう。
<japane@sup-aplee.com>

「e」が余分だったり「p」が足りなかったり。。。

しかも「To」ではなく「Bcc」で送信されている。

「iTunes支払いキャンセルフォーム  」のリンク先を「aguse」で確認。
aguseは調査したいサイトのURLや受信したメールのメールヘッダーを分析する無料のサービス。

aguse

米国の「GoDaddy」というホスティング会社がヒット。

「VirusTotal」でも調べたが、確認した時点ではすでにステータスコード「404」が返されており、該当ページは見当たらない状態だった。

単なる愉快犯なのか、逃走した後なのか不明だが、「10万円受け取って下さい」とか「◯◯に当選しました!」といったフィッシングメールより、身に覚えのない購入確認メールでキャンセルフォームへの誘導はうまくできている。

触らぬ神に祟りなし。
いろいろと巧妙化しているのでメールの取扱は慎重に。





レポート

リッピングソフトの比較検証

DVDやBlu-rayの保護解除は違法行為になるが、保護解除に対応したリッピングソフトは、DVDFabからリリースされて … “リッピングソフトの比較検証” の続きを読む

識別されていないネットワーク・デフォルトゲートウェイがない場合の対処法

PCケースを換装した際にネットワーク設定でトラブルが発生した。 症状はポピュラーな「識別されていないネットワーク」で、タ … “識別されていないネットワーク・デフォルトゲートウェイがない場合の対処法” の続きを読む

Apple IDがロックされたというフィッシングメール

2019/01/20 以前にAppleを騙ったフィッシングメールという記事をアップしたのだが、その後もApple系のフィ … “Apple IDがロックされたというフィッシングメール” の続きを読む

Defencebyteというローグウェア

2019/01/15 ときどき海外からアプリのレビュー依頼が来る。 基本的に「来るもの拒まず」の精神で依頼されたアプリを … “Defencebyteというローグウェア” の続きを読む

KickstarterでバックしたSuperScreenは詐欺だった模様

2017/12/21 2018/01/05更新 2019/01/11更新 ちょうど買って2ヶ月のZenFone3 Del … “KickstarterでバックしたSuperScreenは詐欺だった模様” の続きを読む





本日ラッキーな訪問者はあなたです

半年ほど前から時々出没するようになった謎のアドウェア。

chrome-ad002

Chromeユーザーの皆様,

本日ラッキーな訪問者はあなたです: September 30 , 2016

この簡単な調査を完了していただけると、弊社からの感謝の印として、HD Streaming Moviesのいずれかが当たるチャンスが与えられます!

と、あからさまに怪しい(笑)

ちなみに当サイトでこの表示が出ても、HD Streaming Moviesは当たりません。

この怪しいサイトにある「About」を確認すると、「利用規約とプライバシーポリシー」が明記されており、自らを「オンラインマーケティング会社」と名乗っている。



収集する情報は、メールアドレスから氏名、住所、電話番号、生年月日や支払い方法など、入力した全ての項目で、これらの個人情報を「独自の裁量で法的に許された目的のために」使用するらしい。
そして入力項目を送信すると、個人情報を第三者に提供することに同意したことにもなるらしい。
そのほかにも個人情報を勝手に使うぜ!的なことが連連と書かれてあり、面白いことに「責任の制限」という項目では、ほぼ全ての責任を追わない旨が書かれてあり、「個人情報保護方針の違反に対する責任は100ドルに制限される」ことに同意させられていた。

以下、検証のためにアクセスしていますが、ハイリスクのため不用意にクリックせず、問答無用にChromeを閉じたほうが無難です

chrome-ad003

設問は全4問。

chrome-ad004

設問に全部答えると、見事に当選!(笑)

chrome-ad005

「ここをクリック」してみると「FAST PLAYZ」という聞いたことのない動画サイト?の入会ページに移動。

ちなみに「FAST PLAYZ」でググると該当の動画サイトはヒットせずw

chrome-ad006

適当なアドレスとパスワードを入力すると、やはり出てきたクレジットカードの入力画面。
しかも適当なカード番号を入力すると、「正しい番号を入力してください」と表示される。

ここで面倒くさくなったので検証は終了。

取り敢えず、ブラウザが乗っ取られるハイジャッカーというマルウェアが侵入している可能性が高いので、アドウェアやハイジャッカーに強いAdwCleanerを実行。

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

chromead007

案の定と言うか、直接の原因か定かではないが、onmiboxes がちゃかり居座っていた。

検出されたファイルを削除したので、しばらくは様子見。
同様の症状が出ているようであれば、AdwClreanerを試すと良いかも。





セキュリティソフト

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

VirusTotalの概要と使い方

VirusTotalはオンラインのマルウェア検出ツールで、2012年にスペインのセキュリティベンダー「Hispasec」 … “VirusTotalの概要と使い方” の続きを読む

Kaspersky Free のインストールと使い方

MicrosoftのWindows Defenderに物言いを付けたカスペルスキーが2017年7月、ついに無料バージョン … “Kaspersky Free のインストールと使い方” の続きを読む

Avast Free AntiVirusのインストールと使い方

AVASTはチェコ共和国の企業で、2016年には「avast!」と同様の無料ウイルス対策ソフトを提供していたオランダのA … “Avast Free AntiVirusのインストールと使い方” の続きを読む





iPhoneのアカウント情報を抜き取るマルウェア

2015/09/01

ジェイルブレイク(脱獄)したiPhoneやiPadを標的にしたマルウェアが確認された。
ユーザー名やパスワードなどアカウント情報が抜き取られ、被害は18カ国で225,000人を超えるらしい。
「KeyRaider」と呼ばれるこのマルウェアは、ランサムウェアの性質もあるようで、デバイスを遠隔操作でロックし、身代金を要求してくる事例も確認されているとのこと。

脱獄「iPhone」を狙ったマルウェアがアカウント情報を窃取link



iOSに関してはKeyRaiderの他に、スパイウェア販売会社「Hacking Team」が配布していたアプリにもマルウェアが仕込まれていたことが7月に確認されたばかりで、こっちはジェイルブレイクしていなくても感染する模様。

iPhoneやiPadは世界的にシェアを伸ばしているので、その分だけ標的にされる確率も上がってくる。
アプリに関してはAndroidのPlayストアよりも、Appストアの方が審査が厳しく、マルウェアのリスクは低いと言われているが、2012年7月に初めてAppストアでマルウェアが確認されて以来、Android同様イタチごっこになっていることに変わりはない。

脅威の数はAndroidと比較すると圧倒的に少ないようだが、iOSの安全性を盲信していると痛い目をみる可能性はあるので、用心するに越したことはない。





マルウェア対策ソフト

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

VirusTotalの概要と使い方

VirusTotalはオンラインのマルウェア検出ツールで、2012年にスペインのセキュリティベンダー「Hispasec」 … “VirusTotalの概要と使い方” の続きを読む

Kaspersky Free のインストールと使い方

MicrosoftのWindows Defenderに物言いを付けたカスペルスキーが2017年7月、ついに無料バージョン … “Kaspersky Free のインストールと使い方” の続きを読む

Avast Free AntiVirusのインストールと使い方

AVASTはチェコ共和国の企業で、2016年には「avast!」と同様の無料ウイルス対策ソフトを提供していたオランダのA … “Avast Free AntiVirusのインストールと使い方” の続きを読む





レノボのPCに情報漏洩と遠隔操作の可能性

2015/08/22

プログラムの脆弱性で話題になるのは、MicrosoftのWindows、OracleのJava、AdobeのFlashなど、当たり前だがソフトウェアメーカーなのだが、なぜかレノボだけが定期的にプログラムの脆弱性で話題になる。
低価格が売りのレノボだが、HPやDELL、ASUS、Acerなど、似たようにローコストのPCを販売しているグローバルメーカーでは、ほとんど聞いたことがない。



Lenovo社製ノートパソコンから個人情報流出の恐れlink

つい半年ほど前には悪質なアドウェアがプリインストールされていて話題になったばかりだが、今度はパソコンに組み込まれたソフトに重大な脆弱性が見つかり、ウイルス感染や遠隔操作される可能性が指摘された。
もともと問題のプログラムは、「パソコンの起動時に動作し、システム情報を自動的に自社サーバに送信する」もので、ユーザーが簡単に削除できないようになっているらしい。。。

このプログラム自体どうかと思うが、穿った見方をすれば遠隔操作が可能なのは「欠陥」ではなく「仕様」で、実は以前から噂になっているレノボPCに仕組まれているというバックドアが発覚しただけなのかもしれない。

マルウェア関連トピックス

Defencebyteというローグウェア

2019/01/15 ときどき海外からアプリのレビュー依頼が来る。 基本的に「来るもの拒まず」の精神で依頼されたアプリを … “Defencebyteというローグウェア” の続きを読む

ウイルスや不正アクセスが減少傾向に

2018/10/26 2018年10月25日に公表されたIPA(情報処理推進機構)の「コンピュータウイルス・不正アクセス … “ウイルスや不正アクセスが減少傾向に” の続きを読む

Coinhiveの問題

2018/06/15 いま話題のCoinhive。 16人が摘発、3人が逮捕されている。 他人PCで仮想通貨「採掘」=サ … “Coinhiveの問題” の続きを読む

悪質なリダイレクト広告

2017/11/29 2017/12/17更新 先日、GoogleはChromeでリダイレクトを規制する機能の追加を発表 … “悪質なリダイレクト広告” の続きを読む

Appleを騙ったフィッシングメール

2017/08/23 フィッシングメールと思われるAppleサポートを騙ったメールが届いた。 リマインダ:チームサポート … “Appleを騙ったフィッシングメール” の続きを読む





セキュリティソフト

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

VirusTotalの概要と使い方

VirusTotalはオンラインのマルウェア検出ツールで、2012年にスペインのセキュリティベンダー「Hispasec」 … “VirusTotalの概要と使い方” の続きを読む

Kaspersky Free のインストールと使い方

MicrosoftのWindows Defenderに物言いを付けたカスペルスキーが2017年7月、ついに無料バージョン … “Kaspersky Free のインストールと使い方” の続きを読む

Avast Free AntiVirusのインストールと使い方

AVASTはチェコ共和国の企業で、2016年には「avast!」と同様の無料ウイルス対策ソフトを提供していたオランダのA … “Avast Free AntiVirusのインストールと使い方” の続きを読む





lenovoのPCに悪質なアドウェアがプリインストール

2015/02/19

レノボがまた やってしまった。
今回はノートPCにプリインストールしてあるSuperFishというアドウェア。
このアドウェアは勝手に広告を表示するだけでなく、電子証明書を偽造したり、暗号化された通信を傍受したり、と、やりたい放題。

lenovoに悪質アドウェアがプリインストールlink



レノボの見解では「素晴らしいユーザーエクスペリエンスを提供」するためにSuperFishをプリインストールしたらしい。
思いつく言葉は、「盗人猛々しい」。

今回の対応としてサーバ側と接続できないように、lenovoに搭載されたSuperFishは全て無力化されたと発表。

レノボの見解link

問題のSuperFishがプリインストールされているのはコンシューマー向けのノートPCで、安価なローエンドモデルからハイエンドモデルまで、ほぼ全てのシリーズが該当している。

無力化したと言っても、フリーソフトでもないのにサードパーティー製のアドウェアをプリインストールするような真似をしているので、どこまで信用できるのか甚だ疑問。
lenovoが実施した無力化を信じられないなら、自力でアンインストールし、証明書を削除しろと言わんばかりに、アンインストールの方法も公開されているが、量販店などでレノボ製のPCを購入している層で、証明書の削除まで行えるユーザーがどれほど居るのか。。。

もともとレノボ製のPCにはバックドアが仕込まれているというのは以前からの噂で、2013年にはオーストラリアの諜報機関がレノボ製PCの使用を禁止したという、まことしやかなデマも流れた。

国内で出荷されたSuperFishをプリインストールしているPCは5万台。
lenovoの安さの秘密がバックドアでないことを願っておこう。




マルウェア対策ソフト

AdwCleaner のインストールと使い方

AdwCleanerはアドウェアとハイジャッカーの駆除に特化したフリーソフト。 インストールが必要なく、ダウンロードした … “AdwCleaner のインストールと使い方” の続きを読む

ESET Internet Securityのインストールと使い方

ESET Internet Securityはスロバキアのセキュリティベンダー「ESET」が開発したセキュリティソフトで … “ESET Internet Securityのインストールと使い方” の続きを読む

VirusTotalの概要と使い方

VirusTotalはオンラインのマルウェア検出ツールで、2012年にスペインのセキュリティベンダー「Hispasec」 … “VirusTotalの概要と使い方” の続きを読む

Kaspersky Free のインストールと使い方

MicrosoftのWindows Defenderに物言いを付けたカスペルスキーが2017年7月、ついに無料バージョン … “Kaspersky Free のインストールと使い方” の続きを読む

Avast Free AntiVirusのインストールと使い方

AVASTはチェコ共和国の企業で、2016年には「avast!」と同様の無料ウイルス対策ソフトを提供していたオランダのA … “Avast Free AntiVirusのインストールと使い方” の続きを読む