Semplice

　Santyワームなるものが拡大していたらしい。こいつはphpBB（PHP Bulletin Board、BBSみたいなのを作るために使われるらしい）なるものをハックして感染拡大するものだ。なお閲覧したユーザーには問題は起きない、あくまでもWebサイトをターゲットにして活動する。
　このワームは先々週発見されたphpBB 2.0.10以前のバージョンに存在する脆弱性を突いて拡大する。2.0.11にバージョンアップしていれば問題は無いらしい。
　（と言うかphpBB、使った事無いんでわかりませんです、はい）

　特徴としてGoogle検索を利用して、脆弱性が残るバージョンのphpBBを利用してるサイトを検索するらしい（Googleハッキングと呼ぶらしい）。
　いや、何って言うか賢いではないですか、これって。

　ちなみにこのワームが誕生する数日前の段階で、この脆弱性を使った攻撃が散発したようだ。国内でも有名なサイトの幾つかが悪戯されたらしい。

　そう言えば過去の例として、apache wormが出現する数日前の2002年6月末、apache wormが利用したのと同じ脆弱性を突いた攻撃で、2chはサーバー上からログをことごとく削除された（らしい）。2chと関わりが無いんで、この辺の詳細はわからないんだが。

Googleハッキングとは何だ？

　セキュリティ専門家：「グーグルはハッカーにも人気」――欠陥サイト探しに利用（ITmedia）

　今調べ直ししてるネタと重複するんで、そこそこ程度に書く。
　Googleの宜しくない使い方として、これは前々から話題になっていた話だ。
　このように脆弱性が残る古いバージョン探しだけではなく、他にもGoogleを利用して企業のサイトからマル秘なページを捜したり、index.htmlを置いておらずディレクトリ丸見えな場所を探したりとか。
　ちょっと形が違えど、検索エンジンを利用したマルウェアとして、他にもMyDoomの変種の一つの例などがある。

　Google、Lycos、Altavistaの各検索サイトは、26日午前の間中、散発的にアクセス不能状態に陥っている。また、Yahooもアクセスしにくい状況だ。これは同ワームの感染拡大によるものだとMcAfeeのウイルス研究者、Craig Schmugarは述べている。このワームはPCに感染すると、そのコンピュータのハードディスク内にあるメールアドレスを検索し、またその後先の4つの検索サイトで検索を行い、さらにメールアドレスを探すという。
　「これはいわば、偶然の（DoS）攻撃だ」とSchmugarは述べ、各検索サイトがメールアドレスを探す大量の検索要求を受けて、ほとんど使えなくなっていることに言及した。従来のMyDoom亜種はホストコンピュータのハードディスク内だけのメールアドレスを検索していたが、今回の亜種はこの点が異なっている。
MyDoomの新亜種、急速に感染拡大--余波でグーグルなどが利用不能に（CNET Japan）

　まぁ、Santyワーム的には感染したサーバーが闇雲に脆弱性が残る古いバージョンのphpBBを運用しているサーバーを捜すよりも、Googleを使って検索した方が「効率」はずっと良いのだろう。
　ただちょろっとばかり改変した変種が出たら、どうなるのか謎。
　とか考えてたら、こんな記事があった。

ただ、これが完全な対処法というわけではない。SANS ISCは、別のクエリ文字列を用いる亜種が登場する可能性を示唆し、「あくまで一時的な対策に過ぎない」と指摘している。
GoogleがSantyワームに対処、「一時的措置」との指摘も（ITmedia）

　今回の件に関しては、Google自体に何か特別の問題があったようには思えないし、Googleサイドからの対策ってのは難しいんだろうな。
　（と言うかGoogleが対策しなければならない理由やどこまでやったらば良いのかが、よくわからんのです）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2004-12-25 インターネットワームとGoogleの関係（http://d.hatena.ne.jp/LucaLuca/20041225）を修正・加筆し移転したものです。  

　検索エンジンを使っているならば、その検索結果に疑問を持った経験は無いだろうか？
　検索エンジンの検索順位のうち、せいぜい15-20程度だろう、実際に閲覧されるのは。だからより上位になるために、わずか1つ検索結果を上向きにするために、皆さん努力しなさっているのだ。
　今さらの感はあるのだが、検索エンジンの検索結果は、特定のサイトは優遇・もしくは意図的に貶められているのだよ。
　商業サイトならばアフィリエイト広告を出し、その検索結果のページに自社の広告を表示させたりもしている。アフィリエイトは要約するに、金を払い検索エンジンの検索結果を操作する事だ。宣伝しまくったりSEO（Search Engine Optiization、検索エンジンの検索結果を上位にするための試み）をやるよりは、こっちの方がずっと手っ取り早い。
　だから検索結果が上位だから有名だとか信頼できると安直に思い込んでいるならば、それは明らかに勘違いだ。

GoogleのJWord検索結果がおかしい

　さて、Jword（スパイウェアとの噂があるCnsMinを利用して作成した、日本語環境向けのサービス）をGoogleで検索してみようか、「日本語のページを検索」で。
　http://www.google.co.jp/search?hl=ja&q=jword&lr=lang_ja
　Jwordのアクセスポート社はGoogleに11月始め頃より、アドワーズ広告を掲載している。
　Googleでの現在の検索結果は、こんな感じ。ちなみに、☆）はアンチJwordサイトである。はてなでは文頭に*や-を使えないのでとりあえず☆にした（機種依存文字だったっけ？

1位：jwordのニュース検索結果
7位：はてなダイアリー - JWord
13位：JWord - Wikipedia
☆）43位：JwordプラグインCnsMinの駆除方法
☆）56位：ADW_CNSMIN.A - 概 要
☆）57位：のんびり日記 | JWordうざいよ
59位：JWord - Wikipedia
☆）67位：「整数値いれてください」 ...
☆）70位：OKWeb Jwordが消えない？
☆）71位：CnsMin（China Keyword） - JWORDに感染してみました ...
☆）72位：CnsMin（China Keyword） - JWORDに感染してみました♪
☆）73位：Spybot S&D HomePage [SUPPORT]
74位：JWord - マルチメディア／インターネット事典
75位：stereozenkai:ウイルスバスター2004が「JWord」 ...

　お気づきだろうか？
　Jwordのアフィリエイト広告が出る直前、10月の検索結果では検索結果の上位はことごとくアンチJword、もしくは中立の大手ニュースポータルのものばかりであった。
　つまり大本の提供先は8位ぐらいで、それより上・そして下はほぼJWordアンチなセキュリティ対策サイトばかりだった。

　現在ではどうだろう？いずれもそれらは不当なほど低い検索順位になっている。いずれも有名なサイトなのにも関わらず、だ。少なくとも幾つかの下らないJword提携サイトよりはネット上では遥かに有名なサイトが、検索結果のずーーーーっと下位に表示、つまり追いやられている。
　（「アダルト被害対策の部屋」は毎回ぶっちぎりで1位だったが、サイト移転に伴い検索順位が下がったと推測される）
　これはGoogleダンスの結果ではない、一時的なものではないのだ。

　特定のサイト・ドメインの検索順位の上下・また検索結果に表示されないよう操作されるのは、別に珍しい話ではない。一例としてGoogle八分や、xrea.comドメインのGoogle検索の結果が操作された事例（XREAとGoogle八分（Semplice））がある。

2005年2月13日報告

　現在の時点では、解消したようだ。
　マイナーなJWord関連・提携業者のサイトは、検索下位になった。

Googleの検索結果は、公平なものではないのか

　このような現象は実は過去にもあったのだ。
　今年の初め、Jword関連のアンチサイト（つまりは対策サイト）のgoogle検索結果が極端に落ちた時期があった。
　丁度その頃、実はJwordのアフィリエイト広告がGoogle検索の結果の右側に表示されていた、つまりは検索結果の操作が1年前にも行われていた可能性がある。
　そしてその時期にはGoogleの検索結果より、一部のセキュリティ対策サイトの検索結果が「Jword」を検索した場合に、怪しいほど下位になったのだよ。

　Googleの検索結果操作としては、このような例もある。
　「googleから、削除された理由（わけ）」
　http://www6.big.or.jp/~beyond/akutoku/topic/topics2004a.html#0115

　Googleはその検索結果から、ドメインごと、もしくはページ単位でその検索結果を操作できるようなのだ。
　と言うか猛烈に納得いかない点がある。
　それは広告掲載した業者の検索結果を上位にするよう操作するのはいいとして、その広告掲載元（アクセスポート社）に対して否定的な見解を書くサイトの検索結果を、このように操作しているのが事実であるならば、それは公平さを欠きおかしいんでは？
　Googleも慈善事業なんではないんだから、とは思えど。

Yahoo！、JWordを導入

　ヤフーがアクセスポート株の33.4％取得、Yahoo! JAPANとJWordが連携（INTERNET Watch）

　Yahoo! JAPANを運営するヤフー株式会社（以下、Yahoo! JAPAN）は、GMOグループ企業で日本語キーワード検索サービス「JWord」の運営会社である株式会社アクセスポート（以下、アクセスポート）およびGMO・グローバルメディアオンライン株式会社（以下、GMO）と、今後の事業拡大を図るため、下記のとおり資本・業務提携に合意しました。
　アドレスバーからの自国語によるキーワード検索は、すでに中国と韓国ではスタンダードなサービスとなっており、同様のサービスの日本語版であるJWordのインストール数も約2000万に達しています。
　「GMOグループ・株式会社アクセスポートとの資本・業務提携について〜 JWordがYahoo! JAPANで利用可能に 〜（Yahoo! Japan）（http://docs.yahoo.co.jp/info/pr/release/2004/1221.html）」

　アクセスポートによれば、JWordプラグインのユーザーは現在約2,000万人、毎日利用するアクティブユーザーは約500万人に達する。ヤフーでは、JWordユーザーを対象にYahoo!ツールバーやYahoo!メッセンジャーなど各種ツールの配布拡大を狙う。一方、アクセスポートでは、インターネットにおけるYahoo! JAPANの日本最大級の集客力を活用し、JWordの認知度向上を目指すとしている。
ヤフーがアクセスポート株の33.4％取得、Yahoo! JAPANとJWordが連携（INTERNET Watch）

　登録ユーザー2000万の数字は、どんな根拠なんだろうか？プリインストールされている一部メーカー製パソコンのユーザー数をそのまま勘定したとしても、また過去の「感染者」を含めたとしても、そのような数字は有り得ないのでは。
　そしてアクティブユーザー500万の数字は、（アクティブユーザーをその機能を積極的に利用している者の意味として捉えれば）そのまま納得できるものではない。

　では、JWord検索の「質」はどうなんだろうか。まずは試せば判るんだけど。　その検索結果はいずれも金払って登録してる業者か、もしくはダミーか何かの目的で「おまけ」に登録されている差しさわりの無い内容のサイトばかりなのだよ。
　（疑うなら、試してみればいい）
　マピオンは便利だけどな（笑

　少し前の時点では、JWordってのはバグリーで、頻繁にIEを固めてくれる迷惑なだけのプラグインだった。
　そしてアンインストールが（その当時のユーザーのほぼ半分は）不可能だった、と言うか手法が公式サイトでは紹介されておらず、コントロールパネルからのアンインストールもできず。
　更には異常なほど何度もポップアップを表示して、ユーザーの誤操作を期待してインストールさせるとしか思えない状況だった、また場合によっては強制的にインストールされた。
　これらはJWordの過去の歴史である。だがこれを語り継ぐ者は、年々少なくなり絶えつつあるのも現状なのだ。

9199.jp - グローバルメディアオンライン

　グローバルメディアオンライン <9449> （GMO）は11月29日、GMOグループ会社の経営管理の向上を図るため、05年1月1日を合併期日として、グループ会社のCCSホールディング、アイズファクトリーおよび3721ソフトの3社を吸収合併すると発表した。グローバルメディアオンラインが存続会社となる。なお、3 社はグローバルメディアオンラインの完全子会社のため、新株式の割当および、合併交付金は交付しない。
　3721ソフトは、「JWord」サービスを運営するアクセスポートの株式7121株（59.0％）を所有しており、12月5日に株式交換によって完全子会社化する予定。
　「［経営戦略］GMO、2005年1月1日付でグループ3社を吸収合併（Yahoo! Japan）（http://headlines.yahoo.co.jp/hl?a=20041130-00000003-bcn-sci）」

　グローバルメディアオンライン株式会社（GMO）は2004年 9月16日、株式会社アクセスポートと協力し総合検索情報サービス「9199.jp（クイック ジェイピー）」を9月19日より開始する、と発表した。
　9199.jp は、アクセスポートが運営する日本語キーワード検索「JWord」をベースに、2003年10月に GMO の 子会社になったインターネットナンバーの、URL の代わりに数字を入力すると該当サイトにアクセスできる「インターネットナンバーサービス」と「電話帳検索サービス」を合わせた検索サービス。
GMO、アクセスポートと協力し「JWord」ベースの検索サービスを開始（Japan.internet.com）

　株式会社アクセスポートは2004年12月6日、検索ナビゲーションサービス「JWord」の有効登録キーワードが2004年11月30日現在で、サービス開始当初の計画を上回る6,000ワードを突破した、と発表した。
「9199.jp」効果、JWord の検索キーワードが6,000ワードを突破（Japan.internet.com）

2005年10月9日追記

　アクセスポート社はJWORD株式会社となっている。
　JWord株式会社 会社概要 - 企業情報（http://www.jword.jp/company/jw/）
　それを取り込んだグローバルメディアオンライン株式会社（GMO）は前身がinterQなるプロバなのだが。
　グループ概要 GMOインターネット
　随分と事業規模が拡大してるんですね。

2005年12月11日追記

　Googleはウェブマスターのための Google 情報（http://www.google.co.jp/webmasters/facts.html）にてあれこれ記載しているんだが。
　これってどこまで信じたらばいいのか。

関連記事

　JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2004-12-21 検索エンジン冬の時代 - Yahoo、GoogleとJWord（http://d.hatena.ne.jp/LucaLuca/20041221）を修正・加筆し移転したものです。  

　Yassyさんのところでスパイウェアについて色々考える事があったので、駄文ながらずらずらと書いてしまう。
　多分無駄に長い長文になるのだが、3行以上読みたくない読者もじっくり見てもらえれば幸いである。

　米Microsoftは12月16日、スパイウェア対策ソフトメーカーGIANT Company Softwareを買収したと発表した。
　GIANTのAntiSpyware製品を基盤としたスパイウェア対策ツールは、1カ月以内にβ版をリリース予定。
　このスパイウェア対策ツールは、Windows XP Service Pack 2（SP2）のセキュリティ機能を補い、さらに高いレベルの保護を提供するものだとMicrosoftは説明。ユーザーに対し、ファイアウォールの利用、最新のセキュリティパッチ適用、最新のウイルスソフト利用という3つのステップに加えて、スパイウェア対策ツールを導入するよう呼びかけている。
MS、スパイウェア対策ツールメーカー買収。近くβリリースへ（ITmedia）

　その原動力がジョブズ氏自身がマルウェアに感染したからといった説もあるのだが。それはこの場合関係ない話なので、言及しないでおく。
　「私もやられた」ゲイツ氏がスパイウエア対策ソフトの開発を明かす（ITpro）

Trustworthy Computingのために

　Gates氏の提唱によってマイクロソフトは果たしてセキュアになったのか？（INTERNET Watch）で取り沙汰されているように、MicrosoftのTrustworthy Computing(信頼できるコンピューティング)戦略のための布石としてあれこれやっているようだ。
　例としてXPのfirewallを改善（穴があったようだが先日修正された）、またInternet Explorerの設定はXP2導入時には改善されている。
　セキュリティ万歳！である。
　だがどうも、WindowsMeやWindows2000のユーザーは置いてきぼりの感はある。

　マルウェア（Malware：ウイルスやスパイウェアなど）では、例えばこれ。
　Microsoftブランドのウイルス対策ソフト登場に、アンチウイルス会社ビッグ5の反応は？（ITmedia）
　Microsoft、アンチウイルス機能を自社製品へ投入する意向を表明（MYCOM PC WEB）

　マイクロソフトはアンチウイルスソフトを自社で販売したいらしい。

　米Microsoftは12月16日、スパイウェア対策ソフトメーカーGIANT Company Softwareを買収したと発表した。
　米Microsoftは（2003年6月の）10日、ルーマニアのGeCAD Softwareが持つアンチウイルス技術に関連する知的財産権と資産を買収することで合意したこと発表した。
　GeCADは1992年にルーマニアのブカレストに設立されたアンチウイルス企業で、「RAV AntiVirus」のブランド名で世界の1,000万人に利用されている。
MS、スパイウェア対策ツールメーカー買収。近くβリリースへ（ITmedia）

　これにより最前線の技術者を取り込み、より一層Trustworthy Computingが進むのだろう。
　（その後の記事により、マイクロソフトは他社との競合を避ける目的で自社ブランドのアンチウイルスソフト製品のリリースはあきらめたらしいのだが、その記事を見つけられないので後日紹介する）

マイクロソフトのマルウェア対策は、本当にイケてるんだろうか

マルウェア（Malware）とペスト（pest）、どっち？

　Microsoftのマルウェアについての解説（「マルウェアの定義 : FAQ」http://www.microsoft.com/japan/technet/security/topics/virus/malware.asp）は以前紹介したんだが、これは優れた内容である。
　（マルウェア（Malware）は悪質なソフトウェアを総称する用語であり、どこが発祥なのかは知らないが大変使いやすい。ウイルス、ワーム、スパイウェア、アドウェア、トロイの木馬、キーロガなどを含む）

　だが同じマイクロソフトでもこれはなあ。このペストと言う用語はをリリースしている企業の造語であるのだが。
　コンピュータペストって何？（Microsoft）
　このペストと言う用語は、マルウェアとは扱うリスクの内容や方向性が全く異なるものまでペストとして扱い、これに総称するのはあまりにも広義すぎると書いた事がある。
　ページの下に「一部転載：株式会社アークン / http://www.ahkun.jp/」と書いてあるし。

サードパーティの製品に丸投げするのは格好が悪い

　ついでながら、これを見てもらいたい。
　スパイウェアについて知る（Microsoft）
　ここでは自社での取り組みをあるレベルまで達したらば（つまり感染して手に負えなくなったらば）、Ad-awareとSpyBotと言うサードパーティ（関係無い起業・団体・個人の製品）に丸投げしているように見えるのだよ。
　（それを解決する意味で、今回の買収は意味があったんだろうけど）

Microsoft AntiSpyware

2004年1月6日追記事項 - Microsoft AntiSpyware
　「Microsoft AntiSpyware」なるものがあるらしい。
　http://www.lostcoders.net/index-single-774.htm」
　これが確かな情報なのかは判別できないんだが。
　アンチウイルスソフトへの参入は断念したようだが、スパイウェア等のマルウェア全般対策ソフトはある意味で、個人や民間のフォーラムがリードしてきたような経緯があったような印象もあり。競合する他製品の性質がやっぱり違うのだろうか。
　ここで検出されているのは、Messenger Plus!（Adware Bundler）である、うーん。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

　このブログは、Lucablog 2004-12-18 マイクロソフトのスパイウェア対策は（http://d.hatena.ne.jp/LucaLuca/20041218）を修正・加筆し移転したものです。  

　あまりにも不審な検索ポータルを発見し「Spyware Removal」の項目を開いたんだけど。
　うーん、あまりにも怪しいのです。
　http://www.searchportal.info/10010/search.php?q=Spyware+Removal

　とりあえずその中の一つ、Spyblocs（Spyblocksとかではない）（http://adv1.eblocs.com/spyblocs/adv/generic_001.html）を試すことにした。土曜の朝は暇なのだよ。

　SpyblocsはLavasoftのフォーラムで、インチキソフトの項目に掲載されている。

Bogus Spyware Removal Tools
A list of Rogue Programs that will do you more harm than good.
Spyware Removel, Bogus Spyware Removel Tools(Lavasoft)

日本国内でもあまり宜しくない評判がある。

　昨日から　海外サイトのeblocs社からspyblocsをダウンロードせよの広告が出てきて、消しても５分おきに出てきます。その後別の外車の広告もでてきます。（全て英文です）
　この会社が意図的にやっているのであればまともな会社とはおもえません。なんとか削除したいのですが手に負えません。
spyblocs の広告が５分おきに出てくる（OKWeb）

　h ttp://www.musicfever.org/japanese/
　↑このサイトに言ってからパソコンがちょーしわるいです
　５〜６分おきに変なサイト(h ttp://eblocs.com/spyblocs/adv/admed_008.html)にとんでしまいますどうすれば直りますか？
　「パソコンに詳しい人見てください（ハンゲーム - 知識plus）（http://plus.naver.co.jp/browse/db_detail.php?dir_id=10206&docid=30714）」

　クリーンな環境でスキャンしたのに変なのを検出してくれたら楽しいな、みたいな期待。　存在しないスパイウェアなんかが大量検出されたりしたならば、踊ってしまうことだろう。

Spyblocsインストールの準備

　spyblocs.exeをダウンロードして、と。
　spyblocs.exeはこんな感じ。
　size=2872256byte, CRC16=30DD, CRC32=3C6856F7, MD5=fed827f45b9fb7562e528f79351ea754

　実験用のパソコンを準備。Windows2000をインストールしてから、PS4適用、Windows Updateをやった。念のためIEのキャッシュをクリア、Cookiesの削除を確認。
　まずまずクリーンな状態である。

Spyblocsインストール

　別のパソコンでダウンロードしておいたspyblocs.exeをダブルクリック。SpyBlocs v2.0 Setupの画面が表示され、インストール操作を続行。
　SpyBlocsを起動する。
　念のため左側のウィンドウで「Scan Registry」は「Quick Scan」ではなく「Deep Scan」を選択した。
　「Scan for Spyware and Adware - Click Here First.」を押す。

　おや？スキャン直後にいきなり、「17 Live Spyware Processes」なんてのが出てる、訳わからん。
　Scanning completed。さてShow Logを開いてみるが、問題は無いようだ。
　Running processes:が17なので、これが検索中にSpyware Processesと表示されたのだろう、何だか嫌だな。
　とりあえず大丈夫っぽい。

オチ

　何だかつまらないな、何も怪しい事が起きないではないか・・・・・
　（そのような曲がった目的で試すユーザーは、まずは居ないような気もするんだけど）
　どうやらspyblocsそのものはspyware stormerのような悪質セキュリティソフトではなく、その宣伝のやり口がアドウェアやブラウザハイジャッカーを利用しているだけ、なのだろうか。

関連記事

　Bogus wareとRogue ware、インチキソフト

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

　このブログは、Lucablog 2004-12-11 Spyblocsを試してみた（http://d.hatena.ne.jp/LucaLuca/20041211）を修正・加筆し移転したものです。