2004年10月30日 - JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
JWordと言えばCnsMinを利用し、多くのユーザーよりスパイウェア疑惑を持たれているツールバーである。
それにも関わらず、何故か多くのネット上で利用されているのは不思議な現象だ。
一例として、はてながJWordのアクセスポート社と提携し、はてなキーワードの検索結果に「J」が表示されるようになったのは、大変な驚きだった。
「ブログサービス「はてなダイアリー」にJWordに登録されたキーワードを掲載(アクセスポート)(http://www.accessport.jp/company/topic_041029.htm)」
「はてなと JWord が提携、で Blog にキーワードを掲載(Japan.internet.com)
JWordは(狭義での)スパイウェア(*1)ではない、自分は以前実際に試したのだ。
一つ気になる点として、アンインストール時にIDが送られるといった不審な動作が起きるものの、このIDはどうやらランダムのようである。
だから厳密には「個人を特定できる情報」とは言い切れない
インストールしたものをハードディスク丸ごとコピーして数回試したが、このIDはそれぞれ違うのだ(このようなID送信機能がどのような目的なのかが理解できないのだが)。
*1:2006年2月26日補足事項
ASC(Anti-Spyware Coalitionm)の定義によれば、JWordは「スパイウェアとその他の潜在的に望まれない技術」に含まれる(ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義)
忘れられがちなのだが、JWordのこれまでの歴史はまともではなかった。
それらを取り上げてみよう。
これについてはここにまとめておいた。
ウイルスバスターによるJWORDのCnsMin.dll誤検出(Semplice)
ブラウザの設定によっては、ユーザーの同意を得ずに強制的にインストールさせた*2。また異常な回数でインストールを促すポップアップを表示させ、ユーザーの誤操作によりインストールさせようと試みている。
(現在ではNEC製品に組み込まれたりはしているが、かつての歴史を忘れてはならない)
かつてはJWordはアンインストールはできない(もしくは正常にできない)ものであり、多くの先人が対策を練った過去がある。
またアクセスポート社が公開していた手順は一般ユーザーには難しく面倒な方法であり、ハードルが高すぎた。
更には当時まだまだ多かったWindows95/98/Meでの方法は公開されていないばかりか、アクセスポート社が動作確認を行ったのはWindows 2000 Pro. / XP Proのみであったのだ。
Tefroomさんでこの問題について言及しているのを見つけた。
(Web Archiveって使い方次第では、このように過去の行いの証拠になるのだな)
Web Archiveで表示された画面の一番下の「JWordプラグイン(CnsMin)手動削除方法↓ 」を押してもらいたい。
(なんちゅう無責任な話だ・・・・・)
アンインストールするためにはネット上で第三者が公開しているツールなどを使わねばならず、当時多かったWindows95/98/Meユーザーにとってはその点で単なる迷惑ツールであったのだ。
(現在ではコントロールパネルの「プログラムの追加と削除」よりアンインストールが可能である)
経験談だが、同僚のVAIOはJWordの自動更新のたびにOSがフリーズした。感染元はマピ*ンであったが、泣きつかれて対応し即削除したら、その後不具合は起きていない。
またWindows Updateが原因不明のエラーにて失敗していたのだが、JWordをアンインストールした直後より正常にWindows Updateが行えるようになった経験もある(JWordとWindows Updateエラー(Semplice))。
JWord(旧(株)アクセスポート(AccessPort Inc.))側の文書は、なかなかユニークなのだ。
このようにマルウェア(Malware)の定義をわざわざ記述する事により、自身の無実を証明しようとでも考えているらしいのだが。
この定義に従えば、これはこの日記の前節で記述したJWordの歴史(1)を除く(2)(3)(4)にそのまま抵触する。
ならばJWordは(現在はどうか知らないけれど)少なくとも過去のある時点では、ブラウザハイジャッカーだったと言うことか、なるほど。
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
スパイウェア(Spyware)の解説と定義、概論
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-30 はてながJWordのアクセスポートと提携(http://d.hatena.ne.jp/LucaLuca/20041030)を修正・加筆し移転したものです。
それにも関わらず、何故か多くのネット上で利用されているのは不思議な現象だ。
一例として、はてながJWordのアクセスポート社と提携し、はてなキーワードの検索結果に「J」が表示されるようになったのは、大変な驚きだった。
「ブログサービス「はてなダイアリー」にJWordに登録されたキーワードを掲載(アクセスポート)
「はてなと JWord が提携、で Blog にキーワードを掲載(Japan.internet.com)
JWordとアクセスポートの過去はかなりダーク
JWordは(狭義での)スパイウェア(*1)ではない、自分は以前実際に試したのだ。
一つ気になる点として、アンインストール時にIDが送られるといった不審な動作が起きるものの、このIDはどうやらランダムのようである。
だから厳密には「個人を特定できる情報」とは言い切れない
インストールしたものをハードディスク丸ごとコピーして数回試したが、このIDはそれぞれ違うのだ(このようなID送信機能がどのような目的なのかが理解できないのだが)。
*1:2006年2月26日補足事項
ASC(Anti-Spyware Coalitionm)の定義によれば、JWordは「スパイウェアとその他の潜在的に望まれない技術」に含まれる(ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義)
忘れられがちなのだが、JWordのこれまでの歴史はまともではなかった。
それらを取り上げてみよう。
(1)3721.comのCnsMin.dllは海外では悪質なマルウェアが使用するファイルとして認知され、JWordもこれを使っている。
これについてはここにまとめておいた。
ウイルスバスターによるJWORDのCnsMin.dll誤検出(Semplice)
(2)インストールはマルウェア(Malware)のそれと変わらない例があった
ブラウザの設定によっては、ユーザーの同意を得ずに強制的にインストールさせた*2。また異常な回数でインストールを促すポップアップを表示させ、ユーザーの誤操作によりインストールさせようと試みている。
(現在ではNEC製品に組み込まれたりはしているが、かつての歴史を忘れてはならない)
(3)アンインストールできなかった
かつてはJWordはアンインストールはできない(もしくは正常にできない)ものであり、多くの先人が対策を練った過去がある。
またアクセスポート社が公開していた手順は一般ユーザーには難しく面倒な方法であり、ハードルが高すぎた。
更には当時まだまだ多かったWindows95/98/Meでの方法は公開されていないばかりか、アクセスポート社が動作確認を行ったのはWindows 2000 Pro. / XP Proのみであったのだ。
Tefroomさんでこの問題について言及しているのを見つけた。
(Web Archiveって使い方次第では、このように過去の行いの証拠になるのだな)
私の記憶とは違います。以前日本での配布元が公式にアナウンスしていたアンインストールの方法をJava Script(アクティブスクリプト)を有効にしてから見てください。
CnsMin(China Keyword) - JWORDに感染してみました♪ Part2(Tef Room)
Web Archiveで表示された画面の一番下の「JWordプラグイン(CnsMin)手動削除方法↓ 」を押してもらいたい。
(なんちゅう無責任な話だ・・・・・)
アンインストールするためにはネット上で第三者が公開しているツールなどを使わねばならず、当時多かったWindows95/98/Meユーザーにとってはその点で単なる迷惑ツールであったのだ。
(現在ではコントロールパネルの「プログラムの追加と削除」よりアンインストールが可能である)
(4)JWord導入時には、パソコンの動作に不具合が生じた例
経験談だが、同僚のVAIOはJWordの自動更新のたびにOSがフリーズした。感染元はマピ*ンであったが、泣きつかれて対応し即削除したら、その後不具合は起きていない。
またWindows Updateが原因不明のエラーにて失敗していたのだが、JWordをアンインストールした直後より正常にWindows Updateが行えるようになった経験もある(JWordとWindows Updateエラー(Semplice))。
JWord(旧アクセスポート)よ、汝自らを縛る縄を作るなかれ
JWord(旧(株)アクセスポート(AccessPort Inc.))側の文書は、なかなかユニークなのだ。
【スパイウェアおよびブラウザハイジャッカーの定義について】
[ブラウザハイジャッカーについて]
ブラウザハイジャッカーとは、利用者の同意や承諾を得ることなく、Internet Explorer などに設定されているホームページや検索ページの設定を変更した上に、変更した設定を元に戻すことを困難にする目的で作成されたソフトウェアです。
多くのブラウザハイジャッカーは、Web サイトにアクセスしたときに ActiveX コントロールとしてダウンロードされます。また、一般的な方法によるアンインストールができないなど、アンインストールが困難であることを意図して作成されています。
JWord(日本語キーワード) - ヘルプ - 技術情報: CnsMinについて(JWord)(http://www.jword.jp/help/help_faq_install_cnsmin.htm)
このようにマルウェア(Malware)の定義をわざわざ記述する事により、自身の無実を証明しようとでも考えているらしいのだが。
この定義に従えば、これはこの日記の前節で記述したJWordの歴史(1)を除く(2)(3)(4)にそのまま抵触する。
ならばJWordは(現在はどうか知らないけれど)少なくとも過去のある時点では、ブラウザハイジャッカーだったと言うことか、なるほど。
関連記事
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
スパイウェア(Spyware)の解説と定義、概論
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-30 はてながJWordのアクセスポートと提携(http://d.hatena.ne.jp/LucaLuca/20041030)を修正・加筆し移転したものです。
Posted by Luca at 21:35
│
│
2004年10月29日 - ネットワークプリンターにWAN側から接続できるのは
ネットワークプリンターと言うものをご存知だろうか?
要するにLANに接続している各パソコンから利用できるプリンターである。
これを以下の3つに無理やり大別してみる。
1)あるパソコンに直接接続したプリンターを共有して利用
2)旧式プリンターのパラレル/USBポートにアダプターを接続し、LANにつなぐ
3)予め対応している機種(なおCanon製品ではユーザーが増設ボードを使うのを前提としている)
ネットワークプリンター(2)(3)では、Internet Explorerなどのブラウザから設定画面に接続できるものもある。
一部ではこれをルーターの外側、つまり世界中から設定画面に接続できる状態のまま運用している。
これはネットワークプリンターにグローバルIPアドレスを使っている場合、例として官公庁や大学や一部の企業で稀に(よく?)に生じるのを散見する。大体外部からLAN上の機器に直接接続できるのは異常な事態である。
(一般的な個人ユーザーはルーターに一つのグローバルIPアドレスを持ち、そしてLAN側のセグメントにプライベートIPアドレスを使っているため、外部からこのようにプリンターに接続できる状態ではないだろう)
(また常識的な管理者は、このような異常な機器構成なりトポロジーなり運用を見逃すはずがない)
設定画面に接続した経験があるユーザーならわかるのだが、一般にはアクセス制御の目的のパスワードは設定されていない場合もあるだろう。
(設定を変更するにあたってのパスワードが「無い」機種も稀にはある)
また説明書のpdfファイルに堂々とデフォルトのパスワードが書かれ、そして変更されていないのもよくある事だ。
これにより勝手に設定を変更して利用できなくなるようにしたり、更にはファームウェアのアップデートの途中でわざと失敗させてその後機器を利用できなくさせる悪戯が可能であるのだ。
ここまで読んで「そのような運用をしている場所が本当にあるのか?」と疑問を感じたならば、それは常識的な人なら当然の反応なのだが。
実はそのようなネットワークプリンターは複数台がネット上に接続されており、確かに多く存在する。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-29 ネットワークプリンターに外部から接続できるのは(http://d.hatena.ne.jp/LucaLuca/20041029)を修正・加筆し移転したものです。
要するにLANに接続している各パソコンから利用できるプリンターである。
これを以下の3つに無理やり大別してみる。
1)あるパソコンに直接接続したプリンターを共有して利用
2)旧式プリンターのパラレル/USBポートにアダプターを接続し、LANにつなぐ
3)予め対応している機種(なおCanon製品ではユーザーが増設ボードを使うのを前提としている)
ネットワークプリンター(2)(3)では、Internet Explorerなどのブラウザから設定画面に接続できるものもある。
一部ではこれをルーターの外側、つまり世界中から設定画面に接続できる状態のまま運用している。
これはネットワークプリンターにグローバルIPアドレスを使っている場合、例として官公庁や大学や一部の企業で稀に(よく?)に生じるのを散見する。大体外部からLAN上の機器に直接接続できるのは異常な事態である。
(一般的な個人ユーザーはルーターに一つのグローバルIPアドレスを持ち、そしてLAN側のセグメントにプライベートIPアドレスを使っているため、外部からこのようにプリンターに接続できる状態ではないだろう)
(また常識的な管理者は、このような異常な機器構成なりトポロジーなり運用を見逃すはずがない)
設定画面に接続した経験があるユーザーならわかるのだが、一般にはアクセス制御の目的のパスワードは設定されていない場合もあるだろう。
(設定を変更するにあたってのパスワードが「無い」機種も稀にはある)
また説明書のpdfファイルに堂々とデフォルトのパスワードが書かれ、そして変更されていないのもよくある事だ。
これにより勝手に設定を変更して利用できなくなるようにしたり、更にはファームウェアのアップデートの途中でわざと失敗させてその後機器を利用できなくさせる悪戯が可能であるのだ。
ここまで読んで「そのような運用をしている場所が本当にあるのか?」と疑問を感じたならば、それは常識的な人なら当然の反応なのだが。
実はそのようなネットワークプリンターは複数台がネット上に接続されており、確かに多く存在する。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-29 ネットワークプリンターに外部から接続できるのは(http://d.hatena.ne.jp/LucaLuca/20041029)を修正・加筆し移転したものです。
Posted by Luca at 21:05
│
│
2004年10月25日 - WHOISとドメイン登録者の個人情報
ドメインはレジストリ(registry)と呼ばれる団体が管理する。そしてレジストリと申請者の間を取り持つのは、レジストラ(registrar)と呼ばれる。
(例としてjpドメインをまとめて管理するのはJPRS(株式会社日本レジストリサービス)という団体である。)
一般のユーザーが取得するドメインはcom・net・orgなどであるが、これらはgTLDと呼ばれ、ICANNの認定を受けたレジストラ業者が仲介する。
InterNICのサイトではレジストラが複数紹介されているが(http://www.internic.net/alpha.html)、その下請けのような立場の業者が複数存在する。
ここで考えてもらいたい。
ドメインを取得するにあたり、どのような情報がネット上に公開されるのだろうか?
そしてWhoisにより、どこまで個人情報が判明してしまうのだろうか。
この取得されたドメインに関する情報を調査するものとして、Whoisと呼ばれる方法がある。
これはドメインの所有者がどのような個人・団体なのかを調べるためのものである。ネット上で提供しているサイトも複数あるようだ。
ANSI Whois Gateway: ドメイン名 / IPアドレス検索サービス
IPドメインSEARCH
Inter NIC
ドメインを取得すると、場合によっては個人名、住所、電話番号までが公開され、Whoisにより簡単に判明してしまう可能性がある。
(例として、スパムメールを送信した業者の住所を突き止めて、実際に訪問し写真を公開するのがなど)
取得した後に名義をレジストラに変更すればWhoisでは契約した業者の情報しか公開されないと思いきや、どこかで更新されないキャッシュが残る可能性も皆無ではないらしい。だがやらないよりは良いだろう。
最初から取得時に代行してくれ、個人情報が漏れないようにしてくれる業者もあるようだが、具体的にどの業者がそのようなサービスを提供しているのかはわからないな*1。
個人情報が漏れるのを防ぐ目的で、架空名義でドメインを取得する者も居るようだが。これは場合によっては利用する上での規約に抵触し、登録を削除されてしまう可能性もある。そのような目的で、嫌がらせとして通報される場合もあるらしい。
(なお、この場で論じているのはDDNSではない)
*1:SAKURA(http://www.sakura.ad.jp/)で匿名でドメイン取得でき、それをSAKURAで契約したレン鯖で手軽に使えると最近になって知った
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-25 ドメイン取得する友人に送る - WHOISと登録者の個人情報(http://d.hatena.ne.jp/LucaLuca/20041025)を修正・加筆し移転したものです。
(例としてjpドメインをまとめて管理するのはJPRS(株式会社日本レジストリサービス)という団体である。)
一般のユーザーが取得するドメインはcom・net・orgなどであるが、これらはgTLDと呼ばれ、ICANNの認定を受けたレジストラ業者が仲介する。
InterNICのサイトではレジストラが複数紹介されているが(http://www.internic.net/alpha.html)、その下請けのような立場の業者が複数存在する。
ここで考えてもらいたい。
ドメインを取得するにあたり、どのような情報がネット上に公開されるのだろうか?
そしてWhoisにより、どこまで個人情報が判明してしまうのだろうか。
この取得されたドメインに関する情報を調査するものとして、Whoisと呼ばれる方法がある。
これはドメインの所有者がどのような個人・団体なのかを調べるためのものである。ネット上で提供しているサイトも複数あるようだ。
ANSI Whois Gateway: ドメイン名 / IPアドレス検索サービス
IPドメインSEARCH
Inter NIC
ドメインを取得すると、場合によっては個人名、住所、電話番号までが公開され、Whoisにより簡単に判明してしまう可能性がある。
(例として、スパムメールを送信した業者の住所を突き止めて、実際に訪問し写真を公開するのがなど)
取得した後に名義をレジストラに変更すればWhoisでは契約した業者の情報しか公開されないと思いきや、どこかで更新されないキャッシュが残る可能性も皆無ではないらしい。だがやらないよりは良いだろう。
最初から取得時に代行してくれ、個人情報が漏れないようにしてくれる業者もあるようだが、具体的にどの業者がそのようなサービスを提供しているのかはわからないな*1。
個人情報が漏れるのを防ぐ目的で、架空名義でドメインを取得する者も居るようだが。これは場合によっては利用する上での規約に抵触し、登録を削除されてしまう可能性もある。そのような目的で、嫌がらせとして通報される場合もあるらしい。
(なお、この場で論じているのはDDNSではない)
*1:SAKURA(http://www.sakura.ad.jp/)で匿名でドメイン取得でき、それをSAKURAで契約したレン鯖で手軽に使えると最近になって知った
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-25 ドメイン取得する友人に送る - WHOISと登録者の個人情報(http://d.hatena.ne.jp/LucaLuca/20041025)を修正・加筆し移転したものです。
Posted by Luca at 21:20
│
│
2004年10月23日 - トレンドマイクロ広報からスパイウェアの定義について返信が来た
JWordに対しトレンドマイクロ社(ウイルスバスターの製造販売元)は、悪質なソフトウェアとして扱わないとしたのだが。
2004年10月6日 ウイルスバスターによるJWORDのCnsMin.dll誤検出(Semplice)
予め書いておくが、自分はJWordには好印象を持っていない。
(スパイウェアでもアドウェアでもないのは確認済みだが)
ただ過去の配布の容態から(強制的にインストールさせたり、もしくは異常な回数のポップアップを表示させユーザーが誤ってクリックするよう期待するため)、普通のブラウザーヘルパーオブジェクトでは無いと考えている。
(NECなどではこれがパソコン出荷時に既にインストールされているのだが)
そして場合によっては更新の度にパソコンをフリーズさせてくれる。
去年マ*オン経由でインストールしたパソコンがその更新に失敗して固まるのは確認しているし、これについては同様の報告例が他にもネット上にあるようだ。
CnsMin(China Keyword) - JWORDに感染してみました♪ Part2
トレンドマイクロの広報宛にメールを送信して問い合わせてみる。このような内容だ(INTERNET WATCHとアクセスポートとのCCにした)。
(アクセスログには3社いずれも来ていないようだが)
これに対するトレンドマイクロの返信は、こんなものである。
だーからーら、違うんだって!
記者はJWordを、トレンドマイクロが言う「広義のスパイウェア」ではなく「狭義のスパイウェア」として誤って(もしくは意図的に誤用して)書いているのだ。
それは記者がトレンドマイクロのsolution 10044(記者の元ネタはこれと思われる)での「「JWORD」自体にはアドウェア的な活動は」のくだりを「スパイウェア」と言い換えて、読者の誤解を招く形で記事として仕立て上げた事でも明らかだ。
そこへトレンドマイクロ社の見解として、より不適切な解釈を含むメールを返信しないで下さいな(例えばキーロガはスパイウェアの範疇ではない!)
(何度もしつこく書くが、JWordはスパイウェアでもAdwareでもない、ブラウザヘルパーオブジェクトかブラウザハイジャッカー類である)
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-23 トレンドマイクロ広報からスパイウェアの定義について返信が来た(http://d.hatena.ne.jp/LucaLuca/20041023)を修正・加筆し移転したものです。
2004年10月6日 ウイルスバスターによるJWORDのCnsMin.dll誤検出(Semplice)
予め書いておくが、自分はJWordには好印象を持っていない。
(スパイウェアでもアドウェアでもないのは確認済みだが)
ただ過去の配布の容態から(強制的にインストールさせたり、もしくは異常な回数のポップアップを表示させユーザーが誤ってクリックするよう期待するため)、普通のブラウザーヘルパーオブジェクトでは無いと考えている。
(NECなどではこれがパソコン出荷時に既にインストールされているのだが)
そして場合によっては更新の度にパソコンをフリーズさせてくれる。
去年マ*オン経由でインストールしたパソコンがその更新に失敗して固まるのは確認しているし、これについては同様の報告例が他にもネット上にあるようだ。
CnsMin(China Keyword) - JWORDに感染してみました♪ Part2
トレンドマイクロの広報宛にメールを送信して問い合わせてみる。このような内容だ(INTERNET WATCHとアクセスポートとのCCにした)。
(アクセスログには3社いずれも来ていないようだが)
2004/10/18 10:12にINTERNETWATCHに掲載された記事へのトレンドマイクロ社のコメントについて、質問があります。
>「トレンドマイクロ、JWordを検出しないウイルスバスターの定義ファイル提供」
>http://internet.watch.impress.co.jp/cda/news/2004/10/18/5012.html
この記事にはトレンドマイクロ社のコメントとして、不適切な内容を含むものが掲載されております。
端的に書けば、意図的にアドウェアとスパイウェアといった単語を誤って掲載させ、読者の誤解を誘い、JWordへの読者への印象を不当に誘導しております。
JWordはスパイウェアでもアドウェアでもなく、その開発の経緯のためマルウェアとして一部モジュールが検出対象となっていただけです。
1)>「スパイウェア「ADW_CNSMIN.A」のパターンファイルと一致するため、スパイウェアとして検知していた。」
接頭語はADWなので、トレンドマイクロ製品ではスパイウェアではなくアドウェアとして検出されていたはずです。
2)>「「トレンドマイクロでは、「JWord自体はスパイウェア的な活動を行なわない」とし」
トレンドマイクロ社のコメントは以前から「「JWORD」自体にはアドウェア的な活動は含まれておりません」であり、スパイウェアと呼称されることによりアクセスポート社のイメージダウンは避けられません。
(スパイウェアとアドウェアでは、読者が受ける印象はあまりにも違います)
3)>トレンドマイクロでは、「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とコメント。
トレンドマイクロ社の用語集に書かれているスパイウェアの項目とはかけ離れています。
ユーザーがその機能を十分に周知して納得した上でインストールするならば、それはスパイウェアの定義からは外れるからです。
この記事中のコメントは、アドウェアの間違いでしょうか。
(参考: http://www.trendmicro.com/jp/security/general/glossary/overview.htm#スパイウェア)
これに対するトレンドマイクロの返信は、こんなものである。
1)2)について
こちらにつきましてですが、弊社製品では、スパイウェアパターンファイルにてADWの接頭語で検出します。スパイウェアパターンファイルにて検出されるため上記記載となっています。
スパイウェアというのは大きなカテゴリとして考えており、その大きなカテゴリの中にスパイウェア、アドウェア、ダイヤラーなどの小カテゴリが含まれています。これらすべてを検出するのが弊社では「スパイウェアパターン」であるため、弊社ではアドウェアであっても総称して「スパイウェア」と呼ぶ場合があります。
3)について
本コメントについてですが、スパイウェアはグレーゾーンのソフトウェアであり、基本的には弊社の用語集にあるようなガイドラインを元にお客様からのお問い合わせの内容をケースバイケースで検出するかどうかを判断しております。
本コメントは、ソフトウェアインストール時にインストールを許諾してインストールを進めたところ、スパイウェアが含まれていたというケースもあるといった場面を想定したコメントです。
弊社用語集に記載しているユーザ許可なしにとは、「ユーザの許可なしに情報送信してしまう」という内容を指しております。そのため、用語集に書かれているスパイウェアの項目とはかけ離れているということではございません。
だーからーら、違うんだって!
記者はJWordを、トレンドマイクロが言う「広義のスパイウェア」ではなく「狭義のスパイウェア」として誤って(もしくは意図的に誤用して)書いているのだ。
それは記者がトレンドマイクロのsolution 10044(記者の元ネタはこれと思われる)での「「JWORD」自体にはアドウェア的な活動は」のくだりを「スパイウェア」と言い換えて、読者の誤解を招く形で記事として仕立て上げた事でも明らかだ。
そこへトレンドマイクロ社の見解として、より不適切な解釈を含むメールを返信しないで下さいな(例えばキーロガはスパイウェアの範疇ではない!)
(何度もしつこく書くが、JWordはスパイウェアでもAdwareでもない、ブラウザヘルパーオブジェクトかブラウザハイジャッカー類である)
関連記事
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-23 トレンドマイクロ広報からスパイウェアの定義について返信が来た(http://d.hatena.ne.jp/LucaLuca/20041023)を修正・加筆し移転したものです。
Posted by Luca at 21:14
│
│
2004年10月21日 - 占いやアンケートへ誘導し個人情報を取得
予め断りを入れておくが。
以前出入りしていた掲示板にて、やたらと頻繁に占いやアンケートを紹介する不審な者が居たと思い出して書いた雑文である。
だからこの日記は、特定の占いサイト管理人を指すものではない。
チャットやブログやBBSでよく、占いを紹介する書き込みがある。
「こんなタイプだったよ〜!」と報告が並ぶのを見て、背筋が寒いのだ。
そのような場では本名・生年月日・職業、そして細かいものでは趣味や飼っているペットなどの入力を求められる。
占いやアンケートでは、そのような個人情報を警戒心を感じずに入力する人も多いようだ。
しかしちょっと冷静に考えてもらいたい。
それを紹介したのは、誰なんだ?
そして運営するのは誰なんだ?
もしこれが罠目的であるならば、書き込み時刻からハンドルと特定の個人を結びつけられる。
個人情報を特定され、いきなり職場に訪問されたり、自宅の写真を他人に公開される可能性もある。
もしネット上で占いを試すならば、信頼できる人から紹介してもらったサービスを利用するべきだ。もしくは誰かの紹介を経ずにGoogleか何かで検索して、全くの第三者が運営するサービスを利用したほうがまだ良いだろう。
またそのようなサービスを利用する場合は、名前入力の欄は普段使っているハンドル以外のものを入力するべきである。
そして結果報告を書き込む場合は、細心の注意を払うべきである。これによりハンドルと入力した情報とアクセスログを結びつけられる可能性がある。
多少飛躍しすぎな感はあるが、フリーメールやフリーのWebスペースのアカウントを第三者に乗っ取られる危険性もある。
これらにはユーザー向けに、パスワードリマインダーという機能があるのを知っているだろうか?
これはフリーメールや何かのアカウントを取得した後、万が一パスワードを忘れて問い合わせる場合に管理者から問い合わせられる項目だ。
アカウントのパスワードを取得しようと試みる第三者にとって、多くの情報を得るのは当人を装うための方策である。
誕生日を問い連絡先をその場で入力させるサービス、これは最悪。これはアンケートや占いを装い、簡単に入手できる情報だし、第三者が容易に自身を連絡先として設定できる。
検索エンジンで調べると、郵便番号を入力させるもののあった。これは大まかな住所を把握できれば簡単に推測できる。
占いやアンケート経由でなくても、簡単に取得できる情報もある。
凝ったものとしては母親の旧姓。これは個人情報をある程度まで取得したならば容易に判別できるし、チャットで聞き出すのも簡単。
ペットの名前、これも同じ。
生まれた場所、これも。
理想的なのは、複数の質問項目を経てから、アカウント取得時に登録したメールアドレスへ(古いパスワードを停止した上で)新しい(仮の一時的な)パスワードを連絡し、その後新規にパスワードを設定するように促す方法だ。
これであれば第三者がパスワードを得られる可能性は低くなり、また万が一悪意を持った第三者が当人になりすましても、ログオンできなくなった本当のユーザーがトラブルに気付くチャンスは増える。
(AOLはアメリカ国内でそのような対応をしており、また問い合わせを受けたオペレーターはユーザーの本当の元パスワードを閲覧できない仕組みになっているそうだ)
いきなり元のパスワードを連絡するのは望ましくないし、十分な権限を持たない管理者がそれを閲覧するのも避けるべきだ。
サービスを提供する側の問題もある。
パスワード問い合わせ画面で、元の(もしくは再発行された)パスワードの連絡先をそのつど随時入力させるようなサービスは、利用しない方がいい。
(本当にこのようなものもあるのだ!)
そのような「うかつで天然」な管理人が居るようでは、何があってもまともな対応は期待できない。
(大体連絡先は本当にそのユーザーなのかをどうやって確認する気なんだ?)
サイト管理者は登録された内容か否かを照会するのみではなく、どのようにしてユーザーに連絡するのかまで細かく気を使うべきである。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-21 占いサイトやアンケートへ誘導する罠(http://d.hatena.ne.jp/LucaLuca/20041021)を修正・加筆し移転したものです。
以前出入りしていた掲示板にて、やたらと頻繁に占いやアンケートを紹介する不審な者が居たと思い出して書いた雑文である。
だからこの日記は、特定の占いサイト管理人を指すものではない。
チャットやブログやBBSでよく、占いを紹介する書き込みがある。
「こんなタイプだったよ〜!」と報告が並ぶのを見て、背筋が寒いのだ。
そのような場では本名・生年月日・職業、そして細かいものでは趣味や飼っているペットなどの入力を求められる。
占いやアンケートでは、そのような個人情報を警戒心を感じずに入力する人も多いようだ。
しかしちょっと冷静に考えてもらいたい。
それを紹介したのは、誰なんだ?
そして運営するのは誰なんだ?
もしこれが罠目的であるならば、書き込み時刻からハンドルと特定の個人を結びつけられる。
個人情報を特定され、いきなり職場に訪問されたり、自宅の写真を他人に公開される可能性もある。
もしネット上で占いを試すならば、信頼できる人から紹介してもらったサービスを利用するべきだ。もしくは誰かの紹介を経ずにGoogleか何かで検索して、全くの第三者が運営するサービスを利用したほうがまだ良いだろう。
またそのようなサービスを利用する場合は、名前入力の欄は普段使っているハンドル以外のものを入力するべきである。
そして結果報告を書き込む場合は、細心の注意を払うべきである。これによりハンドルと入力した情報とアクセスログを結びつけられる可能性がある。
多少飛躍しすぎな感はあるが、フリーメールやフリーのWebスペースのアカウントを第三者に乗っ取られる危険性もある。
これらにはユーザー向けに、パスワードリマインダーという機能があるのを知っているだろうか?
これはフリーメールや何かのアカウントを取得した後、万が一パスワードを忘れて問い合わせる場合に管理者から問い合わせられる項目だ。
アカウントのパスワードを取得しようと試みる第三者にとって、多くの情報を得るのは当人を装うための方策である。
誕生日を問い連絡先をその場で入力させるサービス、これは最悪。これはアンケートや占いを装い、簡単に入手できる情報だし、第三者が容易に自身を連絡先として設定できる。
検索エンジンで調べると、郵便番号を入力させるもののあった。これは大まかな住所を把握できれば簡単に推測できる。
占いやアンケート経由でなくても、簡単に取得できる情報もある。
凝ったものとしては母親の旧姓。これは個人情報をある程度まで取得したならば容易に判別できるし、チャットで聞き出すのも簡単。
ペットの名前、これも同じ。
生まれた場所、これも。
理想的なのは、複数の質問項目を経てから、アカウント取得時に登録したメールアドレスへ(古いパスワードを停止した上で)新しい(仮の一時的な)パスワードを連絡し、その後新規にパスワードを設定するように促す方法だ。
これであれば第三者がパスワードを得られる可能性は低くなり、また万が一悪意を持った第三者が当人になりすましても、ログオンできなくなった本当のユーザーがトラブルに気付くチャンスは増える。
(AOLはアメリカ国内でそのような対応をしており、また問い合わせを受けたオペレーターはユーザーの本当の元パスワードを閲覧できない仕組みになっているそうだ)
いきなり元のパスワードを連絡するのは望ましくないし、十分な権限を持たない管理者がそれを閲覧するのも避けるべきだ。
サービスを提供する側の問題もある。
パスワード問い合わせ画面で、元の(もしくは再発行された)パスワードの連絡先をそのつど随時入力させるようなサービスは、利用しない方がいい。
(本当にこのようなものもあるのだ!)
そのような「うかつで天然」な管理人が居るようでは、何があってもまともな対応は期待できない。
(大体連絡先は本当にそのユーザーなのかをどうやって確認する気なんだ?)
サイト管理者は登録された内容か否かを照会するのみではなく、どのようにしてユーザーに連絡するのかまで細かく気を使うべきである。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-21 占いサイトやアンケートへ誘導する罠(http://d.hatena.ne.jp/LucaLuca/20041021)を修正・加筆し移転したものです。
Posted by Luca at 20:58
│
│
2004年10月16日 - Spyware Stormerは存在しない脅威で脅迫する
海外のサイトを見ていると、このSpywareStomerのタイトルが「Warning - Spyware Notice」そして「If your computer has been running slower than usual, it may be infected with Adware or Spyware. To scan your computer, click yes below.」と言うなかなか扇情的なバナー広告を見る事もあろう。
(YesとNoいずれを押してもhttp://www.spywarestormer.com/に転送される)
転送先のhttp://www.spywarestormer.com/にて表示される「spyware infections found: 46」は単なるデフォルトで表示される画像なのだが、数人に一人は自分が感染中なのかと勘違いするやもしれない。
先に結論を書いてしまうが。
OSインストール直後なのにこのソフトにより検出される、Lop.comが何を指すのかは不明。
またMartifinder - Extreme Riskとは何だ?大体、該当するキーや文字列やDWORD値は存在しない。誤記かと考え、推定されるもの(IEのホーム)をMSのURLから「http://www.google.co.jp/」へ変更しても、同じものが検出される。
やっぱりインチキソフトか?
折角なのでテストしてみることにしたのだ。
テスト目的でWindows XPをセットアップし、SP1を適用した。
Internet Explorerの設定はデフォルトだが、Cookieは無効にした。
念のため、IEのキャッシュとクッキーは全て削除し、トップページはGoogleに変更してある。
Spyware Stormerの配布元である「http://spywarestormer.com/」へIEで接続し、とりあえず「Scan your PC now - free!」を押す。
セキュリティ警告のダイアログが出た。Active X コントロールをダウンロードしてオンラインスキャンさせるつもりのようだ。「はい」を押す。
デスクトップ上にSpyware Stomerという黒地に黄色い雷のアイコンができた。
スキャン終了後、「WARNING! 2 Infections Detected! To remove these infections, you must register Spyware Stomer. Click YES or register now!」ってダイアログが出た。
2つ検出されたが、当然「いいえ」を押す。
Lop.com - 8Vhkx(文字が化けた、以下略) - Type: 実行ファイルのアイコン - Location: 空欄
えーっと。どこの何の話なんでしょうか。
Martifinder - Extreme Risk - Type: Hijacker - Location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main.Start Page
大体、こんな名称のキーや文字列やDWORD値は存在しない。
もしかして、Main\Start Page以下の「http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home」ですか?これがどのような問題があるんでしょうか。
(スキャン後の画面で確認したら、Signature Fire Vertion: Version 6.3 05.10.2004 22:40、Application Version: 1.4.7であった)
もう一度やってみたところ、「Windows システムファイル保護」とかの警告が出て、「システムファイルが書き換えられたんだけど・・・・・」みたいな説明が出た。
薄気味悪いなぁ、何ですかこりゃ。電源落として、またやりなおす。
それからまたクリーンな環境を作って試したが、このような警告が出たのはこれっきりだった(謎
後から考えると、このような貴重な「チャンス」をろくにメモもせずに見過ごしたのは失敗であった。心の底から反省し次回の参考にするつもりだ。
また最初からやりなおすことにした(面倒なんですが、OS再インストールって
Main\Start Page以下を「http://www.google.co.jp/」に書き換えてから再度スキャンしたが、それでもやっぱり同じもの2つが検出された。
どうも「(別に悪いものが無かったとしても)何かをでっち上げて、利用者の不安を煽り立てて購入を強要する」つもりらしい。
「解決したいなら、レジスト(購入)しろ!」ってダイアログが気分悪い。
この手の善意のセキュリティ対策ソフトを騙る悪質なものが増加している。
具体的な手口としては、自分でポップアップ広告を表示しておきながら「ポップアップを停止する対策ソフト買いませんか!」とか。
またアダルトサイトからリダイレクトさせ、「お前のパソコンは感染中だ!対策ソフトの何々を買え!」と嘘の警告を含むコンテンツに転送させる。
最も悪質なものとしては、ブラウザハイジャッカー系のマルウェアに感染させたユーザーに、「助かりたいならこれを買え!」などと怪しいソフトの購入を強要させるダイアログを表示させる例だ。
Spyware Removerは、Lavasoft(スパイウェア対策ソフトのAd-awareの配布元)のフォーラムでインチキソフト(Bogus Spyware Removal Tools)として紹介されている。
Spyware Removel, Bogus Spyware Removel Tools(Lavasoft)
またspywarewarrior.com(それ系の情報がよく集まってる有名な所)にてもRogue/Suspect Anti-Spyware Products(悪党/容疑者 アンチスパイウェア製品)として紹介されている。
Spyware Warrior Rogue-Suspect Anti-Spyware Products & Web Sites(spywarewarrior)
やっぱりバチもんか?
今回の件とは直接の関わりが無く、一部伝聞を含む話だが。
じっくりと数えたのではないが、この手の悪質ソフトはチャイルドポルノ関連のサイト絡みでよく悪意を持って(自分が何かに感染していると誤解させるような形で)広告されるとのこと。これは海外ではそのような画像を所持しているだけで禁固刑になるような背景を悪用し、悪質ソフトを購入したユーザーが司法や関係機関に訴えられないような状況を作り出してやっているとしか考えられない。
つまり、(パソコンの利用者が閲覧し感染したサイトがアダルトコンテンツを含まないものであったとしても!)チャイルドポルノを含むサイトを強制表示させる例が多い。
そのため感染したユーザーは、パソコンの購入元や修理サービスのサポートを事実上受けられなくなる(修理担当者により誤解され警察に通報された場合、そのような性癖が無かったとしても、法律により禁固刑を受ける可能性に怯えなければならなくなるそうだ)。
SpywareStomerの悪質な広告
こんなサイトがあるんですが。Planet Vidsなるサイトです。
ttp://www.planetvids.com/html/ (一応、h抜きで)
Javaスクリプトとクッキーが有効で、後はIE6の高設定で閲覧したんですが。
リロードすると出てこなくなるんだけど、クッキーを削除してからリロードしたらば出る、この嫌ーなダイアログ。
「Message Alert You have 3 messages waiting for you」
えーっと。初見なのに、なんでこの「あなたへの3件のメッセージがあります」なんて表示が出るんだろうか。
そしてどこか適当な場所を押したらば、こんな変なダイアログが。
「ttp://isg04.casalemedia.com - Warning - Microsoft Internet Explorer
Warning - if your computer has been running slower than usual, it may be infected with Adware or Spyware! to Scan your computer for such infections, click yes below.」
Yesを押すとですね。
おなじみのインチキ企業、ttp://www.spywarestormer.com/のSpywareStomerのスキャンページへリダイレクトされました。
スキャン前にこのような表示をちらつかせれば、100人に1人かそれ以上は、自分が何かに感染していると勘違いしそうな予感がする。
このSpywareStomerは、以前も紹介したんだけど。存在しないマルウェア(アドウェアなりスパイウェア)を検出したように騙して、ユーザーに金を払わせて製品版なるものを購入させようとする、悪質業者なのだよ。
このような悪質業者の広告が含まれてたりするのは嫌なものなんだけど。
サイトのトップページの(広告が無い)また別な場所を押したらば、こんなのが出た。
http://isg06.casalemedia.com - Warning -Microsoft Internet Explorer
Help and Support Center Critical Error Detection Wizard
You may have critical errors on your PC.
Use this wizard to help inprove the performance of your PC by removing critical system error...........
この表示が出た理由が理解できず、しばらく考えたんですが。
どうやらこのサイトは、広告を表示するにあたって契約を結んだ先が悪質な業者だったとは考えづらく。
単純に、悪質業者が騙しのターゲットを集めるためにこのようなサイトを作って、そこに様々な騙しリンクなり広告を設置してると考えるのが最も釈然とする解釈だ。
一見すればまともそうな印象に見えるサイトであっても、このようなトラップが含まれるのは、大変驚きである。
以前はアダルトサイトを閲覧した罰のように言われていた、ブラウザ経由でのマルウェアの感染なんですが。
このようなものであれば、アダルトサイトや反社会的内容を含むサイトとは無縁なユーザー層であっても、詐欺の被害に遭遇しそうですね。
コメントスパムとSpywareStomere
何となく気になり、このSpywareStomereをGoogle検索したらばですね。
とあるブログへの2005年06月04日 14:05のコメントスパムに、長々といかがわしい単語と30のリンクが羅列されてました。一部を抜粋。
download free spyware removal
spyware stormer
本当に悪質だな、この業者。
強烈なのは、とあるブログに書き込まれてた何十件ものコメントスパム。ある一件のコメントスパムを、URI付きで編集し抜粋する。
Spyware Eliminator
Free Spyware Remover
http://free-spyware-remover.spyware-spyware.net/Free-Spyware-Remover.html
Free Spyware Removal
http://free-spyware-removal.spyware-spyware.net/Free-Spyware-Removal.html
Spyware Removal
http://spyware-removal.spyware-spyware.net/Spyware-Removal.html
Free Spyware
http://free-spyware.spyware-spyware.net/Free-Spyware.html
Spyware Blaster
http://spyware-blaster.spyware-spyware.net/Spyware-Blaster.html
Spyware Remover
http://spyware-remover.spyware-spyware.net/Spyware-Remover.html
Spyware Doctor
http://spyware-doctor.spyware-spyware.net/Spyware-Doctor.html
Spyware Stomer
http://spyware-stormer.spyware-spyware.net/Spyware-Stormer.html
Anti Spyware
http://anti-spyware.spyware-spyware.net/Anti-Spyware.html
Spyware Software
http://spyware-software.spyware-spyware.net/Spyware-Software.html
Remove Spyware Free
http://remove-spyware-free.spyware-spyware.net/Remove-Spyware-Free.html
Free Removal Of Spyware
http://free-removal-of-spyware.spyware-spyware.net/Free-Removal-Of-Spyware.html
Spyware Eliminator
http://spyware-eliminator.spyware-spyware.net/Spyware-Eliminator.html
これらのうち幾つかは、インチキソフトのテストでインストールした経験がある。
一つのコメントスパムに同じドメイン(spyware-spyware.net)の宣伝としてこれらがまとめて掲載されてるってのは、同系列・もしくは何らかの繋がりがあると推察しても考えすぎではないのだろう。
関連記事
Bogus wareとRogue ware、インチキソフト
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-16 spyware stormerはインチキか?(http://d.hatena.ne.jp/LucaLuca/20041016)、Lucablog 2005-06-20 存在しない脅威で脅迫する広告とSpywareStomer(http://d.hatena.ne.jp/LucaLuca/20050620)、を修正・加筆し移転したものです。 続きを読む
Posted by Luca at 20:52
│
│
2004年10月14日 - DドライブのWindows XPへSP2導入
Windows XPをDドライブにインストールしCドライブにアクセス権を設定しているユーザーは、Dドライブからアクセスできないようにしている場合、それを一時的に解除しなければXP SP2は導入できない。
XP SP2導入時にアンインストールフォルダをDドライブに設定していても、駄目らしい。
今回はかなり悩んだのです。
CドライブにWindows 2000、DドライブにWidnows XP Proを導入しているパソコンがある。
XP SP2を導入するに当たり、こんなエラーが出るのだ。
おや?アンインストールフォルダは「D:\WINDOWS\$NtServicePackUninstall$」に設定しているんだが、どうしてCドライブなどと警告が?
よく考えて見ると、CドライブにはWindows 2000よりアクセス権を設定している。これが原因か?
(アクセス権についてはGoogleでNTFS、アクセス権、Access Control Listで検索してもらいたい)
そう言えばDドライブのXPからCドライブにアクセスできないように、CドライブはAdministrator(コンピュータ名\Administrator)とSystemにフルコントロール-許可を設定し、他のユーザー、例えばEveryoneなどは削除していた。
(Administrators(コンピュータ名\Administrators)ではない)
とりあえずCドライブのWindows 2000で起動。Everyoneを作成し、フルアクセス-許可を設定した。
その後DドライブのWindows XPを起動し、XP SP2を適用。やっと成功した。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-14 DドライブのWindows XPへSP2導入(http://d.hatena.ne.jp/LucaLuca/20041014)を修正・加筆し移転したものです。
XP SP2導入時にアンインストールフォルダをDドライブに設定していても、駄目らしい。
今回はかなり悩んだのです。
CドライブにWindows 2000、DドライブにWidnows XP Proを導入しているパソコンがある。
XP SP2を導入するに当たり、こんなエラーが出るのだ。
「C: にService Pack2をインストールするための十分な空きディスク領域がありません。セットアップには少なくとも1MBの追加の空き領域が必要です。また、アンインストールのためのファイルをアーカイブする場合は、セットアップに1MBの追加の空き領域が必要です。ハードディスクに空き容量を増やして、再試行してください。」
おや?アンインストールフォルダは「D:\WINDOWS\$NtServicePackUninstall$」に設定しているんだが、どうしてCドライブなどと警告が?
よく考えて見ると、CドライブにはWindows 2000よりアクセス権を設定している。これが原因か?
(アクセス権についてはGoogleでNTFS、アクセス権、Access Control Listで検索してもらいたい)
そう言えばDドライブのXPからCドライブにアクセスできないように、CドライブはAdministrator(コンピュータ名\Administrator)とSystemにフルコントロール-許可を設定し、他のユーザー、例えばEveryoneなどは削除していた。
(Administrators(コンピュータ名\Administrators)ではない)
とりあえずCドライブのWindows 2000で起動。Everyoneを作成し、フルアクセス-許可を設定した。
その後DドライブのWindows XPを起動し、XP SP2を適用。やっと成功した。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-14 DドライブのWindows XPへSP2導入(http://d.hatena.ne.jp/LucaLuca/20041014)を修正・加筆し移転したものです。
Posted by Luca at 20:36
│
│
2004年10月06日 - ウイルスバスターによるJWORDのCnsMin.dll誤検出
JWordと言えばあまりにも評判が悪いツールなのだが、これに関して妙な記事があった。
誤検出?それは違うのでは。
もし本当に単純な誤検出であると考えるなら、それは鷹木 創記者の事実誤認だろう*1。
一般に誤検出とは、積極的誤報告(False Positive)と消極的誤報告(False Negative)を指す。前者は無実のファイルを悪質な何かとして検出した、後者はウイルスを見逃す事である。
ウイルス対策ソフトが実際にマルウェア*2の一部として利用されるファイルを検出するのは、誤検出ではない。これは正常な動作だ。
ましてやこのファイルは実際に海外にて、マルウェアの一部として扱われている。
これはセキュリティ製品としては正常な動作である。検出できなかったならば、その製品の信頼は揺らぐ。
2004年10月19日の追記-1
記事のタイトルが「ウイルスバスター2004が「JWord」をスパイウェアとして検知」に変更され、このようなコメントが書かれたので転載する。
トレンドマイクロ社ではこのようなレポートを掲載している。
ツッコミを入れるならばこれはスパイウェアではなく、ブラウザーヘルパーオブジェクト(Browser Helper Object)もしくはブラウザーハイジャッカー(Browser Hijacker)であるのだが。
上記のURLではグレーゾーンと記述されている。
しかしおなじトレンドマイクロ社のコメントであってもこちらでは少し扱いが違っていた。
(2004年10月19日の更新で、「海外のスパイウェア」などの文章は削除されたようだ)
つまりトレンドマイクロ社の見解では、3721.comのものは悪質なもの、そしてJWordのものは安全とでも言いたいらしい。
「配布元が違えば安全だ万歳だ!」ではない。
CnsMin.dllは悪質なブラウザーハイジャッカーの主要なファイルとして作成され、そして配布された。
それを契約元なり関連企業がどのように再配布しようが、セキュリティ対策製品としてはまずは全て叩き落すのが常道であろう。
もしCnsMin.dllへの対応を全て「安全なものとして見逃す」ならば。
利用者がJWord以外の「悪質なもの」に感染した場合、どのように責任を取るのか?その辺りをじっくりと考えてもらいたい。
「A社からのものは駄目だけど、B社からのものならば安全」なんて考えではイカンのだ。
3721.comとJWordそれぞれから配布されているものへの扱いの違いは、なかなかミステリアスである。
なおJWord配布元はこれを無害なものであると弁明しているが。
JWord(日本語キーワード) - ヘルプ - 技術情報: CnsMinについて(JWord)(http://www.jword.jp/help/help_faq_install_cnsmin.htm)
ウイルスバスター・PestPatrol・McAFEEでは、3721.comのは悪質なものとして考え。
そしてJWordのは「まとも」なものとして扱っているようだ。
(3721.comのはスパムメール経由で感染した事例が過去にあったという話が海外であるものの、詳細はわからない)
特筆すべきはPestPatrol。日本向け・海外向けでそれぞれ異なる方向性のアナウンスをしており、玉虫色の対応をしている。
「お知らせ -JWordご使用の方及びJWordがプリインストールされたマシンをご使用の方へ−(eTrust PestPatrol Pest Encyclopedia - CnsMin)(http://www.pestpatrol.jp/support/support_jword.html)」
またNECではJWordをバンドルしているのだが。
McAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法
(画像を見ると「不要なファイル」ではなく「ウイルス」として検出されているのだが)
2004年10月19日の追記-2
また妙な記事が掲載されているし。
鷹木 創記者に言わせてもらう。
トレンドマイクロ社は「「JWORD」自体にはアドウェア的な活動は含まれていない」ため、スパイウェア検出機能により(アドウェアとして)検出されるJWordへの対応を変更したのだ。
(接頭語がADWなのに注意!)
「スパイウェア的な活動」と鷹木氏は記事に書いたのだが、トレンドマイクロのアナウンスは以前から「JWORD」自体にはアドウェア的な活動は含まれておりませんである。
この単語の違いにより記事の読者が受ける印象がどれだけ変わるのか、考えてもらいたい。
(トレンドマイクロ社のsolution 10044の内容も、多少は問題はあったんだが)
また鷹木氏は「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とのトレンドマイクロのコメントを記載しているが、当のトレンドマイクロ社の用語集*3に書かれているスパイウェアの項目とはかけ離れている。
ユーザーがその機能を十分に周知して納得した上でインストールするならば、それはスパイウェアの定義からは(場合によっては)外れるからだ。
テクニカルタームや製品固有の単語は、正確に書くべきである。
トレンドマイクロ社のウイルスデータベースでは、アドウェアはADW、スパイウェアはSPYWの接頭語をつけて標記する。
スパイウェア(Spyware)はユーザーの意に反して個人情報を抜くものであり、アドウェア(Adware)とは端的には、広告を表示させるものである。両者は全く異なるものだ。
そしてアドウェアとスパイウェアへの世論の風当たりはまるで違うのだ。
これって風評の操作ですかね?
JWord自体はアドウェアでもスパイウェアでもない。これは個人情報を無断で送信したりはしないのだ(Vigilにて確認済み)。だからJWordはトロイでもアドウェアでもスパイウェアでもないが、ブラウザーヘルパーオブジェクト(Browser Helper Object)かブラウザーハイジャッカー(Browser Hijacker)である。
TrendMicroは今回はこのようにJWordを検出しない方向で対応したのだが。
「「JWORD」と「ウイルスバスター2004」の併用について(TrendMicro)(http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=10049)」
トレンドマイクロ社は過去にもこのようなトラブルを経験し、業者側に迎合した解決法を選びユーザーを軽視している。
TROJ_TSADBOT(TrendMicro)
*1:INTERNET Watchにメールを送ったが、この日記へのアクセスログはあったものの、返信は無かった。そしてひっそりと記事のタイトルが変更され、その後10月18日にまたおかしな続編が掲載されたのだ
*2:マルウェアとは、ウイルス・トロイ・スパイウェアなどの総称。某社の「ペスト」の方がしっくりくるんだが。
*3:トレンドマイクロ社ではスパイウェアを「ユーザのコンピュータの動きや個人情報を監視し、この種の情報をユーザの許可またはユーザに知らせることなしに送信するアプリケーション(以下略)」としている
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-06 ウイルスバスターによるJWORDのCnsMin.dll誤検出(http://d.hatena.ne.jp/LucaLuca/20041006)を修正・加筆し移転したものです。
トレンドマイクロのセキュリティ対策ソフト「ウイルスバスター2004」では、Internet Explorer対応の日本語キーワードプラグイン「JWord」をスパイウェア「ADW_CNSMIN.A」として検出してしまう。同社では、ウイルスバスター2004とJWordの併用方法を解説したWebページを公表した。
解説によると、「JWordで使用している一部のモジュールが海外のスパイウェアで利用されたため、ウイルスバスターではスパイウェアとして検出してしまう」という。
ウイルスバスター2004が「JWord」をスパイウェアとして誤検知(INTERNET Watch)
誤検出?それは違うのでは。
もし本当に単純な誤検出であると考えるなら、それは鷹木 創記者の事実誤認だろう*1。
一般に誤検出とは、積極的誤報告(False Positive)と消極的誤報告(False Negative)を指す。前者は無実のファイルを悪質な何かとして検出した、後者はウイルスを見逃す事である。
ウイルス対策ソフトが実際にマルウェア*2の一部として利用されるファイルを検出するのは、誤検出ではない。これは正常な動作だ。
ましてやこのファイルは実際に海外にて、マルウェアの一部として扱われている。
これはセキュリティ製品としては正常な動作である。検出できなかったならば、その製品の信頼は揺らぐ。
2004年10月19日の追記-1
記事のタイトルが「ウイルスバスター2004が「JWord」をスパイウェアとして検知」に変更され、このようなコメントが書かれたので転載する。
【お詫びと訂正】
記事初出時には、JWordの一部モジュールが海外のスパイウェアに利用されている旨を記載しておりましたが、その後、JWordがスパイウェアの一部モジュールを使用していることがわかりました。そのため、本文とタイトルの一部を修正いたしました。お詫びして訂正いたします。(編集部 2004/10/8 15:25)
ウイルスバスター2004が「JWord」をスパイウェアとして検知(INTERNET Watch
トレンドマイクロ社ではこのようなレポートを掲載している。
ツッコミを入れるならばこれはスパイウェアではなく、ブラウザーヘルパーオブジェクト(Browser Helper Object)もしくはブラウザーハイジャッカー(Browser Hijacker)であるのだが。
スパイウェアパターン167以降の使用時に、株式会社アクセスポート製Webツール「JWORD」内の "CnsMin.dll" が「ADW_CNSMIN.A」として検出されます。確認いたしましたところ、「JWORD」で使用している "CnsMin.dll" は「ADW_CNSMIN.A」である「3721.com(www.3721.com)」用ツールバープログラム内のモジュールと同一のものと判明いたしました。"CnsMin.dll" のモジュールは一般的にアドウェアとされるツールの一部であり、このファイルからの検出は継続してまいります。ご了承ください。
「JWORD」自体にはアドウェア的な活動は含まれておりませんのでご安心ください。
(中略)
「不正プログラム」とは断定できないグレーゾーンのプログラムのため、本来はウイルス検出の対応は行いません。
ADW_CNSMIN.A(TrendMicro)
上記のURLではグレーゾーンと記述されている。
しかしおなじトレンドマイクロ社のコメントであってもこちらでは少し扱いが違っていた。
(2004年10月19日の更新で、「海外のスパイウェア」などの文章は削除されたようだ)
「JWORD」で使用している一部のモジュールが海外のスパイウェアで利用された為、ウイルスバスターでは 「ADW_CNSMIN.A」として検出します。
(「JWORD」自体にはアドウェア的な活動は含まれておりませんのでご安心ください。)
「スパイウェア「ADW_CNSMIN.A」が検出され、結果が放置と表示されています(TrendMicro)(http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=10044)」
つまりトレンドマイクロ社の見解では、3721.comのものは悪質なもの、そしてJWordのものは安全とでも言いたいらしい。
「配布元が違えば安全だ万歳だ!」ではない。
CnsMin.dllは悪質なブラウザーハイジャッカーの主要なファイルとして作成され、そして配布された。
それを契約元なり関連企業がどのように再配布しようが、セキュリティ対策製品としてはまずは全て叩き落すのが常道であろう。
もしCnsMin.dllへの対応を全て「安全なものとして見逃す」ならば。
利用者がJWord以外の「悪質なもの」に感染した場合、どのように責任を取るのか?その辺りをじっくりと考えてもらいたい。
「A社からのものは駄目だけど、B社からのものならば安全」なんて考えではイカンのだ。
3721.comとJWordそれぞれから配布されているものへの扱いの違いは、なかなかミステリアスである。
なおJWord配布元はこれを無害なものであると弁明しているが。
JWord(日本語キーワード) - ヘルプ - 技術情報: CnsMinについて(JWord)(http://www.jword.jp/help/help_faq_install_cnsmin.htm)
ウイルスバスター・PestPatrol・McAFEEでは、3721.comのは悪質なものとして考え。
そしてJWordのは「まとも」なものとして扱っているようだ。
(3721.comのはスパムメール経由で感染した事例が過去にあったという話が海外であるものの、詳細はわからない)
特筆すべきはPestPatrol。日本向け・海外向けでそれぞれ異なる方向性のアナウンスをしており、玉虫色の対応をしている。
「お知らせ -JWordご使用の方及びJWordがプリインストールされたマシンをご使用の方へ−(eTrust PestPatrol Pest Encyclopedia - CnsMin)
またNECではJWordをバンドルしているのだが。
McAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法
(画像を見ると「不要なファイル」ではなく「ウイルス」として検出されているのだが)
2004年10月19日の追記-2
また妙な記事が掲載されているし。
スパイウェアパターン「167」以降のウイルスバスター2004では、JWordのモジュールである「CnsMin.dll」と「Cnsio.dll」が、スパイウェア「ADW_CNSMIN.A」のパターンファイルと一致するため、スパイウェアとして検知していた。ただし、トレンドマイクロでは、「JWord自体はスパイウェア的な活動を行なわない」とし、同社Webサイトでウイルスバスター2004とJWordの併用方法を解説していた。
その後、JWordを提供するアクセスポートとトレンドマイクロでは、ウイルスバスター2004でJWordをスパイウェアとして検知しないように協議。トレンドマイクロでは、「提供元がはっきりしており、JWordの安全性を確認したため、検知しないようにするパターンファイルの提供を開始した」という。
アクセスポートでは、「JWordで利用しているモジュールは、米Yahooの100%子会社である中国の3721 Network Softwareと共同開発したもの。ただし、日本語版はローカライズしているため、中国語版とすべて同一というわけではない」とコメント。トレンドマイクロ以外の複数のセキュリティベンダーとも、JWordをスパイウェアとして検知しないよう協議を進めているという。「多くのユーザーに不安を抱かせてしまった。今後は最善の対応をしていきたい」としている。
トレンドマイクロでは、「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とコメント。10月22日に発売する予定の「ウイルスバスター2005 インターネット セキュリティ」では、同シリーズでは初となるスパイウェアの駆除機能を搭載したが、「年末から年始にかけて、駆除したスパイウェアのリストア機能を追加する」としている。
トレンドマイクロ、JWordを検出しないウイルスバスターの定義ファイル提供(INTERNET Watch)
鷹木 創記者に言わせてもらう。
トレンドマイクロ社は「「JWORD」自体にはアドウェア的な活動は含まれていない」ため、スパイウェア検出機能により(アドウェアとして)検出されるJWordへの対応を変更したのだ。
(接頭語がADWなのに注意!)
「スパイウェア的な活動」と鷹木氏は記事に書いたのだが、トレンドマイクロのアナウンスは以前から「JWORD」自体にはアドウェア的な活動は含まれておりませんである。
この単語の違いにより記事の読者が受ける印象がどれだけ変わるのか、考えてもらいたい。
(トレンドマイクロ社のsolution 10044の内容も、多少は問題はあったんだが)
また鷹木氏は「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とのトレンドマイクロのコメントを記載しているが、当のトレンドマイクロ社の用語集*3に書かれているスパイウェアの項目とはかけ離れている。
ユーザーがその機能を十分に周知して納得した上でインストールするならば、それはスパイウェアの定義からは(場合によっては)外れるからだ。
テクニカルタームや製品固有の単語は、正確に書くべきである。
トレンドマイクロ社のウイルスデータベースでは、アドウェアはADW、スパイウェアはSPYWの接頭語をつけて標記する。
スパイウェア(Spyware)はユーザーの意に反して個人情報を抜くものであり、アドウェア(Adware)とは端的には、広告を表示させるものである。両者は全く異なるものだ。
そしてアドウェアとスパイウェアへの世論の風当たりはまるで違うのだ。
これって風評の操作ですかね?
JWord自体はアドウェアでもスパイウェアでもない。これは個人情報を無断で送信したりはしないのだ(Vigilにて確認済み)。だからJWordはトロイでもアドウェアでもスパイウェアでもないが、ブラウザーヘルパーオブジェクト(Browser Helper Object)かブラウザーハイジャッカー(Browser Hijacker)である。
TrendMicroは今回はこのようにJWordを検出しない方向で対応したのだが。
「「JWORD」と「ウイルスバスター2004」の併用について(TrendMicro)
トレンドマイクロ社は過去にもこのようなトラブルを経験し、業者側に迎合した解決法を選びユーザーを軽視している。
TROJ_TSADBOT(TrendMicro)
*1:INTERNET Watchにメールを送ったが、この日記へのアクセスログはあったものの、返信は無かった。そしてひっそりと記事のタイトルが変更され、その後10月18日にまたおかしな続編が掲載されたのだ
*2:マルウェアとは、ウイルス・トロイ・スパイウェアなどの総称。某社の「ペスト」の方がしっくりくるんだが。
*3:トレンドマイクロ社ではスパイウェアを「ユーザのコンピュータの動きや個人情報を監視し、この種の情報をユーザの許可またはユーザに知らせることなしに送信するアプリケーション(以下略)」としている
関連記事
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-06 ウイルスバスターによるJWORDのCnsMin.dll誤検出(http://d.hatena.ne.jp/LucaLuca/20041006)を修正・加筆し移転したものです。
Posted by Luca at 20:31
│
│
