Semplice

トロイ・トロイの木馬とは

　トロイ（trojan）は極めて広範に用いられる用語なんですが。
　この場ではRAT（リモートアクセストロイ）もしくはバックドアトロイ、また監視機能を特化させたマルウェアで一定のタイミングごとにメール・IMを用いて犯人へ被害者の情報なりパソコンの操作履歴を送信するようなものとして扱い、話を進めていきます。

　具体的なトロイの名称を紹介したい所ではありますが、それはこの場では避けさせていただきたく。
　何故かと言えばですね、これらはGoogle検索であっけなく配布サイトを発見でき、ダウンロードできるものではありますが。わざわざ犯罪に間接的に加担するのは避けたい所なのでして。　そしてそれらの機能を一つ一つ詳細にレポートするだけの経験は、こちらには備わっておらず。

　多くのトロイがネット上にて配布されている現状は、大変寒いものがあります。これらは大変容易に取り扱え、マニュアルの英語をチャキチャキと読んで理解できれば誰でも利用できます。
　これらは「サーバー」つまり被害者のパソコンにインストールするものと、「クライアント」と呼ばれる被害者のパソコンを操作するものの2つで構成されます。
　「サーバー」は簡単にカスタマイズでき、情報を垂れ流す先のメールアドレスなりIMのアカウントを指定したりするのは容易でして。
　「クライアント」、これは直接相手のパソコンにネットワーク経由で接続し操作するために利用します。

　またクライアントを利用せずにサーバーのみを配布し、捨てメアドに着々とパスワードなどを遅らせるなどの利用法もあります。取得したい情報が限定されているのであれば、直接相手のパソコンに接続せずとも、目的のデータのみをいずこかへ送信させた方がよりリスクが少ないんでしょう。
　大体、感染させた相手のパソコンに外部から接続できないようなネットワーク環境もあるんだから。

　以前知人のパソコンが何かに感染しているので何とかしてもらいたいと呼び出され、調べたんですが。本人が利用した経験の無いIMなりが勝手にインストールされており、大変衝撃を受けました。
　結局このトロイはどれが本体なり関連するマルウェアなのかわからず、アンチウイルスソフトによるスキャンの結果もパッとせず。仕方無くリカバリーしましたが。

　知人の話の受け売りなんですが。
　アンチウイルスソフトにより検出できないトロイは、実際にはかなり多数存在するそうな。何故かと言えば、メジャーなトロイを利用する攻撃者だけではなく、極めて限定された小数のターゲットのみを対象とする「オリジナル」なトロイが複数存在し、それらはアンチウイルスソフトメーカーに検体として提出される機会が少ないのだそうで。

　これらを検出するための方策としては、トロイの件出力が高い駆除ツールの利用などが考えれられます。
　またはパーソナルファイアーウォール（Personal Fire Wall）なるソフトウェアファイアーウォール製品を利用すれば、何かが勝手に外部に接続しているのか否かを見つけられる可能性があります。
　ただこの手のセキュリティ対策ソフトのようなものって、感染後ではなく感染前に予防目的で利用するべきで。その点でどこまで一般的に有効なのか、判別がつきません。

トロイ（Trojan）とボット（Bot）

　ここでのトロイとは、リモートアクセストロイを指すんですが。つまり外部より感染者のパソコンを操作できるようなマルウェアです。
　これとBotの区別は、どうも明瞭にはできません。
　従来はトロイに感染したユーザーのパソコンを「ゾンビ」などと呼称したんですが。最近ではこのようなゾンビは「Bot」と呼称し、これらをまとめて「Bot Network」と呼びます。
　ボットについては後日改めて紹介いたします。

トロイ被害の実態は水面下

　秋葉原などを歩けば、盗聴器などが店頭に平然と並んで販売されているのを目にし。そして雑誌の広告などにもよく掲載されており。そしてこれらの被害についての話は、よく書籍なり何かの映画として目にしますが。

　では多少舞台を変えた、このような覗き見目的の悪質なプログラムの話となるとですね。その被害の実態をレポートした話を未だ見た記憶が無いし、一般には知名度がかなり低いような気が。
　マスメーリングなどにより大量感染するようなウイルス（ワーム）は、よくニュースになりますが。個別の特定の人物もしくは特定企業の特定部署などを狙うトロイの利用は、あまりニュースになる機会はありません。これらによる被害の話を新聞などで見た記憶は、全くありません。
　このような「監視ツール」の被害者は、それほど表に出てこないだけであり。実態としてはかなり多いんではないでしょうか。

　実際にこれらの悪質なプログラムは驚くほど容易に手に入り。そしてインストールしてしまえば簡単に利用できるんですね。最近ではオンラインゲームを利用するユーザーのアカウントとパスワードを抜く目的のトロイが、広く利用されているとの話があります。
　またどなたかを監視する目的、更には企業スパイなりが利用しているとの話も。
　このような脅威は、割と身近な問題として受け止め、備えるべきなんでしょう。

関連記事

　トロイの木馬（trojan horse）による監視と覗き見
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-03 他人を覗き見する行為 - トロイなどを利用した監視（http://d.hatena.ne.jp/LucaLuca/20050903）を修正・加筆し移転後、2つのブログエントリへ分離したものです。  

ブラウザヘルパーオブジェクト（BHO）

　ブラウザヘルパーオブジェクト（Browser Helpeｒ Object、以下BHO)はブラウザ（Internet Explorerなど）に様々な機能を付加する目的のアドオンである。例えばブラウザに検索機能を付加するようなものやツールバーなど。ユーザーが自分で望んでインストールする事も多々ある。Google Tool Barや翻訳ソフトをインストールした際にInternet Explorerの画面に表示されるSearch barは、このBHOである。
（全てのSearch barがマルウェアと関わりが無いとは言い切れない点には注意を払ってもらいたい）

　BHOを何か悪質なものであるように記載されている例もある。多くのニュースポータルの記事中に、ブラウザヘルパーオブジェクト（Browser Helpeｒ Object)とブラウザハイジャッカー（Browser Hijacker）を混同した内容を時折発見する。

　またPestPatrolの販売元であったAhkunの解説では、BHOの説明にブラウザハイジャッカー（Browser Hijacker）の挙動を混在させて書いている。

　ブラウザ ヘルパ オブジェクト（BHO）は、インターネットエクスプローラであなたが見ているすべてのページをサーチしバナー広告を他の広告と置き換えてしまい、あなたが行った行為をモニターして報告を行い、また、あなたのホームページを変更するなどのことを行います。
マルウェア(不正プログラム) カテゴリ一覧（Ahkun）

　COASTは業界団体だけあり、用語の扱いは慎重である。そのGlossaryではBHOについて「それらは使用データの追跡や、インターネットで表示したどんな情報でも収集できる」と記載している。
　（それを他人に送信するとは書いていない点に注意するべきである、つまりそれがマルウェアか否かの別れ目なのだ。）
　（注：COASTは内部での紛争のために空中分解し消失した）

Browser Helper Object (BHO)
A small program that runs automatically every time an Internet browser is launched. Generally, a BHO is placed on the system by another software program and is typically installed by toolbar accessories. They can track usage data and collect any information displayed on the Internet.
Glossary(COAST)

ブラウザハイジャッカー（Browser Hijacker）

　これはブラウザに対する事実上のハッキングなり乗っ取りである。Cool Web SearchなどへIEのホームが強制的に変更される被害が有名である。これはユーザーの同意などは得ず、IEのExploitなどを使い強制的にインストールさせる例もある。
　また特定のURIをInternet Explorerの信頼済みサイトに登録し、そのサイトを強制的に表示させ、様々なものをダウンロードさせやすいようにする場合もある。
　ブラウザハイジャッカーはActiveXコントロールを用いて他のマルウェアをダウンロード・インストールさせたり、それらのバージョンアップ版が無いかブラウザ起動時に更新情報をチェックするものもある。
　このような強制的な・かつユーザーの許諾を得ないインストールをドライブバイダウンロード（Drive-by download）と称する。

ホームページハイジャッカー（Homepage Hijacker）

　ブラウザ起動時に表示されるページ（ホームページ）を変更する。多くのブラウザハイジャッカーが備える機能の一つ。

サーチハイジャッカー（Search hijacker）

　Internet Explorerなどのブラウザの検索設定を変える。
　また一部の検索エンジンサイトへの接続を妨害し、マルウェア配布者もしくはその協力者が作製した検索サイトへリダイレクトする。

　ブラウザハイジャッカーにおける機能の一つである。
　検索ツールバー類をこれに含める用例もあり、用語の定義そして具体的にどのマルウェアをサーチハイジャッカーの範疇とするのかは、議論の余地がある。

関連記事

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（http://blog.lucanian.net/archives/50368862.html）より修正・加筆し移転したものです。  

ルートキット（Rootkit）の解説

　ルートキット（Rootkit）は一般には、サーバーなどへ侵入したクラッカーが利用する高機能なハッキングツールの詰め合わせのようなものである。クラッカーは乗っ取ったシステム上でバックドアの作成やログ消しやパスワードクラックなどを行うが、このような悪意のある操作のために必要なツールを一まとめにしたものをRootkitと呼ぶ。
（もしくは多様な機能がある単独のツールをそのように呼ぶ）

　ルートキットと言えば、LinuxなどのOSを対象に使われる、ハッカーかクラッカーがどこかの企業のサーバーに侵入して設置するような不正なソフトウェア・ハッキングツールを指す例が多かったのだが。
　しかし日本国内でのRootkitの感染数は、少なくともWindowsに限れば、一般的なエンドユーザーが大部分である。これらはブラウザハイジャッカーやスパイウェアとほぼ同時に（または感染の結果として後日）インストールされるのだ。
　Windowsを対象とした一般的なルートキットは、簡単に説明してしまえば高機能トロイである。
　本体そのものや設定ファイルだけではなく、指定した任意のファイル・フォルダを隠蔽するよう設定する事もできる。
　これに感染しているのか否かを検出するのは、極めて困難な場合が多い。検出ツールを用いずに探すとしたらば、「隠蔽されているマルウェア・ウイルス・スパイウェアを発見する（Semplice）」のような手法を用いなければならないだろう。

　そもそもルートキットのようなマルウェア（Malware）は、感染後にはアンチウイルスソフトでは（検出はできたとしても）駆除はできない。一旦感染してしまえば、もう終わりなのだ。
　自分はウイルス対策ソフトは予防のためのものとして考えており、事後にどれだけの効果を発揮できるのかとの点には疑問を感じている（「アンチウイルスソフトに期待されている役割（Semplice）」）。

　また起動中のプロセスはタスクマネージャーからは確認できず、オープンになっているポートはnetstatで表示されず、レジストリへの登録項目はレジストリエディタよりは非表示になり確認できない例もある。
　ウイルス・スパイウェア・アドウェアなどは、このRootkitに比べれば、おとなしい部類になってしまう。

　アンチウイルスソフトによる修復作業は、基本的に期待できないと考えるべきである。また現実の問題として、このようなマルウェアに感染したらば、下手に修復を試みるよりは、さっさとリカバリーしてしまうよう推奨する。
（可能であるならば、後日何らかの問題が生じた場合に備え、証拠物品として保全するべきであると思われる。）
　どのような被害が生じているのか、その被害の範疇が無限大であり、予想もつかないのだよ。この場合は最悪の事態を想定し、慎重に対処するよう心がけた方が良いだろう。

　塩月誠人氏のサイトのアンチ・フォレンジック（sa2005_shio.pdf）という文書が紹介されていたブログがあったのだが。
　大変詳しい内容なので、一読するよう推奨する。具体的な機能やその働きが丁寧に解説されており、素晴らしいテキストであった。

　このRootkitはアプリケーションルートキット（Application Rootkit）とカーネルルートキット（Kernel Rootkit）に大別される。
　mashさんより紹介された記事なのだが、この辺を見れば大体の様相は掴めるだろう。
　rootkitによるハッキングとその防御（ITmedia）
　前者ならばファイルをざっと調べれば改竄されたものが見つかるだろうし、不審なプロセスを発見するのも容易なのやもしれない。
　Kernel Rootkitは前述の塩月誠人氏のPDF資料にも詳細が記載されているんだけど、これに感染したらばExplorerからは本体なり設定ファイルが閲覧できず、タスクマネージャーより確認できず、アンチウイルスソフトのスキャンでも発見できなかったりするのだ。これはWindowsnのAPIを乗っ取り、その姿を隠蔽し消えてしまうのだ。代表的なものとしては、HackerDefenderなどがあげられる。

　mashさんよりTripwire、及び改ざん検知システム(FIDS) for windowsなるソフトを紹介していただいたんだけど、このような改竄検知ソフトは大変有効な対応策ですね。
　ただサーバーなどにインストールし管理するのはともかく、個人でこれを日頃より利用するには向かないような気が。
　まぁそうは言っても、何かに感染させ挙動を観察する分には相応に役立ちそうです。

WindowsのRootkit（ルートキット）感染

　やや古い記事なのだが、Rootkitについてなかなかわかりやすい内容なので紹介。

　Microsoftセキュリティソリューション部門のマイク・ダンセグリオ氏とカート・ディラード氏によると、リモートシステム監視ソフトは何年も前から出回っており、Hacker Defender」「FU」「Vanquish」といった名称のプログラムがその最新世代だという。
　特に、比較的新しいrootkitsは、カーネルに渡されるクエリー（システムコール）を傍受し、rootkitsソフトが生成したクエリーを取り除く。その結果、実行可能ファイル名（コンピュータのメモリの一部を使用する名前付きプロセス）やOSのレジストリのコンフィグレーション設定など、プログラムが実行されていることを示す通常のサインが管理者や検出ツールから見えなくなると同氏は説明した。
　両氏によると、このソフトは、ウイルス対策ソフト、ホスト・ネットワーク侵入検知センサー（IDS）、スパイウェア対策製品など多くの検出ツールから見えない。
MS研究者、「カーネルrootkits」の脅威を警告（ITmedia）

　この記事中にてWindows PEを使ってRootkitの存在を探す方法が提案されているが、これは効果的やもしれない。Windows OSが起動している最中には、その起動中のOSからの操作ではRootkitは存在を隠蔽しており、発見できないのだ。

Rootkitの検出と対策

　正直な印象をいきなりぶっちゃけるんですが。
　「無理？」

　一例としてMicrosoft Windows 悪意のあるソフトウェアの削除ツールでは、HackerDefenderに対応しているのだが（Windows Server 2003、Windows XP、または Windows 2000 を実行するコンピュータから、流行している特定の悪質なソフトウェアを削除する Microsoft Windows 悪意のあるソフトウェアの削除ツール）
　自身及びその活動を隠蔽する目的で進化したRootkitに、これだけで十分対応できるのかと問われれば、それは難しいような。大体HackerDefenderのみがKernel Rootkitではないし。感染した後になってから足掻いても、ねぇ。

　Kernel Rootkitの最も確実な検出方法は、ハードディスクを外し他のパソコンに接続してのスキャンなり検証、またはCDやDVDよりブートした上での検証作業のみが有効である。
　感染後であれば、セーフモードで起動したとしても、ネットワーク経由でアンチウイルスソフトなりでスキャン・もしくは個別のファイルを検証したとしても、その実体には迫れないだろう。

　なおWindows XPのシステムの復元機能により、ルートキット感染パソコンを元の状態に戻せる場合もあるのだが。自分としてはこのようなマルウェアに感染したらば即リカバリーするよう推奨する。被害の及ぶ範囲が想定できず、また気付くまでの間にどのような不正行為が行われていたのか判断できないためだ。

WindowsのRootkit被害の現状

　Rootkitはクラッカーがどこかのサーバーをハッキングしてインストールするばかりではない。少なくともWindowsへの感染者数ベースでは、悪意を持った者が設置したサイトよりInternet Explorer経由で感染する例が多いような気がする。

　感染させたマルウェア（Malware）を駆除させないようにするためにRootkitを利用し、レジストリエントリやファイルを隠蔽する例も多い。
　このようなケースでのRootkit感染は、エンドユーザーを対象とした攻撃であるため、その原因の追究は個人ユーザーレベルでは難しいだろう。

　なおシステムの復元機能によりRootkit感染前のシステムの状態へ復旧させることができる場合もあるやもしれないが、このようなマルウェアに感染した場合は、リカバリーなりOSの新規インストールをした方が良いのではなかろうか。

　いずれにしてもアンチウイルスソフトはエンドユーザーには必須なソフトであろう。これによる復旧が（十分には）望めなかったとしても、そのようなセキュリティ対策ソフトを導入して適切に設定していれば、感染直前に予防できる機会が与えられるのだ。

MacOSのRootkit

　ウイルスにまず感染せず安全と思われているMacであっても、動作できるRootkitもある。
　なお身の回りのMacユーザーはアンチウイルスソフトなどは導入しておらず、そのような危機意識がやや薄いように思われる。今後はこのようなマルウェアに対してより一層注意を払う必要がありそうだ。

　OpenerはMac OS Xの内蔵ファイアウォール機能を無効にし、マルウェアの作者がコンピュータをリモートから制御できるよう裏口を設け、ハードディスクに保存されているパスワードを全て見つけ出し、JohnTheRipperというパスワードを破るソフトウェアをダウンロードするとDucklinは説明している。
Macにはめずらしいシェルベースのマルウェア見つかる（CNET Japan）

関連記事

　隠蔽されているマルウェア・ウイルス・スパイウェアを発見する
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-03-18 WindowsのRootkit（ルートキット）は最悪なマルウェア（http://d.hatena.ne.jp/LucaLuca/20050318）を修正・加筆し移転したものです。  

ラバースパイは人生の悲哀

　身近な誰か、例えば彼女なり片思いの誰かの気持ちを確かめたいとの欲求は、誰もが持つものだろう。それがわからないからこそ人生は楽しいのであり、そして苦しみや悩みに満ちているのだ。
　しかしだからと言って誰かの生活を覗き見したいとの欲求を実現してしまうのは、犯罪か否かは別としても、一人の人間として悲しくならないものなんだろうか。

　嫉妬にかられた人が恋人のオンライン活動をのぞき見できるコンピューター・プログラムの作成者とその購入者数人が、コンピューター・プライバシーに関する米連邦法に違反したとして起訴された。
　『ラバースパイ』という名のこのプログラムは、子犬や花の絵柄のついた電子グリーティングカードを装い、電子メールとして送信される。検察官によれば、プログラムが実行されると、対象者の電子メールの内容や、訪問したウェブサイトの記録が開始されるという。記録された情報は、ペレス＝メラーラ被告が操作するコンピューターに送信され、そこから顧客に転送されるという。
　90ドルでオンライン販売されていたラバースパイを購入した4人がそれぞれ、違法なコンピューター・ハッキングに関する2件の罪で起訴された。罪状1件につき最高で5年の拘禁刑および最高で25万ドルの罰金が科せられる。この他にテキサス州、ハワイ州、ノースカロライナ州、ミズーリ州でも購入者が起訴されているという。
恋人のオンライン活動監視ソフト、作成者と購入者を起訴（WIRED News）

　このWired Newsの記事に掲載されているものとほぼ同じようなマルウェアによる監視行為を、ここ数年の間にあちらこちらで目にしているんだけど。

htmlメールのテキスト化

　多少横道にそれるんですが。今回不思議な違和感を感じたのは、「電子メールとして送信」の部分。
　電子メールにてこのような不正なプログラムを送りつけるのは、実際に相手の自宅に赴いてインストールしたり、または何かのゲームと偽って送るよりは、はるかに効率が良いのだろう。

　しかし今時は、Outlook Expressでも「制限付きサイト」ゾーンなのだし。
　どのような層の方が、この被害に遭遇するのかが謎なんですよねー。
（と言うか、今回のラバースパイがどのようにして送信されるのか。これをまだ調べていなかったりするんですが）

　htmlメールに何かのトラップを仕込み相手に送りつけるとしてもですね。メール本文をテキスト化してしまえば無敵なのですよ、はい。どこかのメルマガなどのレイアウトがグチャグチャに崩れるといった弊害はありますが。
　おまけとして、Webビーコン（Webバグ）なども無効化できます。

　Outlook Expressで受信したhtmlメールをテキスト形式に変換して表示（Tef-Room）
　Outlook2002、Outlook2003で受信したhtmlメールをテキスト形式に変換して表示（Tef-Room）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-03 他人を覗き見する行為 - トロイなどを利用した監視（http://d.hatena.ne.jp/LucaLuca/20050903）を修正・加筆し移転後、2つのブログエントリへ分離したものです。  

インチキ・詐欺的なセキュリティ対策・ウイルス対策・スパイウェア対策ソフトウェア配布の現状（2006年11月）

　インチキソフト・偽セキュリティソフト・ミスリーディング・アプリケーション（Symantec社の用語）、Bogus ware・Rogue Wareは海外では活発に議論が行われている、そう、大体3年ほど前にはとっくに。
　日本国内ではかなり遅れた感がある。国内にても幾つかのコミュニティ上で単発的に議論はされていたものの、マニア向けのマイナーな話題の域を超えなかった。

　何故かって？
　日本人をターゲッティングした騙しの手口はほぼ皆無であり、突然の英語表示に拒否感を示すユーザー層が大多数な現状では、「感染例」は極めて散発的に過ぎなかったからだ。
　例えば悪質なアドウェアが「Your computer is infected!」なんて表示をちらつかせても、日本人は信用しないだろう。

日本人を対象とした騙し・詐欺的警告の誕生

　安穏とした状況を一変させたのは、閲覧したサイト上に日本語の警告ダイアログを表示し消費者を騙し、WinFixerの導入を強要する手口が出現した、2006年初め頃からだ。
　（以前日本語のダイアログを押したらばドカンみたいな経験はあったが、詐欺的セキュリティ対策ソフトウェア購入を促すようなものではなかった）
　（WinFixerやWinAntiVirusProなどは製造元・配布元が同一と考えられるため、一連のソフトウェアを「WinFixer Family」とこの場では呼称する。）
　WinFixer Familyの広告は関与する中間業者（広告代理店等）により、接続元が日本国内であれば英語表記の詐欺ダイアログを日本語表記ダイアログに入れ替えたため、海外サイトを閲覧した多くの日本人が騙されるのではと大変な危機感を感じたのだよ。
　WinFixer2005による脅迫は自作自演（2006年1月21日）（Semplice）
　しかしながら何故かこのWinFixerは、不思議なほど被害者が生じなかった。主たる理由としては十分な数のサイトに騙し広告が掲載されなかったからだろうか。

　2006年4月（恐らく6日）以降、ブラックウォームなるマルウェアに感染していると虚偽の警告を表示し導入を強要する手口が、ネット上に急速に広まる（ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（'2006年04月15日）（Semplice））
　またしばらく間を置いてWinFixer Family配布者らは、日本人が運営するブログやBBSを対象とし、コメントスパムやトラックバックスパムにより騙しサイトを凄まじい勢いで宣伝した。
　英語表記のコメントやトラックバックならば、誰もが警戒しただろう。だが一部は日本語により投稿されたため、多くの日本人消費者が騙された。

　2006年5月2日、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) はコンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA）にて初めてこのような詐欺的商法の存在に注意を促した。
　それ以後、あちらこちらのニュースポータルサイトやセキュリティ対策企業が雨後のタケノコのようにこの問題を取り上げ、やっと相応に「一般的な話題」となったのだ。

　ブラックウォーム関連のブログエントリを掲載した直後よりSempliceには数百件の検索エンジン経由アクセスがあったが、どんどん急増し、ピーク時には2-3万件/dayものアクセスがあったが、今では沈静化している。
　自分はブログを運営するに当って「被害者よりのアクセス数がゼロになる日の到来」を本当に・心の底から望んでいる。
　だがその日が訪れるのは、まだまだ先のようだ。

検索エンジンの広告に潜む、インチキソフトウェア

　2005年頃よりGooleにてスパイウェア（Spyware）などを検索すると、Googleアドワーズ広告（Google AdWords ads ）により詐欺ソフトや何かのマルウェアに感染した際に強制的にインストールされる不審ソフトウェアの広告が掲載されるようになっていた。
　またPal Spyware Removerなるいかなるマルウェアに感染していなかったとしても虚偽の警告を表示するソフトは、ソフトウェアの名称をGoogle検索すると堂々と、「スポンサー」として表示された。
　Googleの広告に潜む、マルウェア配布者による広告（2006年3月22日）（Semplice）にて紹介したように、検索結果の右カラムに怪しい販売業者の広告が表示されるのだ。

　海外では2004年頃には相応に問題とされており、Benjamin Edelman氏らはこの手のインチキソフトウェア配布サイトに限らず、多くの危険な・詐欺的なサイトがGoogle検索時に検索上位となり、なおかつスポンサードリンクとして含まれるとレポートした。
　だが不思議な話として、日本国内の質問掲示板などを幾つか巡回はしていたものの、検索エンジンの検索結果より「インチキソフトウェアに感染した」との事例はほぼ皆無である。
　理由は広告のタイトルが英語表記であり、なおかつリンク先の内容も英語だったためと考えられる。

　2006年11月現在、Googleよりは多くのいかがわしい広告主が消された、と思いきや。
　マイナーキーワード、一例として何かのマルウェアやインチキソフトウェアの名称でGoogle検索すると、幾つかのいかがわしい広告が未だ表示されている。

他のマルウェア経由による導入

　ブラウザハイジャッカー系マルウェアによる強制的サイト表示にて導入を強要される事例や、アドウェア系によりパソコン利用中に変なポップアップ表示がデスクトップに出て感染してもいないのに警告される事例は相変わらず多い。
　ダウンローダー系マルウェアにより全く意図せずにいつの間にか導入される事例は、2005年頃よりじんわりと増している。

　風変わりな事例として、動画を再生するためのCodecを装いダウンローダー系マルウェアを導入させ、その後複数のマルウェアと共にいかがわしいスパイウェア対策ソフトを導入させるケースもある。
　（不審なアンチスパイウェアソフトと、ZlobとCodec（コーデック）の関係（2006年4月8日）（Semplice））

　「インチキソフトウェアをアンインストーラーを利用しアンインストールしてしまえば、後はOK」との不適切な解説・回答が、国内のスパイウェア対策専門サイトを中心として広まっている問題については、注意を促したい。
　複雑な経路よりの複合感染での事例が多い現状では、「詐欺バナーをクリックしたらば不審なサイトに辿りつき、手動でインストールした」ような事例ではその他のリスクは少ないやもしれないが、多くのBogus ware感染事例にては信頼できる対策ソフトウェアを利用したシステムのフルスキャンを行う必要があるだろう。

Bogus Ware・Bogus Anti-Spyware Soft・Bogus Spyware Removal Soft・Rogue Ware

　以前より何度か、この手の悪質なBogus Anti-Spyware Soft（インチキなスパイウェア対策ソフト）やRogue Ware（悪党ソフト）など不審なソフトウェアを試しておりますが。
　どうしても判断がつかない部分があり、悩ましいのです。

　これは実際にはまともには機能しておらず、その検出結果が業者により意図的に虚偽のレポートであるような、怪しいアンチスパイウェアソフトなどを指します。
　これらを追求する著名なサイトとしてThe Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites（http://www.spywarewarrior.com/rogue_anti-spyware.htm）などがありますが、日本国内での認知度はそれほど高くはないようで。

　何故にこのようなインチキなソフトが存在するのかと、頭をひねる方も居るとは思われますが。Bogus Wareの製造・配布・販売業者はユーザーに体験版を利用させ、存在しないマルウェアなりスパイウェアを検出してユーザーを脅かし、製品の購入を強要する目的でこのようなBogus Wareを配布しているんですね。
　それら脅迫的手法により購入を迫るソフトウェアはランサムソフトと呼ばれるんですが。ランサムウェア（Ransomware）とFUD（Semplice）としてまとめたので、時間があったらばじっくりと拝見してもらいたい。

　また具体的な例として、以前紹介した記事を紹介する。
　Spyware Stormerは存在しない脅威で脅迫する（Semplice）
　WinFixer2005による脅迫は自作自演（Semplice）

Bogus Ware・Rogue Wareか否か

　「単なる機能面で未熟なソフトと、本当に悪質なソフトをどうやって見分け判断するのか？」との点が、どうも自分の中では判然とせず。
　存在しない脅威をでっち上げて検出するようなソフトであれば、これは単なるBogus Wareの可能性がありますが。まずは少し整理して考えてみますか。

　無害なファイルをマルウェアとして誤検出するのはFalse Positiveと呼ばれますが。大手のまともな企業により販売されている製品であっても、このような誤検出は生じるため、即座にはインチキソフトと決め付けられません。
　しかし存在しないファイル・存在しないレジストリのキーを検出し警告するようなソフトウェアは、確実にBogus Wareの範疇に含まれるでしょう。
　（意図的にあるファイルをマルウェアとして検出しない場合も考えられるため、この場合はFalse PositiveではなくFalse Resultと総称してしまうのが良いような）

　それでは「ほとんど使い物にならないような、件出力が低いソフトウェア」は、Bogus wareでしょうか？いえ、そうは言い切れないでしょう。
　これはその製品を開発した企業の技術力の低さなりによるものであり、「駄目なソフト」であったとしても「インチキなソフト」とは決め付けられず。

　つまりBogus Ware・Rogue Wareか、技術的に未熟なソフトか。それはエンドユーザーには容易には判断できないんですね。

　ユーザーがあるソフトウェアを導入する際には、「信頼できるソフトウェアなのか否か」との視点で考えたらばどうだろうか。まともな製品に思えたとしても、インストール後に不安をずっと抱えるのは嫌だろう？
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか（Semplice）

スパイウェア対策ソフトの評価

　スパイウェアの定義をスタンダードとなる形で布告しようとする団体がありますが、それは大変有意義だと思われます。これはスパウェア配布者の言い訳や開き直りを非難するための指針になるでしょう。
　しかしこのようなインチキソフトついては、どうなんですかね。言及は難しいのではないでしょうか。
　自身の悪意を隠し無実を訴えるスパイウェア配布者を法廷に引き込むのと、他社の対策ソフトを非難するのとでは全く意味が違います。後者は単なる「商売敵への嫌がらせ」と受け取られるリスクを伴い、また大手企業がこのような非難を行えば「寡占化のためか？」とか「新しいベンチャーを潰すのが目的か？」と誤解されそうな。

　また近年ではスパイウェア対策ソフトを装い、全く無意味・場合によっては逆に有害なソフトウェアも広く流通している。
　悪質な偽アンチスパイウェアソフトではなかったとしても、Virus BulletinのAwardのようなものが無いために、エンドユーザーはスパイウェア対策ソフトの性能を評価するのは困難だ。

2006年2月26日追記事項
　2006年になり、スパイウェア対策ソフトの評価がスタートした。
　アンチスパイウェアソフトの性能・検出力評価と認証、Spywaretesting.org・ICSA Labs

リスクが低い脅威をどう扱うのか - Alexa検出

　Alexaをご存知だろうか？これはWindowsマシンに予め入っており、WindowsXPならばどのパソコンでも存在するレジストリエントリである。
　Windows XPをインストールした直後にアンチスパイウェアソフトにてスキャンし、これが検出され慌てた経験を持つ方は一人や二人じゃないだろう。
　（なおこの場合のAlexaとはPestPatrolで言うところの「レジストリ内Alexa」を指す）

　PestPatrol関連の「Internet Explorerで"Alexa"が発見される（http://www.netjapan.co.jp/FAQ/Pest_solutions/PP_sol2.html）」なる資料的価値のあるページが将来的に削除されるような気がするので、今のうちにリダイレクト先の内容を転載しておく。

　【事象】
　スキャンを行うとInternet Explorerで"Alexa"が発見される
　【回避方法】
　Internet Explorer自体が持っているものです。
　削除をおこなっていただいても、InternetExplorerの機能上特に問題はありません。
　Alexaについて
　AlexaにはAlexaツールバーサービスとレジストリ内Alexaの2種類があります。
　レジストリ内Alexa
　AlexaレジストリエントリはInternet Explorer6又はInternet Explorerサービスパックのインストールによって作成されます。Internet Explorer6では「ツール」→「関連したリンクの表示」タブがあります。
　これを押せば、今表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。またこの機能はツールバーにも追加できます（ツールバーで右クリック→「ユーザ設定」→関連先を追加）。レジストリエントリ内にあるAlexaはこの機能を実現するためのものです。
　この機能を使用ことにより完全なURLが"msn.com"と"alexa.com"に送信され、表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。ある場合、ユーザ名、パスワード、セッションID、検索している情報、”秘密のパス”とその他の情報がURLに含まれています。この脆弱性はWindows 2000とWindowsXPの上に動作するInternet Explorer 6とそのサービスパックやホットフィックスに含まれていることが確認されています。このAlexaレジストリエントリを削除してもサービスパックを入れる度に元に戻されます。
　ツールバーAlexa
　Alexaツールバーはユーザのウェブサーフィンパターンを解析して、これをサーバに送信します。この機能に対してPestPatrolはペストと認識しています。
　Alexaツールバーのアンインストール
　Alexaツールバーのアンインストールは「プログラムの追加と削除」からアンインストールすることが出来ます。また、Alexaの詳細アンインストール情報はhttp://pages.alexa.com/exec/faqsidos/help/index.html?index=7　から参照することが可能です。
　【ログに表示される内容】
　Alexa, HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
サポート終了製品 » PestPatrol（旧） Computer Associates » PestPatrol Internet Explorerで"Alexa"が発見される

　Windows XP（SP未適用）をインストールし、初めてInternet Explorerを起動する。http://www.msn.co.jp/home.armxが表示されている状態で、「ツール」より「関連したリンクの表示（R）」を押してみると、Alexaを利用した類似サイトの検索が行われ表示されるだろう。

　しかしこの状態では、別にAlexa関連のToolbarなどがインストールされるのではない。
　その点でこの場にては、「致命的なリスクをもたらすとは考えられない脅威」として扱い、話を進める。
　（もちろん異論を持つ方も居るとは思われるのだが、ここではこのリスクの多寡は問題ではない）

　このレジストリ内Alexaがスパイウェア対策ソフトにより検出される場合があると、先ほど書いたのだが。
　ではこのレジストリ内Alexaをスパウェアとして検出するソフトウェアは、（あらゆる意味で）信頼できる製品なのだろうか？そう考えるならばそれは早計な思い込みである。

　最近気付いた一例なのだが、以下のようなアンチスパイウェアソフトウェアが存在するとする。

1. 体験版にてレジストリ内Alexaを検出できるとする
   
2. 表示された「スパイウェア」なるレジストリ内Alexaを駆除するには、製品版の購入が必要と表示される
   
3. ユーザーには「レジストリ内Alexa」が何であり・またどれだけのリスクがあるのかを一切説明しない
   
4. そしてその他のスパイウェアには一切（またはほとんど）対応していない
   

　さぁ、どうだろう？何度も繰り返しになるのだが。
　「全てのWindowsXPにてレジストリ内Alexa」が存在する、だから業者は、かなり広範囲のユーザーの不安を煽る事が可能だ。
　そしてこれを検出し表示するのは「嘘や詐欺とは言いづらい」
　しかし「その他のマルウェアを検出できない製品であったならば？」

Windowsの無害なファイルをマルウェアとして検出する例

　TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎（Semplice）にてテストしたWorldAntiSpyは、C:\WINDOWS\desktop.iniとC:\WINDOWS\system32\desktop.iniをマルウェアとして検出した。
　これらのiniファイルを調査したが、何か不正な改変が行われた形跡は無く、WindowsXPをインストールした後と同じく全く無害なファイルであった。

　Desktop.iniファイルは“Desktop.ini” ファイルとは何ですか?（Microsoft）で記述されている通り、WindowsOSならばよくあるファイルであり、それ自体はデフォルトの状態では全く無害なものである。

　またこのようなデフォルトで存在されているファイルを（改変されていないにも関わらず）マルウェア関連ファイルとして誤検出するのは、通常ありえないだろう。何故ならばリリース前に当然社内テストを行うはずであり、その際に誤検出が報告されないとは考えられないからだ。

　そのためこのようなWindowsOSに元々備わっているファイルがいかなる改変も行われていないのにも関わらずマルウェアとして検出された場合、そのセキュリティ対策ソフトウェアは存在しない脅威をちらつかせユーザーを脅迫するのが目的の悪質ソフトと考えても差し支えがないだろう。

検出対象となるファイルをわざわざ自分で作る悪質ソフト

　WinFixer2005による脅迫は自作自演（Semplice）にて紹介したWinFixerは、Internet ExploreのキャッシュやCookieを重篤な問題があるとし検出するだけではない。
　あまりにも酷い話なのだが、WinFixerはスキャン時に自作自演でCookieを作成し、それを検出する。
　これは詐欺だ。

関連記事

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　スパイウェア（Spyware）対策と駆除
　スパイウェア（Spyware）の解説と定義、概論
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか

更新履歴

　2006年11月3日、日本国内における現状を追記した。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、2005-07-20 ランサムウェア（Ransomware）と悪質ソフト、そのボーダー（http://d.hatena.ne.jp/LucaLuca/20050720）を修正・加筆し移転したものです。
また2005年12月12日、レジストリ内Alexaを追記致しました。  

ランサムウェア（Ransomware）とは？

　ランサムウェアはエンドユーザーに対して、何かのマルウェアに感染していると思い込ませてソフトウェアを購入させる業者が販売するソフトウェアである。これはFUD（恐怖(fear)不安(uncertainty)疑念(doubt)の頭文字をとった造語）による悪質な宣伝なのだ。
　（FUDについては以前書いた記事があるので、興味があるならば「2005年02月14日 - FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング（Semplice）を一読願いたい。）
　具体的な例としてはFTC、スパイウェア・アサシン（Spyware Assassin）を摘発（Semplice）を紹介する。

　なお誤解を招く可能性があるので、予め断っておくのだが。ランサムウェアがBogus wareとRogue ware、インチキソフト（Semplice）である場合も考えられるのだが。
　このランサムウェア（Ransomware）なる用語の用法は直接的には、そのソフトウェアの挙動・動作の安定性やそれに対する機能面への評価を指すのではなく、どのように配布・販売されているのかを指す点には注意してもらいたい。

　スペインのパンダ・ソフトウェア社は5月30日(現地時間)、パソコンに入り込んでソフトなどを売りつける『ランサムウェア』が増加していると警告した。データを勝手に暗号化し、復元ソフトを買わせようとするウイルスが最近見つかったほか、スパイウェアを口実にソフトを押し売りする事例が相次いでいる。
　ランサムは英語で身代金という意味。ウイルスの作者やハッカーが、パソコン・ユーザーを単に困らせるだけでなく、金銭を得ようとする例が目立ってきたという。
　最新のランサムウェアは、『スパイウェアノー』(SpywareNo)というソフトを売りつける。同社によると、アダルト・サイトにアクセスすると、勝手にパソコンに入り込み、「スパイウェアが潜んでいる」などと表示。月約15ドルの契約を結ぶまで、表示が消えなくなる。
「押売りウイルス」が増加（Wired News）

　Wired Newsの英語版の元記事を見ようとしたものの、見つからず（消去？）
　日本語版の記事中では、このソフトをウイルスと記載しているが、実はこれはウイルスではないのだな。

　Spyware Warriorに興味深い話が紹介されているのだが。

（注意：Spywarenoが怪しいソフトではないとの業者側の弁明に対して）
　これらの（CWS関連によりインストールされるアドウェアの）ファイルに感染したらば、Spywarenoの試用版を秘密裏にインストールされる。
Update on SpywareNo!(Spyware Warrior)

　このSpywarenoの販売元でPR Managerを努めている（と名乗る）Jessica Simmons氏のコメントが、信頼に足るものなのかは判別できないものの、これは大変示唆に富む。

　SymantecやMcAFEEなどのまともな企業の製品であったとしても、だ。悪意のあるAdware配布者がこれを通常ユーザーに許容されないような手法を用いて宣伝したり購入を強要したとしたらば、「まともな製品の製造・販売元」の社会的評価を貶められるだろう。そしてその製品はランサムウェアとなるのだろうか？

　とりあえずこの場では、ランサムウェアを一旦このように扱う事にする。

• ブラウザハイジャッカーやAd-ware経由でしつこく宣伝されそのサイトへリダイレクトされ、または脅迫的なサイトの表示・感染中に強制的に表示されるデスクトップの壁紙やポップアップ表示により、購入を強要される。
  

　以下はランサムウェアとしての条件に当てはまるのか否かが判断つかないため、この場では保留する。だがBogus wareであるのは事実だ。

• マルウェアに対しての検出力はインチキレベル
  

ランサムウェアと脅迫的マーケティングの現状（2006年5月2日追記事項）

虚偽の警告を表示し、ユーザーにいかがわしいソフトウェアを導入させる手口

　セキュリティホール memo経由で、コンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA：独立行政法人 情報処理推進機構）なる記事を見つけた。
　これはまさにブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）の内容そのものだ（と言うかリンクを付け紹介してもらいたいものです）。
　ブラックウォームは悪名高いwinfixer.comが深く関わっており、WinFixer2005による脅迫は自作自演（Semplice）WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）にて紹介した悪質ソフトの導入を脅迫的に強要する。

　対策側として多少不満を覚える点として、IPAにては一点舌足らずな部分があるのだ。それは一過性のどこかのURIリンクやバナー広告を押して表示された場合と、アドウェア（広告表示プログラム）によるポップアップ広告やブラウザハイジャッカー（Internet Explorerなどのブラウザにて、ユーザーが意図しない動作・一例として強制的にどこかのサイトを表示する）を考慮していない部分。

　一過性のものでありそれ以後怪しい脅迫的サイトを表示されないならば、それほど深刻な問題ではないだろう。
　ですが何度も何度も勝手に表示されるならば、アドウェアやブラウザハイジャッカーの存在をまず疑うべきであり、既に「何か」に感染している可能性があるのだろう。

存在しないマルウェアを検出・または自作自演で検出対象を作成する

　PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）のように、いかなるウイルス・スパイウェア・アドウェア・マルウェアに感染していない場合でも、何かに感染していると警告する悪質なスパイウェア対策ソフトが存在する。
　またWinFixer2005による脅迫は自作自演（Semplice）のように、わざわざ検出対象ファイルを自作自演で作成し、これを検出し「感染しているぞ！」と騒ぐ悪質なソフトウェアもある。
　これらはインチキソフト（Bogus wareとRogue ware、インチキソフト（Semplice）なのだ、それは疑うべき部分は無い。

　そうは言っても、多少判断がしづらい場合もあるのだ。
　他のマルウェア（Malware）と協調し悪質なソフトウェアを導入させ、検出対象ファイル（一例として何かのアドウェア）を予め作成する場合はどうなんだろう？
　これらの「微妙なソフトウェア」を導入するように強要するアドウェアまたはダウンローダーは、予め検出対象となるファイルをダウンロードしておき、いかがわしい対策ソフトによる検出数を増やそうと試みる。これにより「ほら、やっぱり感染してた！このソフトを買いなさい！」と、その説得力を増そうとしているのだ。

　多少かけ離れた視点でこれらの実態を鑑みれば、「不審かつ不要なスパイウェア対策ソフト・ウイルス対策ソフト」を単体でダウンロードし運用したとしても、背景となる「カラクリ」がアンチウイルスソフトメーカーや対策側団体としては見出しづらいのだ。
　このような特殊な事例の場合、「いかがわしい対策側ソフトウェア」をBogus ware・Rogue ware・インチキソフトとしては判断しづらい事例もあるだろう。

ランサムウェア（Ransomware）と広告業界

　前述のSpywarenoの件のように「宣伝を依頼した広告代理店が勝手にやっただけだ！」と主張される可能性があります。
　このような場合は、どのように解釈すれば良いのかわからず。
（ランサムソフトの話ではありませんが。ブラウザハイジャッカーとしてのCWSは、悪意がある広告代理店が勝手にやってるだけだとの反論をしているようですが）

関連記事

　Bogus wareとRogue ware、インチキソフト
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　スパイウェア（Spyware）の解説と定義、概論
　FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-07-20 ランサムウェア（Ransomware）と悪質ソフト、そのボーダー（http://d.hatena.ne.jp/LucaLuca/20050720）を修正・加筆し移転したものです。
  

マルウェア（Malware）の定義

　スパイウェア・アドウェア・ウイルス・ワーム・トロイの木馬などの悪質なソフトウェアは、マルウェアと総称される（マルウェアはMalicious Softwareの略称である）。

　Microsoftが詳細な定義をしているので、一読しておいても損は無いだろう）。
　マルウェアの定義 : FAQ（Microsoft）（一部の項目はスパイウェアとアドウェアを混同しているようだが)。
　対ウイルス多層防御ガイド 第2章: マルウェアの脅威（Microsoft）

　またマルウェア対策の業界団体COAST（Consortium of Anti-Spyware Technology vendors）の定義も参考になる。
　「Glossary（COAST）http://www.coast-info.org/glossary.htm」
（COASTは2005年4月、マルウェアを配布してる業者をメンバーに加えたのだが、それに反発したベンダーの離脱で消失した）
　その後、アンチウイルスソフトメーカーやその他が参加するASC（Anti-Spyware Coalitionｍ）なる団体が、狭義・広義のスパイウェアの定義を定めた。今後はこれをSempliceでの指標の一つとして扱うだろう（2005年11月01日 - ASC（Anti-Spyware Coalitionｍ）のスパイウェア等の定義（Semplice））。
　（2006年5月15日 注：ASCが定めているのはスパイウェア及び広義のスパイウェアの定義であり、マルウェアの定義ではない）

　ウイルスについてはIPA（ Information-technology Promotion Agency, Japan.：独立行政法人　情報処理推進機構）が掲載しているコンピュータウイルス対策基準のための定義がある。しかしこれは広義の定義であり、ワームなどを明確に区別はしていない。

　コンピュータウイルス（以下「ウイルス」とする。） 第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
　自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能
　発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
　プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
コンピュータウイルス対策基準（IPA）

マルウェア（Malware）の私的分類

（配布のやり方によっては、スパイウェア・アドウェア・キーロガーは広義のトロイに含まれる可能性がある。またワームは広義のウイルスに含まれる例がある）

ユーザーに危害を与える目的のもの - マルウェア

• マルウェア（Malware）:悪質な目的のために作出されたソフトウェア全般を指す広義の用語
  
  
  
  • ウイルス（Virus）：言わずもがな。
    
  • ワーム（Worm）：自己増殖、拡散性を備えるプログラムを指す。ワームはウイルスではないなどの見解もネット上には散見されるが、多くのウイルスはワーム性を兼ね備える。
    
  • トロイ（Trojan）：広義ではある機能を指すのではなく、ユーザーにその裏機能を知らせずに利用させるものを意味する。トロイの木馬（Trojan Horse）に引っ掛けて命名されたらしい。
    
    
    
    • トロイ:RATなど狭義のトロイ、バックドアから他人が操作をできるようにするトロイの木馬（Trojan Hourse）・RATとは（Semplice）。
      
    
    
  • スパイウェア（Spyware）:個人情報を第三者に送信する。ユーザーの了解を得るのはまず有り得ない。この用語は混同される場合が多い。詳細はスパイウェア（Spyware）の解説と定義、概論（Semplice）とスパイウェア（Spyware）対策と駆除（Semplice）を閲覧願いたい。
    
  • アドウェア（Adware）:狭義では広告を表示するものである。機能を十分に説明し承諾を受けてインストールされたものはマルウェアではない。だが使用許諾説明書が読み取るには難がある常識外れの長文であったり極端にわかりづらい場合は、この限りではない。場合によっては悪質さのためにトロイの木馬のカテゴリに含まれる例がある。ブラウザでの閲覧の記録などを外部に勝手に送信するものは、スパイウェアとの定義上での線引きは難しい。
    
  • キーロガー（Keylogger）：キーストローク、つまりキーボードから入力した内容を記録するもの。ネットカフェで他人のパスワードを抜くために利用され話題になった。ソフトウェアキーボードとキーロガー（Semplice）。
    
  • スクリーンロガー（Screen Logger）：デスクトップのキャプチャ画像、つまりスクリーンショット（screen shots）を作成するソフトウェア。作成した画像を電子メールで送信する機能を備えるものもある。オンラインバンクのパスワードを盗む目的で、キーロガーと併用される場合がある。従業員を監視する目的としてこの機能を備えるソフトウェアもがあるが、まともなものとは思いづらい。
    
  • ブラウザハイジャッカー（Browser Hijacker）：ブラウザを乗っ取り、ホーム（起動後に表示されるサイト）を改変したり、アダルトサイトを信頼済みサイトゾーンに登録したりするもの。ブラウザヘルパーオブジェクト（Browser Helpeｒ Object)とブラウザハイジャッカー（Browser Hijacker）（Semplice）。
    
    
    
    • ホームページハイジャッカー（Homepage Hijacker）：多くのブラウザハイジャッカーが備える機能。
      
    • サーチハイジャッカー（Search hijacker）：ここではブラウザハイジャッカーにおける機能の一つとして扱う。
      
    
    
  • ルートキット（Rootkit）：感染中のパソコンからの修復作業は極めて困難。遠隔操作による操作、また他のマルウェアの存在を隠蔽する目的で利用される。Rootkit（ルートキット）とWindows（Semplice）
    
  • ダウンローダー（Downloader）：これに感染させ、その後次々と新しいマルウェアをダウンロードさせ導入するためのもの。近年多数のマルウェアにまとめて感染する事例が多発しているが、そのような場合に利用される。Iriaなどのソフトウェアの意味ではない。
    
  • ダイヤラー（Dialer）（同義語としてダイアラー）：ダイヤルアップモデムなどの接続先電話番号を改変し、ダイヤルQ2や国際電話に接続させる強制架電を引き起こすマルウェア。Dialer（ダイヤラー・ダイアラー）による不正な料金請求と、日本語表記
    
  
  

危害を与える目的ではないもの

• アドウェア（Adware）:広告表示のみの機能で、インストール時にユーザーの了解を（十分に）得ており、またユーザーが望まない形で外部に情報を送信しないものに限る。無料で配布されるツールを利用する代償の手段として用いられる例が多い。もちろん勝手にインストールされるアドウェアは、この限りではない。
  
• ブラウザヘルパーオブジェクト（Browser Helpeｒ Object):ブラウザハイジャッカーと混同される事も多い点に注意
  
• 糞ゲー（あ、冗談です。けどGoogleで5,330件ありました）
  

分類にあたっての視点が異なる定義

　以下の悪質なソフトウェアは、ソフトウェアの機能よりはむしろ配布・利用の様態や、対策側企業独自の扱いに基づく区分である。

• ペストパトロール（PestPatrol）社の「ペスト」：「厳密な定義」とは異なり、エンドユーザー的視点からのあらゆる脅威を包括した用語。ペスト（pest） - 汎用性が高い定義（Semplice）。
  
• クライムウェア（Crimeware）：犯罪を引き起こすようなソフトウェアの意味らしいのだが、Googleにて全言語検索にて400件のみなマイナー用語。2005年12月12日、74200件にまで急増していたのだが、それだけこの用語が「便利」で使いやすく、かつこのような悪質なソフトウェアによる被害が顕在化している現状を反映しているのだろう。（クライムウェア（Crimeware）なる用語の変遷と、社会学的類型参照）
  
• Bogus ware（インチキソフト）・Rogue Ware（悪党ソフト）：スキャンの結果、存在しないファイルやレジストリを表示・また本来Windowsに備わっているファイルをわざとマルウェアであると誤検出し、危機感を煽る悪質セキュリティ対策ソフト。通常は店頭販売されているようなソフトは指さないが、個人的にインチキと呼びたいソフトもある。Bogus wareとRogue ware、インチキソフト（Semplice）
  
• ランサムウェア（Ransomware）：元々の意味は金銭の支払いを強要するソフト。Adwareやブラウザハイジャッカーに感染中に、しつこく何度も製品についての情報を表示・販売サイトへリダイレクトし、マルウェア対策ソフトを購入するよう強要される場合において、その怪しいマルウェア対策ソフトを指す（ランサムウェア（Ransomware）とFUD（Semplice）及びランサムウェア（Ransomware）と用語の変遷（Lucablog））。
  
• ランサムウェア（Ransomware）-2：ファイルを暗号化し、取り戻したければ金銭を支払えと脅迫するためのソフトウェアを指す。2005年5月Pgpcoderの出現以降に利用されている新しい用法。最も古い「強制暗号化ソフトウェア」は1989年のAIDSであるが、Pgpcoder以前にはランサムウェアと記載する例は見かけなかった。「ファイルを暗号化し脅迫するソフトウェア→ランサムソフト」であるが、「ランサムウェア→ファイルを暗号化し脅迫するソフト」ではない。
  
• デマウイルス（hoax virus）：マルウェアに感染しているとの虚偽の情報を指し、実体は無い。もちろん被害は無いのだが、騙されうかつに問題の無いファイルを削除する被害は昔より形を変えて存在する。デマウイルス（hoax virus）の罪（Semplice）。
  
• トラックウェア（Trackware）：十分な同意の上で、ユーザーを害し得ないような情報（ブラウザで閲覧したサイトのURIなど）をマーケティング目的にて送信するようなソフトウェアを指すため、不法行為を伴うものではない。スパイウェアの語感の悪さを回避する目的で、悪質な業者が自社のスパイウェアをトラックウェアと呼ぶようアピールしている例もある。
  
• ベイトウェア(Baiteware)：Wikipediaによれば、「非常に限定的、あるいは不完全な機能を提供するようなフリーウェア。一見、ユーザにおいしそうなものをリリースするが、その実は商用製品を買わせるための餌である。 」と記載されていたが、当該部分は削除された。一部のランサムウェア及びBogus ware類似ソフトウェアは、体験版によるスキャンの結果「どうでもいいようなもの」をスパイウェアとして検出し扇情的ポップアップ広告をしつこくなんども表示し、製品版の購入を促す場合がある。そのようなソフトウェアはベイトウェアに含めてもあながち間違いとは言えないのではなかろうか。
  
• グレイウェア（Grayware）：「明らかに怪しく、そして犯罪目的で利用されるソフトウェア」の意味で使われる単語。2005年12月13日、グレイウェアでGoogle検索したが日本語でわずか34件、graywareでウェブ全体から検索にて163,000件。日本国内ではこのような用語が利用されていない要因は、海外でのマルウェア情報を国内のメディアやフォーラムがそれほど十分には伝達できていない現状によるように思われる。興味深い事にTrendMicro社は2005年12月12日、セキュリティ情報ページ（ウイルスデータベース）リニューアルなるページにてグレイウェアをスパイウェアと同列の扱いとして掲載した。
  
• ワンクリウェア・ワンクリックウェア（One-click ware, Oneclick ware）：アダルトサイトなどで画像や何らかのソフトを装いユーザーの錯誤を招かせ、インストール後に悪質業者と契約を結んだと思い込ませ、金銭の支払いを要求するポップアップを何度もしつこく表示するアドウェア。ワンクリック詐欺、ワンクリウェアなるもの（Semplice）
  
• Foistware：「Foistware（SpywareInfo）（http://www2.spywareinfo.com/2005/09/13/1169）」ではKazaa無料版にバンドルされているAdwareの例など、「有用なソフトAにより導入されるその他の望まれないソフトBであり、Bを取り除くとAが機能しなくなるようなもの」として定義している。なおInternet Explorerの脆弱性などを利用しユーザーの許諾を得ずにインストールさせる「ドライブバイダウンロード（Drive-by download）」にて導入されるソフトウェアを、このFoistwareに含める用法が日本国内にて散見されるのだが、その理由が釈然としない。
  
• スピア型：不特定多数を攻撃対象とするのではなく、特定企業・個人を攻撃対象として相手にマルウェアを配布する手口を指す。自分が知る限りではボットは一点突破の“スピア型ウイルス”、ISPも対応に苦慮（INTERNET Watch）（2005年12月9日）での「Internet Week 2005」における発言が初見。Targeted Attackの方が普遍的用法であるとの説も（「スピア型攻撃」は日本独自の表現？（武田圭史））。
  
• バッドウェア（Badware）：2006年1月、「Stop Badware Coalition」なる団体が倫理に反するマーケティング手法で配布されているスパイウェア・アドウェア対策のために作った用語（see 「バッドウェア」対策で新団体結成--グーグルやサンなどが参加（CNET Japan）。ちなみにこの対策側団体に参加しているGoogleは、JWordやSpywareRemoversReview.comのような露骨に怪しいソフトウェア・またはインチキソフトを販売している業者のアドワーズ広告を現在でも掲載している（「Googleの広告に潜む、マルウェア配布者による広告」）。
  
• ミスリーディング アプリケーション（Misleading applications）：Symantec社による、インチキソフトウェア（Bogus ware・Rogue ware）のカテゴリ。2006年秋には海外サイトにて散見したが、2006年11月の時点で日本語版ページにおいてはシマンテック、金銭的利益を求めてホームユーザーを狙う攻撃が増加、と報告（Symantec）を除くと情報が無い。「スキャンされたコンピュータ上にて、虚偽・あるいは明らかに紛らわしい（misleading）、セキュリティリスク・脅威・あるいはシステムの問題の情報を報告するプログラム（Glossary（Symantec英語ページより抜粋し和訳））。」
  
• トラッキングクッキー（Tracking Cookie）：トラッキングクッキーはブラウザを利用した際に作成されるコンパクトなデータファイルであり、スパイウェア・マルウェアのいずれでもない（クッキー（Cookie）の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー）。スパイウェア・マルウェアに含めたがるメーカーの態度は不審だ（Tracking cookieはスパイウェアではない - スパイウェア対策ソフトメーカーの姿勢への疑問）。
  
• fraudware：詐欺ソフト（fraudulent software）の略称。メモリを最適化し高速化すると称して実は何もしないソフトウェアなどを指すが、Bogus wareやRogue wareのようにインチキなスパイウェア対策ソフトを指す用法は少ない。2006年12月24日現在、Google検索にて11,900件（日本語では0件）。
  
• ボットウイルス：2007年4月4日現在、Google検索で3500件。ボット（Bot）の意味として使われる。トレンドマイクロ社が利用。またセキュリティ対策まんが　クジョたいさく物語（IPA）でも利用される。
  

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2004-10-24 マルウェア（Malware）の定義（スパイウェアやアドウェア）（http://d.hatena.ne.jp/LucaLuca/20041024）を修正・加筆し移転したものです。  

　変わった挙動のウイルスがSophosのニュースより紹介されており。大変驚き、そして怪しみつつ感慨に浸っているのです。

　アクティブなウィンドウのタイトルバーから Windows ユーザーがどのサイトを閲覧しているか監視します。同トロイの木馬が好ましくないと判断するキーワード（「teen」、「xx」、「sex」または「penis」など）を発見すると、ウィンドウを最小化してユーザーがコンテンツを閲覧できないようにし、代わりにコーランの引用文を表示します。

　他のマルウェアと異なり、このトロイの木馬は、金銭あるいは個人情報を盗み取る傾向はなく、道徳的に芳しくない内容のサイトの閲覧をブロックし、モラルを監視するような動きを見せますが、誤った判断でポルノ的要素が含まれないサイト（若年者向けの医学サイト、社会学サイトなど）をブロックしてしまう可能性は大いにあります。
ソフォス、コーラン引用文でアダルトサイト閲覧を妨害するアラビア語のトロイの木馬について報告（SOPHOS）

　要するに、コンテンツフィルタリングのようなものなんでしょうか。
　このYusufalilは宗教的な動機により作成されたような印象があります。
　作者の考えでは、アダルトサイトを反社会的なものとし、これより足を強制的に遠ざけさせるのが目的なような。
　宗教的メッセージを表示しつつ、ウイルス作者が不健全と考えるようなサイトの閲覧を妨害し「健全なブラウジングを促す」と。

　コンテンツフィルタリングなる機能は、i-フィルターのような製品に搭載されており。
　未成年者がアダルトサイトや暴力的なサイトの閲覧をできないよう設定し、保護するためのものです。
（人によっては保護じゃなく、迷惑と感じるやもしれませんが）

移転前のブログへのコメントより

　rivierasさんより、以下のようなコメントをいただきましたので、許諾を申し込んだ上で転載。
　確かに何を健全とするのかを特定個人の尺度を元とし、それを全てにあてはめるのは危険ですね。またそれらの主張をどのようにして広め実現するのかも。
　それが行き過ぎたものが、Antinyなどなんでしょうか。



- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-11 善意？のウイルスによる、コンテンツフィルタ機能（http://d.hatena.ne.jp/LucaLuca/20050911）を修正・加筆し移転したものです。  

　最近ほったらかしのメールアカウントを久しぶりにログオンしたんですが。なんか笑っちゃうほど大量のスパムメールが貯まってて、どうしてくれようかと思案に暮れたんですが。
　4割は海外の違法コピー製品なりのもので、オンライン薬局とかローンのスパムはほぼ皆無です。
　残りは日本の出会い系。

　嫌なのは知人を装って「覚えてますか？」とかそんな件名で送られるもの。一瞬誰だっけとうろたえるんですが。中身は出会い系サイトのスパム。
　何だかスパム界の事情はよくわからないんですが。出会い系では「逆援交」とかそんな感じの、男性側へ報酬を支払うとの内容のものが増加しているようでした。

　これらのスパムを眺め、ふと思いついたんですがね。
　出会い系サイトスパムに掲載されいてる管理者とか運営者の名前、そしてサクラか何かの女性の名前。これらって姓名判断やったらばどうなんだろうか。

　今回利用した占いは、21世紀の姓名判断命名navi。
　出会い系スパムを数百件も閲覧するのは大変手間がかかりましたが。とりあえず興味深い結果になりました。
　ちなみに面白そうな部分のみを抜き出しているため、ここに掲載している結果はLucaさんの興味の方向性により多少恣意的です。

出会い系スパムの運営者の名前

　不思議なんですが、これらはいずれも事業運が良い名前が多いようでした。しかしいずれも「犯罪傾向」や「事件注意」などの、割と刺激的な結果が・・・・・

出会い系スパムの、女性プロフの名前

　こちらも微妙な結果になったんだけど。
　うーむ。何とも言えないものがありますな。
　あまり異性運に恵まれていないような名前の出現頻度が高いような印象です。

ふと、いいアイディアが思いた！

　この手の出会い系スパムに掲載されている名前なんですが、これを姓名判断で良さそうなものにした場合、登録者が増えたりするんですかね。
　例えば女性プロフならば「男性運あり」とか「モテモテ」な名前を利用すると。

　まあ、どうせこの手の名前なんて偽名だったり。またスパム作成者がとっさに思いついた実在しない女性の名前なんだろうけど。

関連記事

　スパムメールの件名から送信者の悲哀を感じる

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-04 出会い系スパムに出てくる名前って（http://d.hatena.ne.jp/LucaLuca/20050904）を修正・加筆し移転したものです。  

　とある分野に関連するキーワードにてGoogleで検索すると、どこかのニュースポータル（CNET Japan、IT Media等）の記事の見出し「のみ」をドバーッと大量に掲載してる、そんなブログがやたらと上位に表示されたりします。
　それらはいずれも、記事の内容についての言及が皆無で単なるリンク集。また扱うテーマにまとまりが無く、方向性が感じられません。

　Googleの検索順位なりにおける検索順位最適化とかSEOのテクはよくわからないんですがね。特定分野のキーワードを集約してドンドン使えば、集客力は高まるんでしょう。特に複数のキーワードを併用して検索した場合に、このようなサイトが割と有利？なような。
　よくある話として、Webサイトにて無意味なほどドバーッと大量のキーワードを書き連ねたドアウェイページ（Doorway Pages）これにまず集客しておいて、そこから自分が経営する商業サイトへ誘導する、と。

　以前とある製品を購入するに当って、そのメーカーのサイトを調べようとしたんですがね。その企業の製品の名称をズラズラと無意味に数百も掲載しているドアページばかりがヒットし、結局メーカーサイトへは容易にたどり着けなかった経験があります。
　これらは検索エンジンスパムとして排除されてるようでして。Googleではこのようなスパムサイトを通報する窓口を設けております。

　で、またブログの話に戻りますが。
　彼らは一体、何をしたいんだろうかと。
　自分のID付きのURIを踏ませて、アフィリエイトで小遣い稼ぎなのか。バナーを踏ませたいのか。アクセスランキングのためなのか。
　結局何の目的なのやら、サッパリなのです。

スプログ（splog）なるスパムブログ

　CnetJapanの記事によれば、スパムブログを大量にツールにて生成し、検索エンジンを騙す目的で被リンク数を稼ぐ手口、つまりスパログなるものがあるらしい。
　手口はGoogleのブログサービスの「Blogger」に大量のブログを設立し、これからローンだの何だのと怪しい内容を含む本サイトを宣伝する手口らしい。
　ブログスパムの悪夢--「スプログ」でグーグルのBloggerが大混乱（CNET Japan）

　大変参考になったブログがあったので、一部を抜粋しますが。

　私は、昨夜偶然では有りますが「Auto-Blog Builder」と言うものを発見しこれってすごいなぁと思っていた。（どうやら現在のところ販売を中止している）この「Auto-Blog Builder」も一見普通のブログに見えるし、キーワードを設定しておけば勝手にブログを作成してしまうと言うソフトらしい。悪用されたら大変だよなあと思っていた矢先にこの事件。もしかしたら、悪用事例か？
ブログスパム（スプログ）でBloggerが大混乱！

　Auto-Blog Builderなるソフトについての知見が無いので、これがどのようなものなのか判別できないんですが、大変興味深いのです。

　元記事にもあったけど、この手のブログスパムを回避する手段として「ブログ作成者に対してゆがんだ形の文字を表示し、それを手動で入力させて（マシンではなく）人間がそのブログをつくろうとしていることを証明させるといった予防措置」なるものが紹介されていたいんだけど。Googleのcaptchaは視聴覚障害者に配慮していないにて紹介したcaptchaなどを乗り越えるならば、随分とやるものなんですね。

猥褻な内容を含むブログは、本当に個人が運用しているのか

　まぁ、それは置いておいて。

　ブログ検索サービスを提供するTechnoratiでは、「State of the Blogosphere」というレポートを発行しているが、このレポートではスプログの一般的な脅威について、新しいブログ全体の平均5.8％（約5万件）は偽物か、偽物の可能性があるとしている。
ブログスパムの悪夢--「スプログ」でグーグルのBloggerが大混乱（CNET Japan）

　最近よく、どこかにマルウェアが落ちていないものか探す目的でアダルトサイトなりアダルトコンテンツが含まれるブログを閲覧しているんですが。
　そのようなエロいブログにて、明らかに不審なものを散見します。つまりはどう見ても特定のアダルトサイトの宣伝にしか思われないものとか。または女性による個人ブログを装っていながら、実は業者が運営しており、アダルトサイトなり出会い系サイトへ誘導する目的のものとか。
　笑ってしまうのは、じっくり探せば同じ画像を使いまわししてたり内容が重複するブログが多数存在するんですよね、この手のものは。
　これは手動によるスパムブログなのでしょう。

関連記事

　バイドクターのEUsoft社と検索エンジンスパム

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-01 キーワードスパムなブログ（http://d.hatena.ne.jp/LucaLuca/20050901）を修正・加筆し移転したものです。  

　アンチウイルスソフト（Norton Antivirus・ウイルスバスター・マカフィーウイルススキャン・NOD32・AVGその他）のインストール・アンインストール後、アップデート後、またマルウェアの駆除後に、様々な問題が生じる場合があります。

• OSが起動できなくなる
  
• マルウェアでも何でもないファイルを削除され、アプリケーションが起動できなくなる
  
• メールの送受信ができなくなる
  
• ネットに接続できなくなる
  
• MBR（マスターブートレコード）の保護を有効にしてたらば、ユーティリティソフトの導入や操作に失敗した、リカバリー作業に失敗した
  
• コレクションしていたウイルスを勝手に削除され泣いた（あ、冗談です）
  

　ウイルスなりスパイウェアなりの削除に失敗し、えげつない目に遭遇したとの体験談は方々にて散見しますが。これらはマルウェアと、アンチウイルスソフトのエンジン・定義ファイル（シグネチャファイル）の特定バージョンとの間に存在する、再現が難しい問題です。

　現在アンチウイルスソフトによる修復作業が失敗した場合に、どんな問題が起きるのかに興味があるんですが。
　スパイウェアなどでは、LSPインジェクタなタイプもあり、その辺に的を絞ってとりあえず試してみたく。成功（いや、失敗か？）すればネットに接続できなくなるでしょう。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-22 アンチウイルスソフトでの作業後の不具合（http://d.hatena.ne.jp/LucaLuca/20050822）を修正・加筆し移転したものです。  

　Googleに登録しようと試み、URL の登録と更新（Google）を開いたんですが。さすがにこれはと唖然。

　手動で送信された URL と自動で送信された URL を区別しやすいように、下のボックスに表示されているとおりに語を入力してください。
サイトの登録 / 削除

　何と読むんだろうか。どなたか読めますか？

　つまり表示された画像中の文字を、手動でボックスに入力するよう求められるんですがね。恐らくは自動登録ツールなどでバンバンとGoogleに登録されるのを避ける目的で、このような仕様になっているんでしょう。

　この文字が毎回微妙に歪んだりしており、識別しづらい。これはひょっとしたらば、何かの自動化ツールなどにより機械が読み取るのを防止する目的なんだろうか。
　自分は視力は悪くないし、細かい字を読むのも苦手ではない。しかし時折はこのような「もう限界」な読み取れない文字が出て、もうギブアップなのです。

　Googleに限らず、このcaptchaはどこかのサイトでのユーザー登録や、ネット決済などで利用されてます。いずれもこれは「人間が手動で入力するようにさせる」ためのものであります。
　しかしながら自動アカウント取得ツールなどを回避する目的で利用されるこのcaptcha。健常者でも判読できないような文字は、視力が弱い方には大変なハードルになるのではないでしょうか。

謝辞

　smoking186さんより、この画像の名称を教えていただきました。
　大変ありがとうございました。

関連記事

　フォントサイズが絶対サイズ固定なのは、視覚障害者への配慮が足りないのでは

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-23 Googleは視聴覚障害者に配慮していない（http://d.hatena.ne.jp/LucaLuca/20050823）を修正・加筆し移転したものです。  

Zotobワームとマルウェア作者の抗争

　MS05-039の脆弱性を利用したウイルスが、多数出現しているようなんですが。
　「プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)（Microsoft）」

　IT Mediaによれば、ウイルス作者のグループ間でなにか争いが生じているらしい。
　なんか仁義なき戦いの様相を呈しております。

　IRCBotとBozoriのグループは、対抗グループのマルウェアを削除する機能を持っているといい、IRCBotとBozori対Zotobとそれ以外というグループ間で対立抗争が起きているようだとF-Secureは解説。これはウイルス戦争ではなく、ボット戦争だと指摘している。
Windows脆弱性悪用ワーム間で対立抗争の様相 （IT Media）

　知人のブログによれば、greetz（ウイルス作者が残すメッセージ）により互いを非難しあっているらしく。うーん、ゴタゴタですね。
　で、このZotob作者は他のグループに個人情報を握られていたようなんですが。そのためか結局、Zotobワームの作者はあっけなく逮捕されたそうです。
　どなたが通報したんでしょうかね。

　米Microsoftは8月26日、Zotobなどのワーム作成に関わったと見られる人物数人が、トルコで逮捕されたと発表した。Microsoftは米連邦捜査局（FBI）や米国外の捜査当局と協力し、技術面から捜査の支援に当たったとして成果を強調している。
Zotobワーム作成の容疑者、トルコで逮捕 （IT Media）

マルウェアの商業化と利権争い

　このワームの作者達は、クレジットカード関連の詐欺グループと関わりがあったようなんだけど。このようなワームの製作に多額の報酬を支払い依頼する方が居るんですね。
　Botnetなどはスパムメール送信業者が直接作り上げたりまたは金銭を支払い借りたりするとの事なんですが。
　「「スパム送信用“ボットネット”のレンタル料は1時間で300ドル」（IT Pro）」などの記事では、このようなクライムウェアとしてのマルウェアについて、レンタル業を営む方の存在が指摘されております。
　愉快犯的犯行や政治的な理由ではなく、このような金銭目的にてマルウェアが利用される時代なんでしょう。

　26日(米国時間)に米連邦捜査局(FBI)のサイバー犯罪捜査担当の副責任者、ルイス・M・リーゲル氏が発表したところによると、ファリッド・エッセバー容疑者(18歳)はモロッコで、アティラ・エキシ容疑者(21歳)はトルコで、25日に身柄を拘束されたという。
　エッセバー容疑者は米マイクロソフト社製オペレーティング・システム(OS)で動いているコンピューターを攻撃するコードを書き、エキシ容疑者はエッセバー容疑者に報酬を支払ったと、リーゲル氏は語った。
ウィンドウズ2000を狙うワーム『ゾトブ』の作者2人を逮捕 （WIRED NEWS）

　FBIの関係者は米国時間30日、21歳のトルコ人で「Coder」のニックネームを持つAtilla Ekiciが、トルコのクレジットカード詐欺団のメンバーと関係している可能性があることを明らかにした。Ekiciともう1人の容疑者は、先々週に全世界の企業の業務を混乱させたZotobワームを含む、複数のコンピュータワームを感染させた疑いで先週逮捕された。
　クレジットカード詐欺団との関連が疑われていることから、ZotobとMytobの両ワームの攻撃は金銭目的であった可能性が高まっている。FBIは先週、Essebarがこれらのワームを作成してEkiciに売却したと考えていることを明らかにした。
Zotobワームの容疑者、クレジットカード詐欺団に関与 （CNET Japan）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-27 Zotobワーム作者逮捕（http://d.hatena.ne.jp/LucaLuca/20050827#p1）を修正・加筆し移転したものです。  

子供向けセキュリティ対策情報サイト

　最近ずっと子供向けのセキュリティ対策に興味があり、どなたかに紹介し役立ててもらえるようなサイトを探していたんですが。
　All About Japanに「子供のためのPC・ネット学習」なるカテゴリーがあるのを発見。リンク集の「ネチケット・ネット利用のルール」を開き、と。

　「インターネットを利用する子供のためのルールとマナー」、これは大変いい感じじゃないですか。
　説明がやや長いのが難と言えばそうなんだけど。
　細かいポイントをうまーく説明し、素晴らしい。
　マルウェアなりウイルスについての話はほぼ無いんですが、その他の部分でこれだけ十分な内容のサイトは、初めて見つけました。
　どちらかと言えば、中学生程度をターゲットにしたサイトのようです。皆さんも一度お子さんと一緒に読んでみてはいかがでしょうか。

真偽を確認する必要

　よく目にする問題なんですが。
　Webサイト上にて見つけた誰かの意見なり「その方なりの事実」が正しいのかどうかなんて、確かな事は言えないものだし。また明らかに虚偽の内容を含むサイトを散見します。そのようなサイトもあるものなので、「まず疑え」じゃないけど複数のソースから確認する姿勢は大切なように思われます。

6.1 内容（ないよう）はかならず自分で確認（かくにん）してから
　WWWのページに書いてあったことは「ぜったいに正しい」とはかぎりません。まちがっているかもしれないし、まちがっていなくても、1年も2年も前のものかもしれません。１つのページだけでなく、いくつかちがうページとくらべてみたり、図書館にいってさらにくわしくしらべてみたりするとよいでしょう。
インターネットを利用する子供のためのルールとマナー

メアドは晒すべき？

　メールアドレスをあちらこちらに書けば、ネットストーカーのリスクも増え、またスパム用メールアドレス収集ボットに拾われてスパムメールがバンバンと届くようになりそうな。
　捨てアド作って常用しよう！とは書きづらいんですが。
　「責任を持って」なる趣旨であっても、そうそうメアドはあちこちには書きづらいものがありますね。

3.イーメールのアドレスはきちんと書こう！
　自分の意見や作品を発表したら、イーメールのアドレス（あて先）をきちんと書いておきましょう。ちゃんと返事をもらったり、ほかの人と意見をやり取りできるように責任（せきにん）を持ってインターネットに参加（さんか）しましょう。

5.名前や住所、電話番号、パスワードを聞かれても教えてはダメ
　道で知らない人に名前や住所を教えてはいけないのと同じです。
インターネットのあいうえお

親が子を指導するために

　自分としては、多くの親御さんにとっては、子供にこのような問題を指導するのは難しい（と言うかほぼ無理）なのではと考えております。
　それらに対応するには単に「パソコン使える」だけではなく、ネット上に存在する悪意なりテクニックを知り、さらに人生の機微や経験のようなものも必要に思われるのです。

　このブログを閲覧している方々ならば、そのような指導は楽々とこなせるでしょう。しかし現実には多くの大人は、どのような脅威があるものなのかを十分には把握しきれておりません。
　あと一歩、何かが不足しているように思われるのです。

　子供への指導を十分に行うためには、親が常に最新のインシデントに関わる情報を取り入れる必要があり。またパソコンそのものへの習熟度なり興味の方向性がある程度一致していなければなりません。
　例として親御さん自身が利用した経験が無いネトゲやチャットまたはどんどん誕生する新たなネット利用の場（mixiなど）にて、誰かとの付き合い方やマナー、そしてどのような罠が潜むのかを十分に子供に指導できるでしょうか。

　そのようなものを補完する目的にて、親と子供が一緒になり、第三者よりのアドバイスなり講習会のようなものを受けられたりすれば良いのにな、などと考えてます。
　今時は小学校などでも、そのような指導は行ってはいるようなんですが。やはり学校なり他人任せではなく、家庭内でそれらを話し合えるような土壌があれば、と。

　移転前のブログにて、あぴ♪さんよりご意見をいただきまして、じっくりと考えさせられました。
　本人の許諾を得た上で一部を転載いたします。

あぴ♪ Wrote:
ご紹介のルールとマナーの内容についても大変良く出来た文章だと思いますし、良いサイトだと感じましたが、これでは効果が薄いと思っています。
なぜならば、子供が自発的に喜んで読むとは考えにくいからです。

パソコンを購入したら先ず接続!ではなく、先ずセキュリティ。の常識を持てるようにするには。。という部分で最近とても悩んでいます。今後の業界の進化を待つしか仕方ないのかも知れませんが、交通事故同様、やはり個人の意識の問題が多くを占め、仮に車検的法律が存在しても自分だけは大丈夫。の意識は体に痛みが伴うわけではないからより深刻になりそうです。
では、どうすれば。という点について少なくとも、初心者に対してセキュリティについて呼びかける場合のポイントとして
１）PC購入時の簡単な接続方法についての解説のイメージ以上に分り易い画面なり、印象でなければならない。詳しく長い文章を読める人なら既に対策している可能性が高いからです。
２）ゲームや物語のように面白く、一回に得る情報量は少なく。6歳児くらいから大人までが興味の持てる、例えば「ばば抜き」や「しりとり」のような広く多くの人間が興味を持って楽しめる手段が実現できたらなぁ。。というように思っています。
しなければならない。ではなく、したい（知りたい）意識を導くものでなければ、浸透は難しいと思います。

>三者が協調してこのような問題に取り組めないものかと考えてます。
　企業や行政からの働きかけが最も迅速かつ効果的だと思われるのですが、それらを動かすのもまた世論の影響であったり。

　あぴ♪さんよりはこの他にも、メーカーは初心者へもっと積極的にアプローチし指導していくべきであるとの趣旨のコメントを頂いておりますが。この場で全て紹介するのは冗長となりますので割愛させていただきます。

関連記事

　子供とスパイウェア、個人情報


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-27 子供向けの良サイトを発見しました（http://d.hatena.ne.jp/LucaLuca/20050827）を修正・加筆し移転したものです。


  

　先日雑談目的で行ったBBSにて、興味深い投稿があった。投稿者は未成年でかなり若いらしいのだが、連休中にスパイウェアに感染しパソコンをアダルト仕様にされ、エロいポップアップ広告が出て・エロいブックマーク満載にされ、それが親にばれて殴られたとの話だ。
　厳密にこの投稿中の「スパイウェア」を論じれば、これはスパイウェアとその他のマルウェア（アドウェアやブラウザハイジャッカーなどを混同しているのだが、その点については説明は省く。
　（いきなり子供に暴力を振るうのはどうかと思われるのだが。今回の論点はそのような問題ではない）

健全に見えるサイトからの感染例

　スパイウェアやブラウザハイジャッカー、アドウェアに感染し、その結果としてアダルトサイトへInternet Explorerの起動時に毎回強制的に接続させられたり、卑猥なポップアップ広告が表示される事例は、ここ数年で急増している。
　これらの主な感染源は、3年ほど前まではほとんどはアダルトサイトであったように記憶している。そのためかつては「感染した=成人向けサイトを閲覧した罰だ」と言われたものだ。だから感染したとしても誰にも相談できず、泣き寝入りするかネット上の他人に質問掲示板にて相談するしかなかったようだ。誰だってリアルな知人に白い目で見られたくはないものだから。
　確かに成人向けコンテンツやその他違法・非合法な情報が全く無いサイトを閲覧していた場合であっても、何かのマルウェアに感染させられる例はあるものだ。しかしながらどうも、このような例は日本国内では少ないようだ。
　プライスロトで使われた後に流行したEXCEPTION（Trojan.JS.Offensive）などにより、第三者による改竄やサイト管理人が意図しない形で危険なコードを含むhtmlをアップロードした例はあるが。所謂「感染元」となるサイトが普通の問題がないサイトを装った例を、Lucaさんはほとんど知らない。

　しかし最近は、成人向けコンテンツを全く含まない掲示板やブログを利用していたユーザーが、このようなマルウェアに感染する事例が急増している。これらは他のサイトへ自動書き込みツールを用いて（またはバイトを雇って手動で）、罠が満載のサイトのURI（リンク）を貼り付けて、何気なくそれを開いたユーザーのパソコンに感染させる手法だ。自分が参加するコミュニティに書かれた投稿で紹介されたサイトを疑う事もなく開いて感染、である。
（アダルト情報を交換するような場では扇情的なコメントで興味をそそらせるものが多いようだが、そのような騙しの手法については、別の機会に紹介する）

子供を狙うスパイウェア

　海外の話だが、一般的な情報を扱うサイトを閲覧しただけでもマルウェアに感染する例を調査したレポートがある。
　記事中で特筆しているように、悪質な騙しサイトが子供向けサイトを装って存在しているのは驚くべきことだ。
　拙い和訳で申し訳ないのだが、じっくりと読んでいただきたい。

　それにも増して一層心配なのは、子供向けのサイトが、閲覧者にブラウジングの習慣を追跡しサードパーティに機密性が高い情報を伝達できるコードがある点では、もっとも悪かったと研究で明らかになった点だ。
　セキュリティ対策企業のSymantecは、tracking bugs（トラッキングクッキーなど、ユーザーのブラウジングの利用様態を把握する目的のもの）がどれだけピックアップされるのかをモニターするために、Windows XP SP2を新規インストールしたばかりのパソコンを使って、1時間かけてよく知られているスポーツ・子供向け・ゲーム（オンラインカジノか？）・ニュース・リセラー・ショッピング・旅行のサイトをサーフ（ブラウジング）した。
　子供向けウェブサイトでは、ブラウザ（Internet Explorerなど）の設定を変えてポルノのポップアップ広告を作成できるような359のアドウェア・3つのブラウザハイジャッカーがあり、最も悪い結果であった。
　驚くことではないが、ゲームサイト（オンラインカジノ？）は高い件数でアドウェア・スパイウェア・ブラウザハイジャッカーを伴い、そして旅行サイトがそれに近い件数で続いた。
Kids’ websites worst for adware and browser hijackers（Luca訳）

　同様に、子供をターゲッティングした悪質な業者の話を見つけた。米国のFTCが子供の個人情報を収集する業者に対するコメントを求めていると紹介した記事である。

　最近我々はBen Edelmanがそこらかしこで記したように、アドウェアをインストールし子供に対して商品の販売促進をしているサイトの事例を幾つか見た。
　Wayne Porterは「子供達は拘束力がある契約書に書名できるのか？」と問う。（原文中のkontractsはcontractsの誤記と思われた）
　極めて興味深いのだが、FTC（Federal Trade Commission：連邦取引委員会）は現在、子供達のオンラインプライバシールールに関するコメントを要請している。
　連邦取引委員会は親の同意を得るに当たっての、COPPA法（児童オンラインプライバシー保護法）において欠落している（子供への）アプローチ方法に関するコメントを募集しており、それは子供から集めた情報をどのように利用されるべきなのかを考慮に入れるだろう。
Kids’ websites worst for adware and browser hijackers（Luca訳）

　COPPAについての解説は、ウォッチファイアさんのこの記事をみてもらいたい。これに限らず多くの有用な情報がある優良サイトなので、時間があればサイト全体をゆっくり閲覧してもらいたい。

　児童オンラインプライバシー保護法 (COPPA) は、13 才未満の子供から個人情報をオンラインで収集、利用する場合の保護規定を連邦取引委員会 (FTC) が発行し実施するための法律です。
　この法律の目的は、子供から個人情報を収集、利用する際には事前に親の同意を得ることなどを義務付けることにあります。
　「児童オンライン プライバシー保護法 (COPPA)・（ウォッチファイア）（http://www.watchfire.com/jp/legislation/coppa.asp）」

　WikiPediaにおいても、このような子供を狙った騙しの文言が紹介されている。

　ある典型的な、子供をターゲットにしているスパイウェアプログラムは、以下のような謳い文句で自分をインストールするように誘っている。
　このソフトはあなたの友人ないし親友として、あなたと一緒にインターネットを探索します！ あなたのどの友人とも違い、話したり、歩いたり、冗談を言ったり、閲覧したり、検索したり、eメールを送ったり、ダウンロードしたりすることができます！好きな製品の値段を比べ、お金を貯めることさえできます！ その上、タダなのです！
スパイウェア - Wikipedia

子供を狙う理由

　どうもよくわからない部分なのだが。子供を狙うのは、どのような理由に基づくものなのだろうか。
　単純に感染者を増やす目的であるならば、これは相応に効果的である。何しろ子供は十分な判断力が無く、何かあった場合に適切な対応ができないのだから、そのような層を狙ってアタックするのはとりあえずは有効なターゲッティングである。
　アフィリエイト業者が契約したサイトのアクセス数を増加させる目的で、騙しリンクを貼りまくるとか。これであれば「見かけ上の宣伝成功率？」がアップするので、悪質なアフィリエイトプログラムは成功するやもしれない。
　実際に海外のマルウェア感染例にて、ブラウザハイジャッカーにより強制的に閲覧させられる先のサイトは実は全くの無罪であり、アフォリエイト業者とその宣伝手法等について知らずに契約したらば、その宣伝業者が悪質なトラップを含むサイトを用いてアクセス数を増やしていた可能性があるとの報告例があるのだが。情報の確度が高くないので、この場では紹介しないでおく。
　しかしこれは、「旨みが無い」。
　アクセス数が増えたとしても、実際の商品の購買に繋がらなければ、ありがたみが無いのだ。

　それともこれらの子供向け悪質サイトは、本当の狙いは子供のネット利用履歴やその動向なのだろうか。
　世の中にはWeb製作代行を業務とする業者が多数存在するのだが、ターゲットとする年代・性別・職業・そして場合によっては思想的背景を絞ってSEO（Search Engine Optimizer：検索エンジン最適化）やSEM（Search Engine Marketing）をアクセス数アップのためにやってくれる業者も居ると言う。これらが子供向けサイト作りのための参考資料を収集しようとしているのだろうか。
　また子供向けの製品を販売している企業では、製品のマーケティング目的で子供の個人情報などは必須に思われる。
　子供にはそれほどの購買力が無いとしても、それほど高額でない商品であれば、相応に高価はあるのだろう。
　また親や親戚などは十分な金銭を持っているのだから、子供へのプレゼント商戦ではある程度の高額な商品の購入を促すのは有用である。

　また今回紹介した海外の記事では、子供の個人情報そのものがターゲットであるように書かれていたのだが。
　感染の経路は子供、そしてターゲットは他の家族（例えば親や年上の兄弟）である可能性もある。
　つまり感染させるのは無警戒でネットの経験が浅い子供経由として。そして家族共用で使っているパソコンにしつこいアドウェア（Adware）やスパイウェア（Spyware）をインストールした後は、他の家族の個人情報やネットのブラウジング履歴を狙ったり。
　またアドウェアによりいかがわしい商品を薦めるには、子供よりは実際に購買力がある他の家族に閲覧させるのが効果的である。

子供を守るためにできる事・やらねばならない事

　冒頭で紹介した、子供がアダルトサイトか何かを見たから感染したと思い込んでいきなり殴るのは、論外なのだが。
　親は子供が何かの問題に直面した場合に、適切なアドバイスや対応ができるよう、常日頃から備えをするのが望ましい。
（しかし当座の問題として、親よりも子供の方がネット慣れしているような家庭も多かったりはするのだが）

　大体マルウェアの感染なんて異常事態において、適切に振舞える「大人」なんてそれほど多くは無いものだ。

旧ブログへのコメントより

　lessonさんのコメントによれば、子供向けの壁紙・スクリーンセーバー配布サイトを装い騙すサイトが存在するらしい。人気のあるアニメ番組のキャラクターなどで誘いこむようだ。

　またあぴ♪さんよりは、大変示唆に富むコメントをいただきましたので転載。
　家庭内にてどのように子供を指導していくのか、これは大変難しい課題ですね。

関連記事

　子供のためのセキュリティ対策
　スパイウェア（Spyware）対策と駆除
　スパイウェア（Spyware）の解説と定義、概論

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-05-22 子供を狙うスパイウェアの影と個人情報保護（http://d.hatena.ne.jp/LucaLuca/20050522）を修正・加筆し移転したものです。  

「C」とは

　「C」なるサイトがある。ここはウイルスやスパイウェアなどのマルウェアや、エンドユーザー向けセキュリティ対策を扱うサイトとして、現在日本では最も有名でそして充実したサイトである。
　サイトの内容は詳細であり、セキュリティ対策ツールの解説も（数は）充実している。Yahooにも掲載されており、極めて短期間でメジャーになったサイトである。

　実はこの「C」、ジオにあった頃より何度か足を運んで観察していました（笑

　去年の夏頃には初心者が初心者向けに作っているような（お世辞にも褒められる内容ではなかった）印象のこの「C」、ドメインを取得した直後からいきなり大変身で。ウェブデザイン的にもいきなり数レベルもアップし、スタイルシートをバリバリと使いこなし、いきなり良サイトの予感が漂いました。

　ただどうも、その内容に不審さは当時からありまして。ウイルス関連のページではどうもアンチウイルスソフトメーカーのホワイトペーパーの内容とほとんど同一のものであるし、ツールの紹介と言っても、実際はただ単に画面をキャプチャするだけでどのようなソフトなのか詳しい言及は全く無いし。そして大体、どのようなソフトなのかまたその操作を、管理人自身があまり理解していなかった（笑

　リニューアル直後あたりにあまりにも「どうかなぁ」と思ったのはですね。第三者の再配布が認められているソフト（HijackThisなど）を、作者や大本の配布元を紹介もせず掲載しているのが引っかかりまして。「お前が作ったのか、おいおい」と思いましたよ、はい。

悪質な無断転載を指摘され晒された「C」

　Webサイト評論（2005-4-4、消失しました）と言う、毛色が変わったサイトがあります。ここはWindowsやネットワークセキュリティを扱うサイトを評論の名目でバッタバッタと切り捨てる、眺めるには面白いサイトで。
　有名なサイトであっても、ここで評論されたらばボロボロですねー（笑
　自分としてはWinFAQがB評価なのはどうも納得がいかないんですが、「あー！わかるわかる！」のような感じで、割と楽しめる内容です。
（自分のブログがあそこで赤裸々に評論されたら嫌だな、とは思うよ。本当に。）

　ここに問題の「C」についての言及がありまして。
　「C」に言及する内容がなかなか興味深かったのです。
　ここでは「C」のウイルス概要,種類がメーカーのページをそのまま書き写しただけだと指摘しているのだよ。
　いや、何と言うか。前々から「C」の内容に不審さは感じていたけど。ここまでバッサリやられるのを見れば、同情を感じます。

「C」の無断引用癖の解消（改心？）について、激しく応援する（と言うか、当時はしてた）

　ちなみにWebサイト評論で晒された後、「C」はサイトリニューアルしたんですが。その際にあちらこちらを全面的に改修し文章の言い回しなどを書き換えたようだ。
　これまで「引用元」「参考としたサイト」を全く掲載せずに無断引用（盗用）してたにも関わらず、ちゃんと書いてるし（笑

全ての引用が悪いとは言わないんだが

　もしも他のサイトなり書籍に優れた内容があったならば、自分でじっくり考察を加えて書き直したり、また紹介したいと考えるのは、悪い事ではない。そのような切磋琢磨が無ければ、技術などは進歩しないだろう。
　そして技術面に関する話であれば、大体の話は極めれば極めるほど同じような内容になるだろう。、どこからかの転載を元にしたとしても、またオリジナルであったとしても、Microsoftのサポート技術情報を元にしたとしても、結論は似たようなものに限られるのだから。

　しかしこのWebサイト評論で晒された「C」の無断引用は、盗用と言われてもおかしくない丸写しだった。またその他のページにおいても、その引用元を明記した例は最近まで皆無であった。
　「C」はWebデザイン的には優れたサイトである。そして管理人が他人のサイトの内容を取り纏める能力は、相応に高いように思われる。今後の活動に期待する。

　しかしこのような無断引用による優良サイト作り、やりようによっては簡単だな。

1. まずWebデザインを勉強する。
   
2. 次に何か適当なテーマを選んで、Google検索をして、その分野に詳しいサイトを探す。
   
3. それらの内容をうまくつぎはぎし、自分の考えなり経験のように装って、サイトを作成。
   
4. これで「ヘラブナ釣り教室」でも「都内レンガ建築めぐり」でも、どれでも好きな分野で応用、と。
   

Webサイト批評さんのサイト消失について（2005年4月4日）

　「C」が無断引用（盗用）を繰り返していると指摘していたWebサイト批評さんを、昨日紹介したんですが。
　翌4月4日、Webサイト批評さんは消失し、お星様になってしまいました。
　これは管理人自身による削除なのか、それともジオによる強権発動なのか、それは判然としませんが。
　このようなタイミングでの出来事であり、幾許か責任を感じています。

「C」管理人からはてな運営者を通じた抗議

　はてな経由で削除依頼が来たんですが。はてなへはこのように連絡しました。

　とりあえずは、そのように対応しました。

今更ながら、あとがき

　今は2005年10月23日。半年経た今であれば、やっと当時の状況のようなものを冷静に把握する事ができました。
　自分のやり方がスマートではなかった、それは事実です。そのために多くの方々にご迷惑をおかけし、心配させてしまいました。
　様々な形で応援していただいた方々に、この場で謝意を表します。

　今回のこの「C」の件では、こちらも多少なりとも成長し。
　いかにその主張が正論だとしても正しかったとしても、対応がまずければ他所様にご迷惑をおかけするとの教訓を得ました。
　あちらは相変わらず著作権侵害行為を繰り返してはいるようですが。現段階ではこれ以上関わりになるつもりはありません。
　まずは様子見なのです。

関連記事

　ソフトウェア無断再配布と著作権侵害

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-04-03 無断引用を晒された有名サイト、「C」（http://d.hatena.ne.jp/LucaLuca/20050403#p2）を修正・加筆し移転したものです。  

　ある大変素晴らしいソフトウェアがあるとし、評価が高いソフトウェアは高い人気を得ますが。
　副産物としこれらを無断で再配布する方が出現する場合があります。
　（P2Pによるファイル交換もこの場合は含む）

　フリーソフトであるならば直接作者のサイトなり、または作者が登録したダウンロードサイトから入手すればよいのではないでしょうか。
　（ダウンロードサイトとはVectorなりnifty Downloadなどを指す）
　大変理解に苦しみ事に。作者のサイトからダウンロードできるのにも関わらず、わざわざ第三者のサイトが無断で再配布しているものをダウンロードする方が多数存在します。
　これら第三者によって配布されているソフトウェアの利用は、控えるべきです。

　何故ならば、無断で再配布されているソフトウェアが「安全とは言い切れない」からで。ダウンロードしたらばzipファイルが壊れていた、などはおとなしい部類の話。場合によっては危険なマルウェア、トロイなどを仕込んで再配布されている場合もあります。
　また再配布されているバージョンが最新とは限らず、何らかのバグがfixされていない可能性もあります。

　またファイルの改変などが行われていなかったとしてもですね。
　作者による許諾を受けていないサイトによる再配布、これは著作権の侵害行為です。
　「フリーソフト（FREE SOFTWARE、freeware）」は無料の意味であり、無断再配布や断りの無い改変を認めるとの意味ではありません。

　先日ふとTotal Uninstall（http://www.martau.com/）なるソフトウェアを、作者でも何でもないのに再配布しているとあるサイトは、ソフトウェア作者の許諾を得た上で再配布しているのかが大変気になり。

　ソフトウェアのサポートにメールにて問い合わせたらば、「許可は与えていない」との返信をいただきました。
　（許可がなくても再配布ができると日頃より作者が宣言しているのであれば、また別の話なのでしょう）
　とりあえずサポートよりの公式な返信を紹介いたします。


　いずれにしてもこのようなソフトウェアを入手するに当っては、信頼できるサイトより直接入手するよう心がけるべきです。
　皆さん、いかが思われますか？

直リンは無断配布ではないが失礼な行為

　この著作権を侵害し無断再配布を行っているサイトが、他所様のツールに直リンをしていると指摘する投稿を発見。
　直リンとは、どこかのファイルに直接リンクを貼りダウンロード可能な状態にする行為です。これらは一般には大変失礼な行為として扱われる、常識的では無い行いです。

関連記事

　無断引用を晒された有名サイト、「C」

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-28 ソフトウェアの無断再配布と著作権（http://d.hatena.ne.jp/LucaLuca/20050828）を修正・加筆し移転したものです。  

キーロガー（Keylogger）の解説

　キーボードへのキーストローク、つまり入力した内容を入手するための悪質ツールである。
　保存した情報はテキストやその他の形式で保存し、またメールで自動的に指定したメールアカウントへ送信する。
　トロイの木馬の一機能として備えられている例もあるようだ。

　これを利用した犯罪としては、オンラインゲームのアカウントとパスワードを取得しハックする目的や、オンラインバンクのIDとパスワードなどを取得する目的のものが散見される。

ソフトウェア・キーロガー

　マルウェアとしてはこの場合、ソフトウェア的なキーロガーを指す。
　これは電子メール経由で配布されるマスメーリングにより広まったり、またはインターネットカフェなどにて個別のパソコンにインストールされる事例がある。

　心構えとしては、ネカフェや十分には信頼できないパソコンからは重要な情報、例えばネットバンキングやWebメールの利用は避けるのが懸命だろう。
　ネットバンクで1600万円が突然消える（デジタルARENA）
　過去にもこのキーロガーを利用した事件はあったものだし、そろそろ店舗側でもある程度の対策は立ててもらいたい。アンチウイルスソフトを導入しておらず、定期的なリカバリーや初期化をしていない店舗が多数存在するのだ。
（GoBackやバックアップソフトを利用し初期化している店舗もあるらしい）

　キーロガーはプロセスに表示されない秘匿性が高いものもある。対策としてはこのようなキーロガー検出に特化したソフトウェアの利用を推奨する。
　「Anti-Keylogger（http://www.anti-keyloggers.com/index_jp.html）」
（日本語ページの翻訳がダメダメなんだけど。性能は確か）
　一応代金を払わず登録せずともスキャンのみならばできるので、気になるようであればどうぞ。

　キーロガーを検出する簡易的なテクニックとして、無意味な文字列（q1ziwazとか5zitewaなど）を入力した後、その文字列を含むファイルが存在するのか否かを検索する方法が古くより紹介されているのだが。
　この方法は、特定ドメインに接続した際のみ活動するキーロガーや、画像でキャプチャするようなキーロガーに対しては効果は無いだろう。

ハードウェアキーロガー

　昨年（2004年）、このハードウェア・キーロガーの広告が、Server機やネットワークの雑誌に堂々と掲載されていた。
（何考えてるんだろうか・・・・・・・）

　小指2/3程度のサイズで、キーボードとパソコン本体のPS2端子の間に挟みこむような形でセットしておくものであった。
　定期的にこれを回収し、記録した内容を得るためのものであり。ローカルなハッキング行為ですね、これって。

　価格も安価だったような記憶が。
（これはPS/2端子だったが、USB接続のものもあるんだろうか）
　これであれば、アンチウイルスソフトやその他のセキュリティ対策ソフトでは検出できないだろう。

ネットバンキングにおけるソフトウェアキーボードと、パスワード入力

　近年のキーロガ被害の対策として、オンラインで利用できるネットバンキングにて、ソフトウェアキーボードを導入している銀行がある。
　幾つかの記事を紹介しよう。

　ソニー銀行は、すでに取引に使えるパソコンを事前に登録したものに限定するなどの撃退策を導入しているが、新たに画面上に表示される「ソフトキーボード」をマウスでクリックし、暗証番号を入力する機能を追加した。スパイウエアに感染していてもキーボード操作情報から暗証番号が盗まれる心配がない。
　みずほ銀行も「ソフトキーボード」を採用したほか、暗証番号の入力方法を、六けたの暗証番号のうち銀行側が指定する四つの数字を取引のたびに入力する仕組みに改めた。数字の入力順序もその都度変更するため、暗証番号が漏れることはないという。
スパイウエア撃退へ　銀行界で対策導入相次ぐ（CNET Japan）

　ソニー銀行は8月1日、ネット銀行サービスへのログオンで新たにソフトウェアキーボードを用意した。不正送金事件では、顧客にスパイウェアが添付された電子メールが送信され、そのスパイウェアを実行することでキーボードの入力履歴を記録するキーロガーがPCに仕込まれた。
　ソニー銀行が導入したソフトウェアキーボードは、ログオンのパスワード入力時に利用する。PCの画面上でマウスを使って入力するため、キーボードの履歴が残らず、キーロガーが仕込まれているPCでも情報が外部に流出しないという。
ネット銀不正送金事件、どうすれば防げたのか（@IT）

ソフトウェアキーボード機能は、インターネットバンキング「みずほダイレクト」のログインパスワード入力ページにおいて、画面上にキーボードを表示してキー入力をマウスで代用できるようにするもの。キーボードの入力記録を盗み取ろうとするスパイウェア「キーロガー」に対して、安全な入力方法だとしている。
みずほ銀行、ソフトウェアキーボードの提供などでスパイウェア対策（INTERNET Watch）

　ソフトウェアキーボードのウリは、キーロガー対策としては優れている点である。
　つまり実際にキーボードを操作しないならば、その打ち込みの配列（キーストローク）を記録するキーロガを無効化できると。
　このソフトウェアキーボードを突破しハックするためとして、この3点を最近知人と電話で話したり、某フォーラムにてやりとりしたんだけど。

1. スクリーンロガー（Screen Logger）
   
   
   
   • 多くの悪質ツールにて搭載されている機能だが、数秒おきにキャプチャしたりしたらば動作が重くなるだろうし、またハードディスクの容量も一杯になるだろうし。そしてこれらの画像を回収したとしても、あまりにも多すぎて扱いが面倒である。
     
   • ソフトウェアキーボードをマウスでポイント・クリックする瞬間の画像が手に入らなければ、意味が無い。
     
   • 特定のサイトに接続し特定の操作を行う時のみ動作するならば？
     
   
   
2. マウスロガー
   
   
   
   • マウスの移動・ポイントした位置を記録するマルウェアを利用すれば、ソフトウェアキーボードであっても、入力した内容を解析できる？
     
   • しかし単純に、ソフトウェアキーボードの文字・数字の配列を変えればいいのだ。これだけで簡単にこの攻撃からブロックできる。
     
   • ただスクリーンキャプチャと併用した場合は、入力する文字の位置がわかる可能性があるので、危険やもしれない。しかしながら特定個人をターゲットとするのでなければ、手間がかかりすぎるので攻撃者にとっては面倒すぎる。
     
   • これらを回避する目的として、ワンタイムパスワードや、乱数表の利用が推奨される。例としてジャパンネット銀行では、（ソフトウェアキーボードではないが）ログオン時に16文字の数列の指定された順番の数字の入力を求め、この順番は毎回異なるので、攻撃者がこの乱数表の配置を知るまでにはある程度の時間を稼ぐことができる。また不特定多数が利用するようなネットカフェなどでは、攻撃者が得た数字と全く同じ位置の数字を求められるチャンスはほぼ無いため、極めて安全性は高い。
     
   
   
3. 単純に、脇から覗きこむ
   
   
   
   • このようなのを「ショルダーハック」と呼ぶのだが。キーボードからの入力時には覗き込んでもわかり辛いキーストロークも、ソフトウェアキーボード上のクリックは簡単に判別できる。
     
   
   

ワンタイムセキュリティボード

　中々面白い機能ですね。要するに「例えば暗証番号が「1189」であれば、「sstw」と入力する」として、この数字とアルファベットの組み合わせをランダムにすると。
　まぁこれって、スクリーンキャプチャとキーロガの組み合わせで、割とあっけなく突破できそうな。
　運用するに当たっては、相応に注意が必要そうですね。

　セキュリティボードは、0から9までの各数字に対応する英字がランダムに表示される変換表。暗証番号入力時に取引画面に表示されるセキュリティボードを参照して、数字に対応する英字を入力する。
　数字に対応する英字の組み合せは、取引ごとにランダムに表示されるため、キーロガーなどのスパイウェアなどにより入力した英字を詐取されたとしても、次回以降の取引に不正利用されることを防げるという。
イーバンク、スパイウェア対策に「ワンタイムセキュリティボード」導入（INTERNET Watch）

Screen Scraperによるスクリーンロガー併用キーロガー

　IT Proのニュースによれば、フィッシング対策の業界団体である米Anti-Phishing Working Group（APWG）のレポートとして、スクリーンキャプチャーを行いこのソフトウェアキーボードの配列を知るマルウェアが出現しているという。
　しかしこれって、ワンタイムパスワードの利用であっけなく予防できそうな。

同団体が「Screen Scraper」と呼ぶこのマルウエアは，ユーザーのパソコンに入り込むと，ソフトウエア・キーボードのウインドウが表示されるのを待つ。そして，そのウインドウがアクティブになると，マウスがクリックされるたびにパソコン画面をキャプチャする。スクリーン・ショットからは，ユーザーがソフトウエア・キーボードのどのキーをクリックしたのかが分かるので，パスワードなどを盗むことができる
ソフトウエア・キーボードへの入力情報を盗むキーロガー出現，パソコン画面をキャプチャする（IT Pro ニュース）

　一部の銀行などはキーロガーに対抗し、ソフトウェア・キーボードを採用したが、その裏をかくのがスクリーンスクラッパーだ。これらの金融機関はサイトにキーボードの画像を表示し、マウスでキーをクリックさせることでパスワードを入力させる。本物のキーボードを使わないため、キーロガーを回避できるはずだった。ところが、スクリーンスクラッパーは、クリックの瞬間にスクリーンショットを撮り、犯人に送信してしまう。
フィッシング：キーロガー、スクリーンショットを使う手口が増加（WIRED NEWS）

　特定のタイミングじゃなければ、送信される画像が無駄に増大して大変だろうし、「受け取る側」が管理できないだろうと考えてたんだけど。
　ソフトウェアキーボードを利用する際のみなんですかね、このキャプチャのタイミングは。

　またどうもこの記事中の、微妙に本題から逸れる部分が気になります。

　hostsファイルを書き換えて，偽のサイトへ誘導するようなマルウエア（トロイの木馬）も7月中に多数確認されたという。いわゆる「ファーミング」の一種である（関連記事）。同レポートには，この手口を使った偽サイトのスクリーン・ショットを掲載している。hostsファイルを書き換えられた場合には，アクセスしているのが偽サイトであっても，ブラウザのアドレス・バーには本物のURLが表示される。
ソフトウエア・キーボードへの入力情報を盗むキーロガー出現，パソコン画面をキャプチャする（IT Pro ニュース）

　このブログにも以前hostsファイルによるフィッシング詐欺について「ファーミング詐欺とDNSはフィッシング詐欺以上にやっかい）」などを書いたんですが。
　hostsファイルによる誘導は、httpsのサイトでも有効なんでしょうか？いや、違うでしょう。
　大事なパスワードなりキーワードを入力・送信するようなサイトでは、httpsであるのか確認することにより、偽サイトによる被害を防止できそうな。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-04 ソフトウェアキーボードとネットバンキング、そしてキーロガー（http://d.hatena.ne.jp/LucaLuca/20050804）を修正・加筆し、マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（http://blog.lucanian.net/archives/50368862.html）の一部を移転したものです。  

　不良セクタがある場合の対処方法として、よくスキャンディスク（チェックディスク）が推奨されてますが。
　これってどうなんですかね？

　自分の経験なんですが。メディア不良のMOにスキャンディスクかけて修復しても、いずれまた障害は起きるものです。
（スキャンディスクをやればその領域を使わないように設定するので安心、なんて書いてるサイトがありましたが）

　またハードディスクに障害が発生し、OSがたまに起動しなくなったり、ファイルの読み込みに失敗したり、電源投入後にSMART警告が出るような深刻な場合にですね。
　スキャンディスをやるなんてのは、論外です。
　不具合を抱えつつギリギリ動作しているハードディスクに、重篤な負荷をかけるような操作であるスキャンディスク（チェックディスク）をやるのは、尽きかかっている寿命をより縮めるだけなんではないでしょうか。

　イベントビューアの確認、これがまず先決ですね。
　詳しい状況を知らないうちに、取り返しがつかなくなるような操作を安易に他人に薦めるべきではありません。
　そして無理な復旧作業に取り組まず、新しいハードディスクを購入し換装するべきです。

最も大切なものは、何だろう

　ハードディスクが吹っ飛んで、全てのファイルが消失したらばどう思われますか？
　自分が死守したいものを、とりあえず順番に羅列しますが。

• 友達との旅行での写真、誰か大事な人とのメール、秘密の日記？
  
• インストールしたOSやアプリケーションの設定、カスタマイズ
  
• ハードディスクそのもの
  

　ハードディスクが最終的に壊れ、新しいものに入れ替えたらば、OSは新規インストールなりリカバリーすることとなります。また製造元での修理ならば購入時の状態に戻されるんですね。
　下手にあれこれ無用かつ不適切な操作をして、全てを失うよりはですね。まずはバックアップ作業をするべきなんではないでしょうか。
（バックアップソフトを利用して移転するにしても、障害時にうまく成功する確約はありませんが）

　そして考えてもらいたいのですよ。
　君のパソコンに保存されている一番大切なもの、それは何なんですか？
　これはファイルシステムやハードディスクの障害に限らず。
　ウイルスなりマルウェアからの復旧においてもです。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-07-27 ハードディスクは、壊れたらあきらめる？（http://d.hatena.ne.jp/LucaLuca/20050727）を修正・加筆し移転したものです。  

　IE-SPYADは、危険なサイトのリストをInternet Explorerの制限付きサイトに登録するツールだ。つまり、ネット上でリスキーなサイトのブラックリストのようなものである。
　Internet Explorerのインターネットオプションよりセキュリティタブを開き、「制限付きサイト」ゾーンを見てもらいたい。ここは通常利用するインターネットゾーンよりも一層制限が厳しい、つまりより安全？な設定となっており、ここに登録されたwebサイトはこのゾーンの設定が反映されるため、より安全なブラウジングが望めるのだ。
　同様の機能はSpywareBlasterなどでも搭載されているのだが、このIE-SPYADは大変手軽であり、利用しやすいのだ。

　詳細はこれらのサイトを参照していただきたい。
　IE-SPYAD 導入の手引き　ホーム
　IE-SPYAD - IEの制限付きサイトに悪質サイトを登録

　またMicrosoftのInternet Explorer関連レジストリの解説にも目を通していただきたい。
　Internet Explorer のセキュリティ ゾーン関連のレジストリ エントリについて（Microsoft）
　Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法（Microsoft）

IE-SPYADをダウンロードする前に

　IE-SPYAD (original)とIE-SPYAD2の2つのバージョンが目に付くのだが。
　これらの違いは、このように記載されている。

Both versions of IE-SPYAD install the same block list -- the only difference is the Registry location where that block list is installed.
IE-SPYAD: Installs to...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
IE-SPYAD2: Installs to...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
In other words, the original IE-SPYAD installs to the Registry location for the current user of the PC; IE-SPYAD2 installs to the global machine location, thus affecting all users and accounts on the PC.
Resources Ad Blocking Resources

　これらの違いを和訳してしまうと。IE-SPYADは現在ログオン中のユーザーのみに設定が反映されるのに対し、IE-SPYAD2は全てのユーザーにその設定が反映されるのだ。
このIE-SPYAD2の設定を、単純に全てのユーザーアカウントのレジストリに対して設定されるものだと考えるのは、多少違うのだ。
　これらの設定を反映させるためのInternet Explorerのゾーン設定のキーには、HKCUとHKLMがある。どちらに登録しても一応は同様の効果は期待できる、しかし後者のHKLMでの設定はそして全てのユーザーアカウントに対して反映されるのだが、Inetenet Explorerのゾーンに登録されるサイトとしては確認できない。

　ie-spyad.zipを解凍し、ie-ads.regをメモ帳で開いてみる。一例として、このようになっている。


　なおテストに供試したのは、Internet Explorer Version: 6.0.2900.2180xpsp_sp2である。
　ie-spyad.zip中のie-ads.regをダブルクリックし、これをレジストリに登録させる。　Ineternet Explorereの制限付きサイトゾーンに登録されたのを確認。
　元の状態に戻すため「ie-ads-uninst.reg」をダブルクリック。制限付きサイトゾーンからは、登録されたサイトが消えた。

　次に、ie-spyad2.zip中のie-ads.regを実行。Internet Explorerの制限付きサイトゾーンの表示では、修正は確認できないものの、これらのサイトへの接続は制限付きサイトゾーンとなる。

HKLMとHKCUでの信頼済みサイトと制限付きサイト設定、どちらが優先されるのか？

　Inetenet Explorerを開き、「インターネットゾーン」の設定を「中」、信頼済みサイトゾーンを「低」、「制限つきサイトゾーン」を「高」とした。
　Inetenet Explorer関連のレジストリについては、[IE4] セキュリティ ゾーンのレジストリ エントリについてを参考とした。

　以下の内容のregファイルを作成。これを取り込む。


　そしてhttp://www.yahoo.co.jp/を開く。するとこれは「信頼済みサイトゾーン」として開かれた。

　それではレジストリを元通りにして、これらを入れ替えてみよう。
　Ineternet Explorerでは制限付きサイトゾーンとして開かれた。

　結果として、制限付きサイトと信頼済みサイトにて正反対の登録をした場合。HKCUでの設定は、HKLMでの設定よりも優先されるらしい。

これまでのまとめは、このようになる。

1. HKLMとHKCUいずれでもIneternet Explorerの制限付きサイトの設定が可能。
   
2. HKLMで指定したサイトは、Internet Explorerのプロパティからは確認できない。
   
   
   
   　制限付きサイトで表示されるYahooが、Webサイトのリストに無い
   
   
3. HKLMよりもHKCUでの設定が優先される。
   

アドウェアと信頼済みサイト

Ineternet Explorerの設定を変更するアドウェア

　一例としてMediaTicketなるアドウェアは、Symantec製品のNortonでは、Adware.CDT（Symantec）として検出される。
　MediaTicketはHKLM、HKCUいずれにも信頼済みサイトゾーンへサイトを登録し、なおかつInternet Explorerの設定を甘いものと変更してしまう。
　これにより特定サイトよりのActiveXコントロールのダウンロードやその利用を容易なものとさせるのだ。
  

発見できないウイルス・スパイウェア

　ウイルス・トロイの木馬などに感染した後になってから、アンチウイルスソフトにより解決を試みても、期待通りの結果を得られない場合がある。
　大体アンチウイルスソフトなどは、感染した後にどうこうする目的のものではないのでは。むしろ感染しないように予防させるためのものと考えた方が、よりスマートである。


　ウイルスに感染してしまえば、アンチウイルスソフトの動作は正常でなくなる可能性がある。
　一例であるが、
　1）アンチウイルスソフトメーカーへの接続を妨害する。
　これによりウイルス定義ファイル（シグネチャファイル）の更新を妨げる。
　最新の状態でなければ、検出できないウイルスもあるだろう。
　2）アンチウイルスソフトを停止させる
　これでは感染中にはどうしようもないのだが。
　場合によってはメーカーなりMicrosoftが提供している削除ツールを利用して解決できる場合もあるだろう。
　3）Rootkit（ルートキット）
　マルウェア関連のレジストリのキー、実行ファイルなどを隠蔽。
　その存在は通常にOSを起動した場合には、全く目に見えないだろう。

OSを起動せずにウイルスに迫る

　上記の理由にて、ウイルスが処理できない場合。どのような方策で解決したらば良いのだろうか。
　特にRootkit（ルートキット）の場合は、完全にお手上げ状態なのだ（Rootkit（ルートキット）とWindows（Semplice））。
　まずは感染中のWindows OSを起動してそこからアンチウイルスソフトを起動しても駄目、またシステムの復元機能が動作しない場合を考えてみよう


　一昔前は、アンチウイルスソフトから起動フロッピーを作成し、これによりスキャンする方法があったような記憶があるものの、定かじゃない。
　SymantecのNorton AntiVirus救済ディスクセットなどは、NTFSのボリュームは認識できなかったような記憶がある。
　課題としていずれ時間があったらば、じっくり考えてみよう。


　またPE Builderなるソフトを用い、WindowsXPのブータブルCDを作成しこれにより処理する方法があるらしい。
　試していないんだけど、Norton AntiVirus用のプラグインを作成してスキャンできるとの話をチラッと先日伺ったのだ。
　詳しい話は全くわからないものの、いずれじっくり調べる予定。
　NN SPACE- PE BuilderでWindowsXPブータブルCDROM(BartPE)を作ろう -Ｎ×Ｎ空間が　参考になると薦められたものの、まだじっくりと読んでいないのだ。


　もしもアンチウイルスソフトに依存せずにやるとしたらば、回復コンソールで個別のファイルを削除する、とか。
　しかしこれはあまり利便性が高くない方法であり、ハードルが高い。
　既存のファイルにマルウェアが付加する形で感染している場合などは、どこまで対応できるんだろうか。
　そしてマルウェアの本体となるファイルがいずれなのか、予め情報を得る必要がある。この点でこれは困難である。

デュアルブートで起動・ハードディスクを外してウイルススキャン

　アンチウイルスソフトがそのマルウェアに対応しているにも関わらず、感染中のOSを起動しそれよりウイルススキャンをしても、その結果が十分ではないと予想される場合なのだが。
　まずは二つの方法、それぞれについて。


　デュアルブートについては、ご存知の方も多いと思われるのでこの場では詳しくは書かないでおきますが。
　ハードディスクのパーティションがCドライブとリカバリー領域のみのパソコンもあるのだが、この場合はPartitionMagicなどのソフトを用いて、Dドライブを作成する必要がある。
　またメーカー製のOSプリインストール機の場合は、パッケージでOSを購入する必要が生じる。
　その点でやや経費がかさむやもしれない。
　（パッケージのWindows OSがあるならば、1台のパソコンの複数のパーティションにそれぞれインストールしてもライセンス的には問題が無いらしいが、その辺は未確認）
　しかしブートレコード感染型のウイルスであった場合、確実な修復は期待できないだろう。


　ハードディスクを外し、他のパソコンに接続する方法なのだが。
　具体的にはスレーブ接続する、またはハードディスク外付けケースを購入し他のパソコンに接続することになる。


　さて、これら2つの方法の利点は、感染中のOSを起動しなくてもいいとの点に尽きる。これらの方法では、隠蔽されているファイルは隠蔽動作が通用しなくなるのだ。
　そしてデュアルブートならば新規にインストールしたDドライブのOS、またハードディスクを外したならばそれを接続したパソコンより各種操作を行う事となる。
　アンチウイルスソフトでスキャンするなり、またファイルの作成された日付を元に、マルウェアの本体を探しても良いだろう。


　しかしいずれの場合であっても、感染中のOSのレジストリの修復まではできないだろう。これは復旧作業の後で、手動でregeditより修復するしかない。

アンチウイルスソフトのCD-ROMによるマルウェア検出

　アンチウイルスソフトを導入時に、既にそのパソコンが感染しているのか否かを診断する目的で、そのような機能が備わってはいるんだが。
　一見するとこれは、OSを起動せずにスキャンできるため、有用な方法とは思えるんだけど。
　アンチウイルスソフトのCDからブートしてのスキャンは、シグネチャやエンジンが古く、最新のマルウェアには対応できない可能性がある。
　このような手法は意味が無いどころか、レジストリやその他iniファイルへのエントリを修復する際に不具合を生じさせてしまう可能性すらある。

関連記事

　Rootkit（ルートキット）とWindows
　マルウェア・ウイルスの感染実験
　ERD CommanderでWindowsを調査する

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-05-05 アンチウイルスソフトのCDによるマルウェア駆除（http://d.hatena.ne.jp/LucaLuca/20050505#p1）の転載を含みます。  

ペスト（pest）とは何だ？

　ペストパトロール社（CAにより買収）ではこれらのマルウェア及びその他を統合し「ペスト」と呼称する。
（この定義は範疇が広く、悪意があるソフトウェア以外のものまで含むのには注意）

　スパイウェア、ハッキングツール、トロイの木馬 etc マルウェア(不正プログラム)について（Ahkun）
　Computer Associates Security Advisor Center Glossary (CA)
　Computer Associates Spyware Information Center (CA)

（このように独自の用語を用いるのはある意味引っかかるのだが、混同される機会が多い単語の狭義・広義の定義を明瞭に区別するのに成功している）
　何故このような独自の用語を利用するのだろうか？「訴訟リスクを低減するためにペストと言う用語を使う」との主旨のコメントが書かれている記事があったのだが、釈然としない。

　同社は特定のプログラムを「ペスト」と呼ぶが、これはスパイウェアを正確に定義するのが難しいためだとPerryは述べる。ウイルスには明確な定義があるのに対し、スパイウェアの解釈は人によってまちまちである。
　また、スパイウェアのような非難めいた言葉を使って製品を分類することによって法的な問題に巻き込まれる恐れもある。こうした問題を回避するため、「ペスト」と呼ばざるを得ないスパイウェアがあるのも確かだとPerryは付け加えた。
　「ペストは適用範囲の広いカテゴリで、スパイウェアやアドウェア、ブラウザヘルプオブジェクトなどが含まれる。ウイルス作成者は、自分が作ったものがウイルスと呼ばれたからといって、訴訟を起こすことはまずない。しかし、われわれが突き止めたスパイウェア作成者のなかには、『どうして私のソフトウェアが悪質だと言えるのか』と怒る人がいる」（Perry）
CA：「最も大きな脅威となっているスパイウェアはKazaa」（CNET Japan）

　他人のブログに駄文を書き連ねてたらば、このようなコメントをいただいた（正直な話だが、当初は相手のプロフをろくに見ておらず、関係者だとは気付かなかった）。

　コンピュータペスト＝マルウェアではないですね。コンピュータペストはPestPatrol社のビジネスのために利用されている用語であって、アカデミックに定義する次元と異なると思いますよ。
コンピュータ・ペストってなんだ？（パソコン安全教室）

　ペスト（Pest）がエンドユーザーの「直接的な脅威」とはならないものまで包括しており、その説明が至らないのは、あちらの舌足らずなためだとは思われるのだが。
　定義に関する説明はその製品のマルウェアやその他に対応するにあたってのポリシーなような物を結果として示すので、もう少し言葉が至らない点についての説明を加えてもらいたい。

　なおPestPatrol社は2004年8月、CAことComputer Associates International, Inc.（コンピュータ・アソシエイツ・インターナショナル・インク）に買収されている。
　米CA、スパイウェア対策ベンダPestPatrol社を買収（CA）


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（http://blog.lucanian.net/archives/50368862.html）を分割し、独立したコンテンツとしたものです。