Semplice

2005年10月22日 - トロイの木馬（Trojan Hourse）・RATとは

トロイ・トロイの木馬とは

　トロイ（trojan）は極めて広範に用いられる用語なんですが。
　この場ではRAT（リモートアクセストロイ）もしくはバックドアトロイ、また監視機能を特化させたマルウェアで一定のタイミングごとにメール・IMを用いて犯人へ被害者の情報なりパソコンの操作履歴を送信するようなものとして扱い、話を進めていきます。

　具体的なトロイの名称を紹介したい所ではありますが、それはこの場では避けさせていただきたく。
　何故かと言えばですね、これらはGoogle検索であっけなく配布サイトを発見でき、ダウンロードできるものではありますが。わざわざ犯罪に間接的に加担するのは避けたい所なのでして。　そしてそれらの機能を一つ一つ詳細にレポートするだけの経験は、こちらには備わっておらず。

　多くのトロイがネット上にて配布されている現状は、大変寒いものがあります。これらは大変容易に取り扱え、マニュアルの英語をチャキチャキと読んで理解できれば誰でも利用できます。
　これらは「サーバー」つまり被害者のパソコンにインストールするものと、「クライアント」と呼ばれる被害者のパソコンを操作するものの2つで構成されます。
　「サーバー」は簡単にカスタマイズでき、情報を垂れ流す先のメールアドレスなりIMのアカウントを指定したりするのは容易でして。
　「クライアント」、これは直接相手のパソコンにネットワーク経由で接続し操作するために利用します。

　またクライアントを利用せずにサーバーのみを配布し、捨てメアドに着々とパスワードなどを遅らせるなどの利用法もあります。取得したい情報が限定されているのであれば、直接相手のパソコンに接続せずとも、目的のデータのみをいずこかへ送信させた方がよりリスクが少ないんでしょう。
　大体、感染させた相手のパソコンに外部から接続できないようなネットワーク環境もあるんだから。

　以前知人のパソコンが何かに感染しているので何とかしてもらいたいと呼び出され、調べたんですが。本人が利用した経験の無いIMなりが勝手にインストールされており、大変衝撃を受けました。
　結局このトロイはどれが本体なり関連するマルウェアなのかわからず、アンチウイルスソフトによるスキャンの結果もパッとせず。仕方無くリカバリーしましたが。

　知人の話の受け売りなんですが。
　アンチウイルスソフトにより検出できないトロイは、実際にはかなり多数存在するそうな。何故かと言えば、メジャーなトロイを利用する攻撃者だけではなく、極めて限定された小数のターゲットのみを対象とする「オリジナル」なトロイが複数存在し、それらはアンチウイルスソフトメーカーに検体として提出される機会が少ないのだそうで。

　これらを検出するための方策としては、トロイの件出力が高い駆除ツールの利用などが考えれられます。
　またはパーソナルファイアーウォール（Personal Fire Wall）なるソフトウェアファイアーウォール製品を利用すれば、何かが勝手に外部に接続しているのか否かを見つけられる可能性があります。
　ただこの手のセキュリティ対策ソフトのようなものって、感染後ではなく感染前に予防目的で利用するべきで。その点でどこまで一般的に有効なのか、判別がつきません。

トロイ（Trojan）とボット（Bot）

　ここでのトロイとは、リモートアクセストロイを指すんですが。つまり外部より感染者のパソコンを操作できるようなマルウェアです。
　これとBotの区別は、どうも明瞭にはできません。
　従来はトロイに感染したユーザーのパソコンを「ゾンビ」などと呼称したんですが。最近ではこのようなゾンビは「Bot」と呼称し、これらをまとめて「Bot Network」と呼びます。
　ボットについては後日改めて紹介いたします。

トロイ被害の実態は水面下

　秋葉原などを歩けば、盗聴器などが店頭に平然と並んで販売されているのを目にし。そして雑誌の広告などにもよく掲載されており。そしてこれらの被害についての話は、よく書籍なり何かの映画として目にしますが。

　では多少舞台を変えた、このような覗き見目的の悪質なプログラムの話となるとですね。その被害の実態をレポートした話を未だ見た記憶が無いし、一般には知名度がかなり低いような気が。
　マスメーリングなどにより大量感染するようなウイルス（ワーム）は、よくニュースになりますが。個別の特定の人物もしくは特定企業の特定部署などを狙うトロイの利用は、あまりニュースになる機会はありません。これらによる被害の話を新聞などで見た記憶は、全くありません。
　このような「監視ツール」の被害者は、それほど表に出てこないだけであり。実態としてはかなり多いんではないでしょうか。

　実際にこれらの悪質なプログラムは驚くほど容易に手に入り。そしてインストールしてしまえば簡単に利用できるんですね。最近ではオンラインゲームを利用するユーザーのアカウントとパスワードを抜く目的のトロイが、広く利用されているとの話があります。
　またどなたかを監視する目的、更には企業スパイなりが利用しているとの話も。
　このような脅威は、割と身近な問題として受け止め、備えるべきなんでしょう。

　トロイの木馬（trojan horse）による監視と覗き見
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-03 他人を覗き見する行為 - トロイなどを利用した監視（http://d.hatena.ne.jp/LucaLuca/20050903）を修正・加筆し移転後、2つのブログエントリへ分離したものです。

Posted by Luca at 20:23 │ │

2005年10月21日 - ブラウザヘルパーオブジェクト（Browser Helpeｒ Object)とブラウザハイジャッカー（Browser Hijacker）

ブラウザヘルパーオブジェクト（BHO）

　ブラウザヘルパーオブジェクト（Browser Helpeｒ Object、以下BHO)はブラウザ（Internet Explorerなど）に様々な機能を付加する目的のアドオンである。例えばブラウザに検索機能を付加するようなものやツールバーなど。ユーザーが自分で望んでインストールする事も多々ある。Google Tool Barや翻訳ソフトをインストールした際にInternet Explorerの画面に表示されるSearch barは、このBHOである。
（全てのSearch barがマルウェアと関わりが無いとは言い切れない点には注意を払ってもらいたい）

　BHOを何か悪質なものであるように記載されている例もある。多くのニュースポータルの記事中に、ブラウザヘルパーオブジェクト（Browser Helpeｒ Object)とブラウザハイジャッカー（Browser Hijacker）を混同した内容を時折発見する。

　またPestPatrolの販売元であったAhkunの解説では、BHOの説明にブラウザハイジャッカー（Browser Hijacker）の挙動を混在させて書いている。

　ブラウザヘルパオブジェクト（BHO）は、インターネットエクスプローラであなたが見ているすべてのページをサーチしバナー広告を他の広告と置き換えてしまい、あなたが行った行為をモニターして報告を行い、また、あなたのホームページを変更するなどのことを行います。
マルウェア(不正プログラム) カテゴリ一覧（Ahkun）

　COASTは業界団体だけあり、用語の扱いは慎重である。そのGlossaryではBHOについて「それらは使用データの追跡や、インターネットで表示したどんな情報でも収集できる」と記載している。
　（それを他人に送信するとは書いていない点に注意するべきである、つまりそれがマルウェアか否かの別れ目なのだ。）
　（注：COASTは内部での紛争のために空中分解し消失した）

Browser Helper Object (BHO)
A small program that runs automatically every time an Internet browser is launched. Generally, a BHO is placed on the system by another software program and is typically installed by toolbar accessories. They can track usage data and collect any information displayed on the Internet.
~~Glossary(COAST)~~

ブラウザハイジャッカー（Browser Hijacker）

　これはブラウザに対する事実上のハッキングなり乗っ取りである。Cool Web SearchなどへIEのホームが強制的に変更される被害が有名である。これはユーザーの同意などは得ず、IEのExploitなどを使い強制的にインストールさせる例もある。
　また特定のURIをInternet Explorerの信頼済みサイトに登録し、そのサイトを強制的に表示させ、様々なものをダウンロードさせやすいようにする場合もある。
　ブラウザハイジャッカーはActiveXコントロールを用いて他のマルウェアをダウンロード・インストールさせたり、それらのバージョンアップ版が無いかブラウザ起動時に更新情報をチェックするものもある。
　このような強制的な・かつユーザーの許諾を得ないインストールをドライブバイダウンロード（Drive-by download）と称する。

ホームページハイジャッカー（Homepage Hijacker）

　ブラウザ起動時に表示されるページ（ホームページ）を変更する。多くのブラウザハイジャッカーが備える機能の一つ。

サーチハイジャッカー（Search hijacker）

　Internet Explorerなどのブラウザの検索設定を変える。
　また一部の検索エンジンサイトへの接続を妨害し、マルウェア配布者もしくはその協力者が作製した検索サイトへリダイレクトする。

　ブラウザハイジャッカーにおける機能の一つである。
　検索ツールバー類をこれに含める用例もあり、用語の定義そして具体的にどのマルウェアをサーチハイジャッカーの範疇とするのかは、議論の余地がある。

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（http://blog.lucanian.net/archives/50368862.html）より修正・加筆し移転したものです。

Posted by Luca at 19:02 │ │

2005年10月20日 - Rootkit（ルートキット）とWindows

ルートキット（Rootkit）の解説

　ルートキット（Rootkit）は一般には、サーバーなどへ侵入したクラッカーが利用する高機能なハッキングツールの詰め合わせのようなものである。クラッカーは乗っ取ったシステム上でバックドアの作成やログ消しやパスワードクラックなどを行うが、このような悪意のある操作のために必要なツールを一まとめにしたものをRootkitと呼ぶ。
（もしくは多様な機能がある単独のツールをそのように呼ぶ）

　ルートキットと言えば、LinuxなどのOSを対象に使われる、ハッカーかクラッカーがどこかの企業のサーバーに侵入して設置するような不正なソフトウェア・ハッキングツールを指す例が多かったのだが。
　しかし日本国内でのRootkitの感染数は、少なくともWindowsに限れば、一般的なエンドユーザーが大部分である。これらはブラウザハイジャッカーやスパイウェアとほぼ同時に（または感染の結果として後日）インストールされるのだ。
　Windowsを対象とした一般的なルートキットは、簡単に説明してしまえば高機能トロイである。
　本体そのものや設定ファイルだけではなく、指定した任意のファイル・フォルダを隠蔽するよう設定する事もできる。
　これに感染しているのか否かを検出するのは、極めて困難な場合が多い。検出ツールを用いずに探すとしたらば、「隠蔽されているマルウェア・ウイルス・スパイウェアを発見する（Semplice）」のような手法を用いなければならないだろう。

　そもそもルートキットのようなマルウェア（Malware）は、感染後にはアンチウイルスソフトでは（検出はできたとしても）駆除はできない。一旦感染してしまえば、もう終わりなのだ。
　自分はウイルス対策ソフトは予防のためのものとして考えており、事後にどれだけの効果を発揮できるのかとの点には疑問を感じている（「アンチウイルスソフトに期待されている役割（Semplice）」）。

　また起動中のプロセスはタスクマネージャーからは確認できず、オープンになっているポートはnetstatで表示されず、レジストリへの登録項目はレジストリエディタよりは非表示になり確認できない例もある。
　ウイルス・スパイウェア・アドウェアなどは、このRootkitに比べれば、おとなしい部類になってしまう。

　アンチウイルスソフトによる修復作業は、基本的に期待できないと考えるべきである。また現実の問題として、このようなマルウェアに感染したらば、下手に修復を試みるよりは、さっさとリカバリーしてしまうよう推奨する。
（可能であるならば、後日何らかの問題が生じた場合に備え、証拠物品として保全するべきであると思われる。）
　どのような被害が生じているのか、その被害の範疇が無限大であり、予想もつかないのだよ。この場合は最悪の事態を想定し、慎重に対処するよう心がけた方が良いだろう。

　塩月誠人氏のサイトのアンチ・フォレンジック（sa2005_shio.pdf）という文書が紹介されていたブログがあったのだが。
　大変詳しい内容なので、一読するよう推奨する。具体的な機能やその働きが丁寧に解説されており、素晴らしいテキストであった。

　このRootkitはアプリケーションルートキット（Application Rootkit）とカーネルルートキット（Kernel Rootkit）に大別される。
　mashさんより紹介された記事なのだが、この辺を見れば大体の様相は掴めるだろう。
　rootkitによるハッキングとその防御（ITmedia）
　前者ならばファイルをざっと調べれば改竄されたものが見つかるだろうし、不審なプロセスを発見するのも容易なのやもしれない。
　Kernel Rootkitは前述の塩月誠人氏のPDF資料にも詳細が記載されているんだけど、これに感染したらばExplorerからは本体なり設定ファイルが閲覧できず、タスクマネージャーより確認できず、アンチウイルスソフトのスキャンでも発見できなかったりするのだ。これはWindowsnのAPIを乗っ取り、その姿を隠蔽し消えてしまうのだ。代表的なものとしては、HackerDefenderなどがあげられる。

　mashさんよりTripwire、及び改ざん検知システム(FIDS) for windowsなるソフトを紹介していただいたんだけど、このような改竄検知ソフトは大変有効な対応策ですね。
　ただサーバーなどにインストールし管理するのはともかく、個人でこれを日頃より利用するには向かないような気が。
　まぁそうは言っても、何かに感染させ挙動を観察する分には相応に役立ちそうです。

WindowsのRootkit（ルートキット）感染

　やや古い記事なのだが、Rootkitについてなかなかわかりやすい内容なので紹介。

　Microsoftセキュリティソリューション部門のマイク・ダンセグリオ氏とカート・ディラード氏によると、リモートシステム監視ソフトは何年も前から出回っており、Hacker Defender」「FU」「Vanquish」といった名称のプログラムがその最新世代だという。
　特に、比較的新しいrootkitsは、カーネルに渡されるクエリー（システムコール）を傍受し、rootkitsソフトが生成したクエリーを取り除く。その結果、実行可能ファイル名（コンピュータのメモリの一部を使用する名前付きプロセス）やOSのレジストリのコンフィグレーション設定など、プログラムが実行されていることを示す通常のサインが管理者や検出ツールから見えなくなると同氏は説明した。
　両氏によると、このソフトは、ウイルス対策ソフト、ホスト・ネットワーク侵入検知センサー（IDS）、スパイウェア対策製品など多くの検出ツールから見えない。
MS研究者、「カーネルrootkits」の脅威を警告（ITmedia）

　この記事中にてWindows PEを使ってRootkitの存在を探す方法が提案されているが、これは効果的やもしれない。Windows OSが起動している最中には、その起動中のOSからの操作ではRootkitは存在を隠蔽しており、発見できないのだ。

Rootkitの検出と対策

　正直な印象をいきなりぶっちゃけるんですが。
　「無理？」

　一例としてMicrosoft Windows 悪意のあるソフトウェアの削除ツールでは、HackerDefenderに対応しているのだが（Windows Server 2003、Windows XP、または Windows 2000 を実行するコンピュータから、流行している特定の悪質なソフトウェアを削除する Microsoft Windows 悪意のあるソフトウェアの削除ツール）
　自身及びその活動を隠蔽する目的で進化したRootkitに、これだけで十分対応できるのかと問われれば、それは難しいような。大体HackerDefenderのみがKernel Rootkitではないし。感染した後になってから足掻いても、ねぇ。

　Kernel Rootkitの最も確実な検出方法は、ハードディスクを外し他のパソコンに接続してのスキャンなり検証、またはCDやDVDよりブートした上での検証作業のみが有効である。
　感染後であれば、セーフモードで起動したとしても、ネットワーク経由でアンチウイルスソフトなりでスキャン・もしくは個別のファイルを検証したとしても、その実体には迫れないだろう。

　なおWindows XPのシステムの復元機能により、ルートキット感染パソコンを元の状態に戻せる場合もあるのだが。自分としてはこのようなマルウェアに感染したらば即リカバリーするよう推奨する。被害の及ぶ範囲が想定できず、また気付くまでの間にどのような不正行為が行われていたのか判断できないためだ。

WindowsのRootkit被害の現状

　Rootkitはクラッカーがどこかのサーバーをハッキングしてインストールするばかりではない。少なくともWindowsへの感染者数ベースでは、悪意を持った者が設置したサイトよりInternet Explorer経由で感染する例が多いような気がする。

　感染させたマルウェア（Malware）を駆除させないようにするためにRootkitを利用し、レジストリエントリやファイルを隠蔽する例も多い。
　このようなケースでのRootkit感染は、エンドユーザーを対象とした攻撃であるため、その原因の追究は個人ユーザーレベルでは難しいだろう。

　なおシステムの復元機能によりRootkit感染前のシステムの状態へ復旧させることができる場合もあるやもしれないが、このようなマルウェアに感染した場合は、リカバリーなりOSの新規インストールをした方が良いのではなかろうか。

　いずれにしてもアンチウイルスソフトはエンドユーザーには必須なソフトであろう。これによる復旧が（十分には）望めなかったとしても、そのようなセキュリティ対策ソフトを導入して適切に設定していれば、感染直前に予防できる機会が与えられるのだ。

MacOSのRootkit

　ウイルスにまず感染せず安全と思われているMacであっても、動作できるRootkitもある。
　なお身の回りのMacユーザーはアンチウイルスソフトなどは導入しておらず、そのような危機意識がやや薄いように思われる。今後はこのようなマルウェアに対してより一層注意を払う必要がありそうだ。

　OpenerはMac OS Xの内蔵ファイアウォール機能を無効にし、マルウェアの作者がコンピュータをリモートから制御できるよう裏口を設け、ハードディスクに保存されているパスワードを全て見つけ出し、JohnTheRipperというパスワードを破るソフトウェアをダウンロードするとDucklinは説明している。
Macにはめずらしいシェルベースのマルウェア見つかる（CNET Japan）

　隠蔽されているマルウェア・ウイルス・スパイウェアを発見する
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-03-18 WindowsのRootkit（ルートキット）は最悪なマルウェア（http://d.hatena.ne.jp/LucaLuca/20050318）を修正・加筆し移転したものです。

Posted by Luca at 19:34 │ │

2005年10月19日 - トロイの木馬（trojan horse）による監視と覗き見 - ラバースパイ

ラバースパイは人生の悲哀

　身近な誰か、例えば彼女なり片思いの誰かの気持ちを確かめたいとの欲求は、誰もが持つものだろう。それがわからないからこそ人生は楽しいのであり、そして苦しみや悩みに満ちているのだ。
　しかしだからと言って誰かの生活を覗き見したいとの欲求を実現してしまうのは、犯罪か否かは別としても、一人の人間として悲しくならないものなんだろうか。

　嫉妬にかられた人が恋人のオンライン活動をのぞき見できるコンピューター・プログラムの作成者とその購入者数人が、コンピューター・プライバシーに関する米連邦法に違反したとして起訴された。
　『ラバースパイ』という名のこのプログラムは、子犬や花の絵柄のついた電子グリーティングカードを装い、電子メールとして送信される。検察官によれば、プログラムが実行されると、対象者の電子メールの内容や、訪問したウェブサイトの記録が開始されるという。記録された情報は、ペレス＝メラーラ被告が操作するコンピューターに送信され、そこから顧客に転送されるという。
　90ドルでオンライン販売されていたラバースパイを購入した4人がそれぞれ、違法なコンピューター・ハッキングに関する2件の罪で起訴された。罪状1件につき最高で5年の拘禁刑および最高で25万ドルの罰金が科せられる。この他にテキサス州、ハワイ州、ノースカロライナ州、ミズーリ州でも購入者が起訴されているという。
恋人のオンライン活動監視ソフト、作成者と購入者を起訴（WIRED News）

　このWired Newsの記事に掲載されているものとほぼ同じようなマルウェアによる監視行為を、ここ数年の間にあちらこちらで目にしているんだけど。

htmlメールのテキスト化

　多少横道にそれるんですが。今回不思議な違和感を感じたのは、「電子メールとして送信」の部分。
　電子メールにてこのような不正なプログラムを送りつけるのは、実際に相手の自宅に赴いてインストールしたり、または何かのゲームと偽って送るよりは、はるかに効率が良いのだろう。

　しかし今時は、Outlook Expressでも「制限付きサイト」ゾーンなのだし。
　どのような層の方が、この被害に遭遇するのかが謎なんですよねー。
（と言うか、今回のラバースパイがどのようにして送信されるのか。これをまだ調べていなかったりするんですが）

　htmlメールに何かのトラップを仕込み相手に送りつけるとしてもですね。メール本文をテキスト化してしまえば無敵なのですよ、はい。どこかのメルマガなどのレイアウトがグチャグチャに崩れるといった弊害はありますが。
　おまけとして、Webビーコン（Webバグ）なども無効化できます。

　Outlook Expressで受信したhtmlメールをテキスト形式に変換して表示（Tef-Room）
　Outlook2002、Outlook2003で受信したhtmlメールをテキスト形式に変換して表示（Tef-Room）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-03 他人を覗き見する行為 - トロイなどを利用した監視（http://d.hatena.ne.jp/LucaLuca/20050903）を修正・加筆し移転後、2つのブログエントリへ分離したものです。

Posted by Luca at 18:48 │ │

2005年10月18日 - Bogus wareとRogue ware、インチキソフト

インチキ・詐欺的なセキュリティ対策・ウイルス対策・スパイウェア対策ソフトウェア配布の現状（2006年11月）

　インチキソフト・偽セキュリティソフト・ミスリーディング・アプリケーション（Symantec社の用語）、Bogus ware・Rogue Wareは海外では活発に議論が行われている、そう、大体3年ほど前にはとっくに。
　日本国内ではかなり遅れた感がある。国内にても幾つかのコミュニティ上で単発的に議論はされていたものの、マニア向けのマイナーな話題の域を超えなかった。

　何故かって？
　日本人をターゲッティングした騙しの手口はほぼ皆無であり、突然の英語表示に拒否感を示すユーザー層が大多数な現状では、「感染例」は極めて散発的に過ぎなかったからだ。
　例えば悪質なアドウェアが「Your computer is infected!」なんて表示をちらつかせても、日本人は信用しないだろう。

日本人を対象とした騙し・詐欺的警告の誕生

　安穏とした状況を一変させたのは、閲覧したサイト上に日本語の警告ダイアログを表示し消費者を騙し、WinFixerの導入を強要する手口が出現した、2006年初め頃からだ。
　（以前日本語のダイアログを押したらばドカンみたいな経験はあったが、詐欺的セキュリティ対策ソフトウェア購入を促すようなものではなかった）
　（WinFixerやWinAntiVirusProなどは製造元・配布元が同一と考えられるため、一連のソフトウェアを「WinFixer Family」とこの場では呼称する。）
　WinFixer Familyの広告は関与する中間業者（広告代理店等）により、接続元が日本国内であれば英語表記の詐欺ダイアログを日本語表記ダイアログに入れ替えたため、海外サイトを閲覧した多くの日本人が騙されるのではと大変な危機感を感じたのだよ。
　WinFixer2005による脅迫は自作自演（2006年1月21日）（Semplice）
　しかしながら何故かこのWinFixerは、不思議なほど被害者が生じなかった。主たる理由としては十分な数のサイトに騙し広告が掲載されなかったからだろうか。

　2006年4月（恐らく6日）以降、ブラックウォームなるマルウェアに感染していると虚偽の警告を表示し導入を強要する手口が、ネット上に急速に広まる（ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（'2006年04月15日）（Semplice））
　またしばらく間を置いてWinFixer Family配布者らは、日本人が運営するブログやBBSを対象とし、コメントスパムやトラックバックスパムにより騙しサイトを凄まじい勢いで宣伝した。
　英語表記のコメントやトラックバックならば、誰もが警戒しただろう。だが一部は日本語により投稿されたため、多くの日本人消費者が騙された。

　2006年5月2日、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC) はコンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA）にて初めてこのような詐欺的商法の存在に注意を促した。
　それ以後、あちらこちらのニュースポータルサイトやセキュリティ対策企業が雨後のタケノコのようにこの問題を取り上げ、やっと相応に「一般的な話題」となったのだ。

　ブラックウォーム関連のブログエントリを掲載した直後よりSempliceには数百件の検索エンジン経由アクセスがあったが、どんどん急増し、ピーク時には2-3万件/dayものアクセスがあったが、今では沈静化している。
　自分はブログを運営するに当って「被害者よりのアクセス数がゼロになる日の到来」を本当に・心の底から望んでいる。
　だがその日が訪れるのは、まだまだ先のようだ。

検索エンジンの広告に潜む、インチキソフトウェア

　2005年頃よりGooleにてスパイウェア（Spyware）などを検索すると、Googleアドワーズ広告（Google AdWords ads ）により詐欺ソフトや何かのマルウェアに感染した際に強制的にインストールされる不審ソフトウェアの広告が掲載されるようになっていた。
　またPal Spyware Removerなるいかなるマルウェアに感染していなかったとしても虚偽の警告を表示するソフトは、ソフトウェアの名称をGoogle検索すると堂々と、「スポンサー」として表示された。
　Googleの広告に潜む、マルウェア配布者による広告（2006年3月22日）（Semplice）にて紹介したように、検索結果の右カラムに怪しい販売業者の広告が表示されるのだ。

　海外では2004年頃には相応に問題とされており、Benjamin Edelman氏らはこの手のインチキソフトウェア配布サイトに限らず、多くの危険な・詐欺的なサイトがGoogle検索時に検索上位となり、なおかつスポンサードリンクとして含まれるとレポートした。
　だが不思議な話として、日本国内の質問掲示板などを幾つか巡回はしていたものの、検索エンジンの検索結果より「インチキソフトウェアに感染した」との事例はほぼ皆無である。
　理由は広告のタイトルが英語表記であり、なおかつリンク先の内容も英語だったためと考えられる。

　2006年11月現在、Googleよりは多くのいかがわしい広告主が消された、と思いきや。
　マイナーキーワード、一例として何かのマルウェアやインチキソフトウェアの名称でGoogle検索すると、幾つかのいかがわしい広告が未だ表示されている。

他のマルウェア経由による導入

　ブラウザハイジャッカー系マルウェアによる強制的サイト表示にて導入を強要される事例や、アドウェア系によりパソコン利用中に変なポップアップ表示がデスクトップに出て感染してもいないのに警告される事例は相変わらず多い。
　ダウンローダー系マルウェアにより全く意図せずにいつの間にか導入される事例は、2005年頃よりじんわりと増している。

　風変わりな事例として、動画を再生するためのCodecを装いダウンローダー系マルウェアを導入させ、その後複数のマルウェアと共にいかがわしいスパイウェア対策ソフトを導入させるケースもある。
　（不審なアンチスパイウェアソフトと、ZlobとCodec（コーデック）の関係（2006年4月8日）（Semplice））

　「インチキソフトウェアをアンインストーラーを利用しアンインストールしてしまえば、後はOK」との不適切な解説・回答が、国内のスパイウェア対策専門サイトを中心として広まっている問題については、注意を促したい。
　複雑な経路よりの複合感染での事例が多い現状では、「詐欺バナーをクリックしたらば不審なサイトに辿りつき、手動でインストールした」ような事例ではその他のリスクは少ないやもしれないが、多くのBogus ware感染事例にては信頼できる対策ソフトウェアを利用したシステムのフルスキャンを行う必要があるだろう。

Bogus Ware・Bogus Anti-Spyware Soft・Bogus Spyware Removal Soft・Rogue Ware

　以前より何度か、この手の悪質なBogus Anti-Spyware Soft（インチキなスパイウェア対策ソフト）やRogue Ware（悪党ソフト）など不審なソフトウェアを試しておりますが。
　どうしても判断がつかない部分があり、悩ましいのです。

　これは実際にはまともには機能しておらず、その検出結果が業者により意図的に虚偽のレポートであるような、怪しいアンチスパイウェアソフトなどを指します。
　これらを追求する著名なサイトとしてThe Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites（~~http://www.spywarewarrior.com/rogue_anti-spyware.htm~~）などがありますが、日本国内での認知度はそれほど高くはないようで。

　何故にこのようなインチキなソフトが存在するのかと、頭をひねる方も居るとは思われますが。Bogus Wareの製造・配布・販売業者はユーザーに体験版を利用させ、存在しないマルウェアなりスパイウェアを検出してユーザーを脅かし、製品の購入を強要する目的でこのようなBogus Wareを配布しているんですね。
　それら脅迫的手法により購入を迫るソフトウェアはランサムソフトと呼ばれるんですが。ランサムウェア（Ransomware）とFUD（Semplice）としてまとめたので、時間があったらばじっくりと拝見してもらいたい。

　また具体的な例として、以前紹介した記事を紹介する。
　Spyware Stormerは存在しない脅威で脅迫する（Semplice）
　WinFixer2005による脅迫は自作自演（Semplice）

Bogus Ware・Rogue Wareか否か

　「単なる機能面で未熟なソフトと、本当に悪質なソフトをどうやって見分け判断するのか？」との点が、どうも自分の中では判然とせず。
　存在しない脅威をでっち上げて検出するようなソフトであれば、これは単なるBogus Wareの可能性がありますが。まずは少し整理して考えてみますか。

　無害なファイルをマルウェアとして誤検出するのはFalse Positiveと呼ばれますが。大手のまともな企業により販売されている製品であっても、このような誤検出は生じるため、即座にはインチキソフトと決め付けられません。
　しかし存在しないファイル・存在しないレジストリのキーを検出し警告するようなソフトウェアは、確実にBogus Wareの範疇に含まれるでしょう。
　（意図的にあるファイルをマルウェアとして検出しない場合も考えられるため、この場合はFalse PositiveではなくFalse Resultと総称してしまうのが良いような）

　それでは「ほとんど使い物にならないような、件出力が低いソフトウェア」は、Bogus wareでしょうか？いえ、そうは言い切れないでしょう。
　これはその製品を開発した企業の技術力の低さなりによるものであり、「駄目なソフト」であったとしても「インチキなソフト」とは決め付けられず。

　つまりBogus Ware・Rogue Wareか、技術的に未熟なソフトか。それはエンドユーザーには容易には判断できないんですね。

　ユーザーがあるソフトウェアを導入する際には、「信頼できるソフトウェアなのか否か」との視点で考えたらばどうだろうか。まともな製品に思えたとしても、インストール後に不安をずっと抱えるのは嫌だろう？
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか（Semplice）

スパイウェア対策ソフトの評価

　スパイウェアの定義をスタンダードとなる形で布告しようとする団体がありますが、それは大変有意義だと思われます。これはスパウェア配布者の言い訳や開き直りを非難するための指針になるでしょう。
　しかしこのようなインチキソフトついては、どうなんですかね。言及は難しいのではないでしょうか。
　自身の悪意を隠し無実を訴えるスパイウェア配布者を法廷に引き込むのと、他社の対策ソフトを非難するのとでは全く意味が違います。後者は単なる「商売敵への嫌がらせ」と受け取られるリスクを伴い、また大手企業がこのような非難を行えば「寡占化のためか？」とか「新しいベンチャーを潰すのが目的か？」と誤解されそうな。

　また近年ではスパイウェア対策ソフトを装い、全く無意味・場合によっては逆に有害なソフトウェアも広く流通している。
　悪質な偽アンチスパイウェアソフトではなかったとしても、Virus BulletinのAwardのようなものが無いために、エンドユーザーはスパイウェア対策ソフトの性能を評価するのは困難だ。

2006年2月26日追記事項
　2006年になり、スパイウェア対策ソフトの評価がスタートした。
　アンチスパイウェアソフトの性能・検出力評価と認証、Spywaretesting.org・ICSA Labs

リスクが低い脅威をどう扱うのか - Alexa検出

　Alexaをご存知だろうか？これはWindowsマシンに予め入っており、WindowsXPならばどのパソコンでも存在するレジストリエントリである。
　Windows XPをインストールした直後にアンチスパイウェアソフトにてスキャンし、これが検出され慌てた経験を持つ方は一人や二人じゃないだろう。
　（なおこの場合のAlexaとはPestPatrolで言うところの「レジストリ内Alexa」を指す）

　PestPatrol関連の「Internet Explorerで"Alexa"が発見される（~~http://www.netjapan.co.jp/FAQ/Pest_solutions/PP_sol2.html~~）」なる資料的価値のあるページが将来的に削除されるような気がするので、今のうちにリダイレクト先の内容を転載しておく。

　【事象】
　スキャンを行うとInternet Explorerで"Alexa"が発見される
　【回避方法】
　Internet Explorer自体が持っているものです。
　削除をおこなっていただいても、InternetExplorerの機能上特に問題はありません。
　Alexaについて
　AlexaにはAlexaツールバーサービスとレジストリ内Alexaの2種類があります。
　レジストリ内Alexa
　AlexaレジストリエントリはInternet Explorer6又はInternet Explorerサービスパックのインストールによって作成されます。Internet Explorer6では「ツール」→「関連したリンクの表示」タブがあります。
　これを押せば、今表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。またこの機能はツールバーにも追加できます（ツールバーで右クリック→「ユーザ設定」→関連先を追加）。レジストリエントリ内にあるAlexaはこの機能を実現するためのものです。
　この機能を使用ことにより完全なURLが"msn.com"と"alexa.com"に送信され、表示されているページに関連のあるページのリンクリストがIEのバーに表示されます。ある場合、ユーザ名、パスワード、セッションID、検索している情報、”秘密のパス”とその他の情報がURLに含まれています。この脆弱性はWindows 2000とWindowsXPの上に動作するInternet Explorer 6とそのサービスパックやホットフィックスに含まれていることが確認されています。このAlexaレジストリエントリを削除してもサービスパックを入れる度に元に戻されます。
　ツールバーAlexa
　Alexaツールバーはユーザのウェブサーフィンパターンを解析して、これをサーバに送信します。この機能に対してPestPatrolはペストと認識しています。
　Alexaツールバーのアンインストール
　Alexaツールバーのアンインストールは「プログラムの追加と削除」からアンインストールすることが出来ます。また、Alexaの詳細アンインストール情報はhttp://pages.alexa.com/exec/faqsidos/help/index.html?index=7　から参照することが可能です。
　【ログに表示される内容】
　Alexa, HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
サポート終了製品 » PestPatrol（旧） Computer Associates » PestPatrol Internet Explorerで"Alexa"が発見される

　Windows XP（SP未適用）をインストールし、初めてInternet Explorerを起動する。http://www.msn.co.jp/home.armxが表示されている状態で、「ツール」より「関連したリンクの表示（R）」を押してみると、Alexaを利用した類似サイトの検索が行われ表示されるだろう。

　しかしこの状態では、別にAlexa関連のToolbarなどがインストールされるのではない。
　その点でこの場にては、「致命的なリスクをもたらすとは考えられない脅威」として扱い、話を進める。
　（もちろん異論を持つ方も居るとは思われるのだが、ここではこのリスクの多寡は問題ではない）

　このレジストリ内Alexaがスパイウェア対策ソフトにより検出される場合があると、先ほど書いたのだが。
　ではこのレジストリ内Alexaをスパウェアとして検出するソフトウェアは、（あらゆる意味で）信頼できる製品なのだろうか？そう考えるならばそれは早計な思い込みである。

　最近気付いた一例なのだが、以下のようなアンチスパイウェアソフトウェアが存在するとする。

体験版にてレジストリ内Alexaを検出できるとする
表示された「スパイウェア」なるレジストリ内Alexaを駆除するには、製品版の購入が必要と表示される
ユーザーには「レジストリ内Alexa」が何であり・またどれだけのリスクがあるのかを一切説明しない
そしてその他のスパイウェアには一切（またはほとんど）対応していない

　さぁ、どうだろう？何度も繰り返しになるのだが。
　「全てのWindowsXPにてレジストリ内Alexa」が存在する、だから業者は、かなり広範囲のユーザーの不安を煽る事が可能だ。
　そしてこれを検出し表示するのは「嘘や詐欺とは言いづらい」
　しかし「その他のマルウェアを検出できない製品であったならば？」

Windowsの無害なファイルをマルウェアとして検出する例

　TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎（Semplice）にてテストしたWorldAntiSpyは、C:\WINDOWS\desktop.iniとC:\WINDOWS\system32\desktop.iniをマルウェアとして検出した。
　これらのiniファイルを調査したが、何か不正な改変が行われた形跡は無く、WindowsXPをインストールした後と同じく全く無害なファイルであった。

　Desktop.iniファイルは“Desktop.ini” ファイルとは何ですか?（Microsoft）で記述されている通り、WindowsOSならばよくあるファイルであり、それ自体はデフォルトの状態では全く無害なものである。

　またこのようなデフォルトで存在されているファイルを（改変されていないにも関わらず）マルウェア関連ファイルとして誤検出するのは、通常ありえないだろう。何故ならばリリース前に当然社内テストを行うはずであり、その際に誤検出が報告されないとは考えられないからだ。

　そのためこのようなWindowsOSに元々備わっているファイルがいかなる改変も行われていないのにも関わらずマルウェアとして検出された場合、そのセキュリティ対策ソフトウェアは存在しない脅威をちらつかせユーザーを脅迫するのが目的の悪質ソフトと考えても差し支えがないだろう。

検出対象となるファイルをわざわざ自分で作る悪質ソフト

　WinFixer2005による脅迫は自作自演（Semplice）にて紹介したWinFixerは、Internet ExploreのキャッシュやCookieを重篤な問題があるとし検出するだけではない。
　あまりにも酷い話なのだが、WinFixerはスキャン時に自作自演でCookieを作成し、それを検出する。
　これは詐欺だ。

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　スパイウェア（Spyware）対策と駆除
　スパイウェア（Spyware）の解説と定義、概論
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか

更新履歴

　2006年11月3日、日本国内における現状を追記した。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、2005-07-20 ランサムウェア（Ransomware）と悪質ソフト、そのボーダー（http://d.hatena.ne.jp/LucaLuca/20050720）を修正・加筆し移転したものです。
また2005年12月12日、レジストリ内Alexaを追記致しました。

Posted by Luca at 12:38 │ │

2005年10月17日 - ランサムウェア（Ransomware）とFUD

ランサムウェア（Ransomware）とは？

　ランサムウェアはエンドユーザーに対して、何かのマルウェアに感染していると思い込ませてソフトウェアを購入させる業者が販売するソフトウェアである。これはFUD（恐怖(fear)不安(uncertainty)疑念(doubt)の頭文字をとった造語）による悪質な宣伝なのだ。
　（FUDについては以前書いた記事があるので、興味があるならば「2005年02月14日 - FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング（Semplice）を一読願いたい。）
　具体的な例としてはFTC、スパイウェア・アサシン（Spyware Assassin）を摘発（Semplice）を紹介する。

　なお誤解を招く可能性があるので、予め断っておくのだが。ランサムウェアがBogus wareとRogue ware、インチキソフト（Semplice）である場合も考えられるのだが。
　このランサムウェア（Ransomware）なる用語の用法は直接的には、そのソフトウェアの挙動・動作の安定性やそれに対する機能面への評価を指すのではなく、どのように配布・販売されているのかを指す点には注意してもらいたい。

　スペインのパンダ・ソフトウェア社は5月30日(現地時間)、パソコンに入り込んでソフトなどを売りつける『ランサムウェア』が増加していると警告した。データを勝手に暗号化し、復元ソフトを買わせようとするウイルスが最近見つかったほか、スパイウェアを口実にソフトを押し売りする事例が相次いでいる。
　ランサムは英語で身代金という意味。ウイルスの作者やハッカーが、パソコン・ユーザーを単に困らせるだけでなく、金銭を得ようとする例が目立ってきたという。
　最新のランサムウェアは、『スパイウェアノー』(SpywareNo)というソフトを売りつける。同社によると、アダルト・サイトにアクセスすると、勝手にパソコンに入り込み、「スパイウェアが潜んでいる」などと表示。月約15ドルの契約を結ぶまで、表示が消えなくなる。
「押売りウイルス」が増加（Wired News）

　Wired Newsの英語版の元記事を見ようとしたものの、見つからず（消去？）
　日本語版の記事中では、このソフトをウイルスと記載しているが、実はこれはウイルスではないのだな。

　Spyware Warriorに興味深い話が紹介されているのだが。

（注意：Spywarenoが怪しいソフトではないとの業者側の弁明に対して）
　これらの（CWS関連によりインストールされるアドウェアの）ファイルに感染したらば、Spywarenoの試用版を秘密裏にインストールされる。
Update on SpywareNo!(Spyware Warrior)

　このSpywarenoの販売元でPR Managerを努めている（と名乗る）Jessica Simmons氏のコメントが、信頼に足るものなのかは判別できないものの、これは大変示唆に富む。

　SymantecやMcAFEEなどのまともな企業の製品であったとしても、だ。悪意のあるAdware配布者がこれを通常ユーザーに許容されないような手法を用いて宣伝したり購入を強要したとしたらば、「まともな製品の製造・販売元」の社会的評価を貶められるだろう。そしてその製品はランサムウェアとなるのだろうか？

　とりあえずこの場では、ランサムウェアを一旦このように扱う事にする。

ブラウザハイジャッカーやAd-ware経由でしつこく宣伝されそのサイトへリダイレクトされ、または脅迫的なサイトの表示・感染中に強制的に表示されるデスクトップの壁紙やポップアップ表示により、購入を強要される。

　以下はランサムウェアとしての条件に当てはまるのか否かが判断つかないため、この場では保留する。だがBogus wareであるのは事実だ。

マルウェアに対しての検出力はインチキレベル

ランサムウェアと脅迫的マーケティングの現状（2006年5月2日追記事項）

虚偽の警告を表示し、ユーザーにいかがわしいソフトウェアを導入させる手口

　セキュリティホール memo経由で、コンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA：独立行政法人情報処理推進機構）なる記事を見つけた。
　これはまさにブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）の内容そのものだ（と言うかリンクを付け紹介してもらいたいものです）。
　ブラックウォームは悪名高いwinfixer.comが深く関わっており、WinFixer2005による脅迫は自作自演（Semplice）WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）にて紹介した悪質ソフトの導入を脅迫的に強要する。

　対策側として多少不満を覚える点として、IPAにては一点舌足らずな部分があるのだ。それは一過性のどこかのURIリンクやバナー広告を押して表示された場合と、アドウェア（広告表示プログラム）によるポップアップ広告やブラウザハイジャッカー（Internet Explorerなどのブラウザにて、ユーザーが意図しない動作・一例として強制的にどこかのサイトを表示する）を考慮していない部分。

　一過性のものでありそれ以後怪しい脅迫的サイトを表示されないならば、それほど深刻な問題ではないだろう。
　ですが何度も何度も勝手に表示されるならば、アドウェアやブラウザハイジャッカーの存在をまず疑うべきであり、既に「何か」に感染している可能性があるのだろう。

存在しないマルウェアを検出・または自作自演で検出対象を作成する

　PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）のように、いかなるウイルス・スパイウェア・アドウェア・マルウェアに感染していない場合でも、何かに感染していると警告する悪質なスパイウェア対策ソフトが存在する。
　またWinFixer2005による脅迫は自作自演（Semplice）のように、わざわざ検出対象ファイルを自作自演で作成し、これを検出し「感染しているぞ！」と騒ぐ悪質なソフトウェアもある。
　これらはインチキソフト（Bogus wareとRogue ware、インチキソフト（Semplice）なのだ、それは疑うべき部分は無い。

　そうは言っても、多少判断がしづらい場合もあるのだ。
　他のマルウェア（Malware）と協調し悪質なソフトウェアを導入させ、検出対象ファイル（一例として何かのアドウェア）を予め作成する場合はどうなんだろう？
　これらの「微妙なソフトウェア」を導入するように強要するアドウェアまたはダウンローダーは、予め検出対象となるファイルをダウンロードしておき、いかがわしい対策ソフトによる検出数を増やそうと試みる。これにより「ほら、やっぱり感染してた！このソフトを買いなさい！」と、その説得力を増そうとしているのだ。

　多少かけ離れた視点でこれらの実態を鑑みれば、「不審かつ不要なスパイウェア対策ソフト・ウイルス対策ソフト」を単体でダウンロードし運用したとしても、背景となる「カラクリ」がアンチウイルスソフトメーカーや対策側団体としては見出しづらいのだ。
　このような特殊な事例の場合、「いかがわしい対策側ソフトウェア」をBogus ware・Rogue ware・インチキソフトとしては判断しづらい事例もあるだろう。

ランサムウェア（Ransomware）と広告業界

　前述のSpywarenoの件のように「宣伝を依頼した広告代理店が勝手にやっただけだ！」と主張される可能性があります。
　このような場合は、どのように解釈すれば良いのかわからず。
（ランサムソフトの話ではありませんが。ブラウザハイジャッカーとしてのCWSは、悪意がある広告代理店が勝手にやってるだけだとの反論をしているようですが）

　Bogus wareとRogue ware、インチキソフト
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　スパイウェア（Spyware）の解説と定義、概論
　FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-07-20 ランサムウェア（Ransomware）と悪質ソフト、そのボーダー（http://d.hatena.ne.jp/LucaLuca/20050720）を修正・加筆し移転したものです。

Posted by Luca at 12:18 │ │

2005年10月16日 - マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

マルウェア（Malware）の定義

　スパイウェア・アドウェア・ウイルス・ワーム・トロイの木馬などの悪質なソフトウェアは、マルウェアと総称される（マルウェアはMalicious Softwareの略称である）。

　Microsoftが詳細な定義をしているので、一読しておいても損は無いだろう）。
　マルウェアの定義 : FAQ（Microsoft）（一部の項目はスパイウェアとアドウェアを混同しているようだが)。
　対ウイルス多層防御ガイド第2章: マルウェアの脅威（Microsoft）

　またマルウェア対策の業界団体COAST（Consortium of Anti-Spyware Technology vendors）の定義も参考になる。
　「Glossary（COAST）~~http://www.coast-info.org/glossary.htm~~」
（COASTは2005年4月、マルウェアを配布してる業者をメンバーに加えたのだが、それに反発したベンダーの離脱で消失した）
　その後、アンチウイルスソフトメーカーやその他が参加するASC（Anti-Spyware Coalitionｍ）なる団体が、狭義・広義のスパイウェアの定義を定めた。今後はこれをSempliceでの指標の一つとして扱うだろう（2005年11月01日 - ASC（Anti-Spyware Coalitionｍ）のスパイウェア等の定義（Semplice））。
　（2006年5月15日注：ASCが定めているのはスパイウェア及び広義のスパイウェアの定義であり、マルウェアの定義ではない）

　ウイルスについてはIPA（ Information-technology Promotion Agency, Japan.：独立行政法人　情報処理推進機構）が掲載しているコンピュータウイルス対策基準のための定義がある。しかしこれは広義の定義であり、ワームなどを明確に区別はしていない。

　コンピュータウイルス（以下「ウイルス」とする。）第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。
(1)自己伝染機能
　自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
(2)潜伏機能
　発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
　プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
コンピュータウイルス対策基準（IPA）

マルウェア（Malware）の私的分類

（配布のやり方によっては、スパイウェア・アドウェア・キーロガーは広義のトロイに含まれる可能性がある。またワームは広義のウイルスに含まれる例がある）

ユーザーに危害を与える目的のもの - マルウェア

マルウェア（Malware）:悪質な目的のために作出されたソフトウェア全般を指す広義の用語
- ウイルス（Virus）：言わずもがな。
- ワーム（Worm）：自己増殖、拡散性を備えるプログラムを指す。ワームはウイルスではないなどの見解もネット上には散見されるが、多くのウイルスはワーム性を兼ね備える。
- トロイ（Trojan）：広義ではある機能を指すのではなく、ユーザーにその裏機能を知らせずに利用させるものを意味する。トロイの木馬（Trojan Horse）に引っ掛けて命名されたらしい。
  - トロイ:RATなど狭義のトロイ、バックドアから他人が操作をできるようにするトロイの木馬（Trojan Hourse）・RATとは（Semplice）。
- スパイウェア（Spyware）:個人情報を第三者に送信する。ユーザーの了解を得るのはまず有り得ない。この用語は混同される場合が多い。詳細はスパイウェア（Spyware）の解説と定義、概論（Semplice）とスパイウェア（Spyware）対策と駆除（Semplice）を閲覧願いたい。
- アドウェア（Adware）:狭義では広告を表示するものである。機能を十分に説明し承諾を受けてインストールされたものはマルウェアではない。だが使用許諾説明書が読み取るには難がある常識外れの長文であったり極端にわかりづらい場合は、この限りではない。場合によっては悪質さのためにトロイの木馬のカテゴリに含まれる例がある。ブラウザでの閲覧の記録などを外部に勝手に送信するものは、スパイウェアとの定義上での線引きは難しい。
- キーロガー（Keylogger）：キーストローク、つまりキーボードから入力した内容を記録するもの。ネットカフェで他人のパスワードを抜くために利用され話題になった。ソフトウェアキーボードとキーロガー（Semplice）。
- スクリーンロガー（Screen Logger）：デスクトップのキャプチャ画像、つまりスクリーンショット（screen shots）を作成するソフトウェア。作成した画像を電子メールで送信する機能を備えるものもある。オンラインバンクのパスワードを盗む目的で、キーロガーと併用される場合がある。従業員を監視する目的としてこの機能を備えるソフトウェアもがあるが、まともなものとは思いづらい。
- ブラウザハイジャッカー（Browser Hijacker）：ブラウザを乗っ取り、ホーム（起動後に表示されるサイト）を改変したり、アダルトサイトを信頼済みサイトゾーンに登録したりするもの。ブラウザヘルパーオブジェクト（Browser Helpeｒ Object)とブラウザハイジャッカー（Browser Hijacker）（Semplice）。
  - ホームページハイジャッカー（Homepage Hijacker）：多くのブラウザハイジャッカーが備える機能。
  - サーチハイジャッカー（Search hijacker）：ここではブラウザハイジャッカーにおける機能の一つとして扱う。
- ルートキット（Rootkit）：感染中のパソコンからの修復作業は極めて困難。遠隔操作による操作、また他のマルウェアの存在を隠蔽する目的で利用される。Rootkit（ルートキット）とWindows（Semplice）
- ダウンローダー（Downloader）：これに感染させ、その後次々と新しいマルウェアをダウンロードさせ導入するためのもの。近年多数のマルウェアにまとめて感染する事例が多発しているが、そのような場合に利用される。Iriaなどのソフトウェアの意味ではない。
- ダイヤラー（Dialer）（同義語としてダイアラー）：ダイヤルアップモデムなどの接続先電話番号を改変し、ダイヤルQ2や国際電話に接続させる強制架電を引き起こすマルウェア。Dialer（ダイヤラー・ダイアラー）による不正な料金請求と、日本語表記

危害を与える目的ではないもの

アドウェア（Adware）:広告表示のみの機能で、インストール時にユーザーの了解を（十分に）得ており、またユーザーが望まない形で外部に情報を送信しないものに限る。無料で配布されるツールを利用する代償の手段として用いられる例が多い。もちろん勝手にインストールされるアドウェアは、この限りではない。
ブラウザヘルパーオブジェクト（Browser Helpeｒ Object):ブラウザハイジャッカーと混同される事も多い点に注意
糞ゲー（あ、冗談です。けどGoogleで5,330件ありました）

分類にあたっての視点が異なる定義

　以下の悪質なソフトウェアは、ソフトウェアの機能よりはむしろ配布・利用の様態や、対策側企業独自の扱いに基づく区分である。

ペストパトロール（PestPatrol）社の「ペスト」：「厳密な定義」とは異なり、エンドユーザー的視点からのあらゆる脅威を包括した用語。ペスト（pest） - 汎用性が高い定義（Semplice）。
クライムウェア（Crimeware）：犯罪を引き起こすようなソフトウェアの意味らしいのだが、Googleにて全言語検索にて400件のみなマイナー用語。2005年12月12日、74200件にまで急増していたのだが、それだけこの用語が「便利」で使いやすく、かつこのような悪質なソフトウェアによる被害が顕在化している現状を反映しているのだろう。（クライムウェア（Crimeware）なる用語の変遷と、社会学的類型参照）
Bogus ware（インチキソフト）・Rogue Ware（悪党ソフト）：スキャンの結果、存在しないファイルやレジストリを表示・また本来Windowsに備わっているファイルをわざとマルウェアであると誤検出し、危機感を煽る悪質セキュリティ対策ソフト。通常は店頭販売されているようなソフトは指さないが、個人的にインチキと呼びたいソフトもある。Bogus wareとRogue ware、インチキソフト（Semplice）
ランサムウェア（Ransomware）：元々の意味は金銭の支払いを強要するソフト。Adwareやブラウザハイジャッカーに感染中に、しつこく何度も製品についての情報を表示・販売サイトへリダイレクトし、マルウェア対策ソフトを購入するよう強要される場合において、その怪しいマルウェア対策ソフトを指す（ランサムウェア（Ransomware）とFUD（Semplice）及びランサムウェア（Ransomware）と用語の変遷（Lucablog））。
ランサムウェア（Ransomware）-2：ファイルを暗号化し、取り戻したければ金銭を支払えと脅迫するためのソフトウェアを指す。2005年5月Pgpcoderの出現以降に利用されている新しい用法。最も古い「強制暗号化ソフトウェア」は1989年のAIDSであるが、Pgpcoder以前にはランサムウェアと記載する例は見かけなかった。「ファイルを暗号化し脅迫するソフトウェア→ランサムソフト」であるが、「ランサムウェア→ファイルを暗号化し脅迫するソフト」ではない。
デマウイルス（hoax virus）：マルウェアに感染しているとの虚偽の情報を指し、実体は無い。もちろん被害は無いのだが、騙されうかつに問題の無いファイルを削除する被害は昔より形を変えて存在する。デマウイルス（hoax virus）の罪（Semplice）。
トラックウェア（Trackware）：十分な同意の上で、ユーザーを害し得ないような情報（ブラウザで閲覧したサイトのURIなど）をマーケティング目的にて送信するようなソフトウェアを指すため、不法行為を伴うものではない。スパイウェアの語感の悪さを回避する目的で、悪質な業者が自社のスパイウェアをトラックウェアと呼ぶようアピールしている例もある。
ベイトウェア(Baiteware)：Wikipediaによれば、「非常に限定的、あるいは不完全な機能を提供するようなフリーウェア。一見、ユーザにおいしそうなものをリリースするが、その実は商用製品を買わせるための餌である。」と記載されていたが、当該部分は削除された。一部のランサムウェア及びBogus ware類似ソフトウェアは、体験版によるスキャンの結果「どうでもいいようなもの」をスパイウェアとして検出し扇情的ポップアップ広告をしつこくなんども表示し、製品版の購入を促す場合がある。そのようなソフトウェアはベイトウェアに含めてもあながち間違いとは言えないのではなかろうか。
グレイウェア（Grayware）：「明らかに怪しく、そして犯罪目的で利用されるソフトウェア」の意味で使われる単語。2005年12月13日、グレイウェアでGoogle検索したが日本語でわずか34件、graywareでウェブ全体から検索にて163,000件。日本国内ではこのような用語が利用されていない要因は、海外でのマルウェア情報を国内のメディアやフォーラムがそれほど十分には伝達できていない現状によるように思われる。興味深い事にTrendMicro社は2005年12月12日、セキュリティ情報ページ（ウイルスデータベース）リニューアルなるページにてグレイウェアをスパイウェアと同列の扱いとして掲載した。
ワンクリウェア・ワンクリックウェア（One-click ware, Oneclick ware）：アダルトサイトなどで画像や何らかのソフトを装いユーザーの錯誤を招かせ、インストール後に悪質業者と契約を結んだと思い込ませ、金銭の支払いを要求するポップアップを何度もしつこく表示するアドウェア。ワンクリック詐欺、ワンクリウェアなるもの（Semplice）
Foistware：「Foistware（SpywareInfo）~~（http://www2.spywareinfo.com/2005/09/13/1169）~~」ではKazaa無料版にバンドルされているAdwareの例など、「有用なソフトAにより導入されるその他の望まれないソフトBであり、Bを取り除くとAが機能しなくなるようなもの」として定義している。なおInternet Explorerの脆弱性などを利用しユーザーの許諾を得ずにインストールさせる「ドライブバイダウンロード（Drive-by download）」にて導入されるソフトウェアを、このFoistwareに含める用法が日本国内にて散見されるのだが、その理由が釈然としない。
スピア型：不特定多数を攻撃対象とするのではなく、特定企業・個人を攻撃対象として相手にマルウェアを配布する手口を指す。自分が知る限りではボットは一点突破の“スピア型ウイルス”、ISPも対応に苦慮（INTERNET Watch）（2005年12月9日）での「Internet Week 2005」における発言が初見。Targeted Attackの方が普遍的用法であるとの説も（「スピア型攻撃」は日本独自の表現？（武田圭史））。
バッドウェア（Badware）：2006年1月、「Stop Badware Coalition」なる団体が倫理に反するマーケティング手法で配布されているスパイウェア・アドウェア対策のために作った用語（see 「バッドウェア」対策で新団体結成--グーグルやサンなどが参加（CNET Japan）。ちなみにこの対策側団体に参加しているGoogleは、JWordやSpywareRemoversReview.comのような露骨に怪しいソフトウェア・またはインチキソフトを販売している業者のアドワーズ広告を現在でも掲載している（「Googleの広告に潜む、マルウェア配布者による広告」）。
ミスリーディングアプリケーション（Misleading applications）：Symantec社による、インチキソフトウェア（Bogus ware・Rogue ware）のカテゴリ。2006年秋には海外サイトにて散見したが、2006年11月の時点で日本語版ページにおいてはシマンテック、金銭的利益を求めてホームユーザーを狙う攻撃が増加、と報告（Symantec）を除くと情報が無い。「スキャンされたコンピュータ上にて、虚偽・あるいは明らかに紛らわしい（misleading）、セキュリティリスク・脅威・あるいはシステムの問題の情報を報告するプログラム（Glossary（Symantec英語ページより抜粋し和訳））。」
トラッキングクッキー（Tracking Cookie）：トラッキングクッキーはブラウザを利用した際に作成されるコンパクトなデータファイルであり、スパイウェア・マルウェアのいずれでもない（クッキー（Cookie）の諸問題 - トラッキングクッキー・追跡クッキー・サードパーティクッキー）。スパイウェア・マルウェアに含めたがるメーカーの態度は不審だ（Tracking cookieはスパイウェアではない - スパイウェア対策ソフトメーカーの姿勢への疑問）。
fraudware：詐欺ソフト（fraudulent software）の略称。メモリを最適化し高速化すると称して実は何もしないソフトウェアなどを指すが、Bogus wareやRogue wareのようにインチキなスパイウェア対策ソフトを指す用法は少ない。2006年12月24日現在、Google検索にて11,900件（日本語では0件）。
ボットウイルス：2007年4月4日現在、Google検索で3500件。ボット（Bot）の意味として使われる。トレンドマイクロ社が利用。またセキュリティ対策まんが　クジョたいさく物語（IPA）でも利用される。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2004-10-24 マルウェア（Malware）の定義（スパイウェアやアドウェア）（http://d.hatena.ne.jp/LucaLuca/20041024）を修正・加筆し移転したものです。

Posted by Luca at 12:01 │ │

2005年10月15日 - 道徳的目的のウイルスとコンテンツフィルタ

　変わった挙動のウイルスがSophosのニュースより紹介されており。大変驚き、そして怪しみつつ感慨に浸っているのです。

　アクティブなウィンドウのタイトルバーから Windows ユーザーがどのサイトを閲覧しているか監視します。同トロイの木馬が好ましくないと判断するキーワード（「teen」、「xx」、「sex」または「penis」など）を発見すると、ウィンドウを最小化してユーザーがコンテンツを閲覧できないようにし、代わりにコーランの引用文を表示します。

　他のマルウェアと異なり、このトロイの木馬は、金銭あるいは個人情報を盗み取る傾向はなく、道徳的に芳しくない内容のサイトの閲覧をブロックし、モラルを監視するような動きを見せますが、誤った判断でポルノ的要素が含まれないサイト（若年者向けの医学サイト、社会学サイトなど）をブロックしてしまう可能性は大いにあります。
ソフォス、コーラン引用文でアダルトサイト閲覧を妨害するアラビア語のトロイの木馬について報告（SOPHOS）

　要するに、コンテンツフィルタリングのようなものなんでしょうか。
　このYusufalilは宗教的な動機により作成されたような印象があります。
　作者の考えでは、アダルトサイトを反社会的なものとし、これより足を強制的に遠ざけさせるのが目的なような。
　宗教的メッセージを表示しつつ、ウイルス作者が不健全と考えるようなサイトの閲覧を妨害し「健全なブラウジングを促す」と。

　コンテンツフィルタリングなる機能は、i-フィルターのような製品に搭載されており。
　未成年者がアダルトサイトや暴力的なサイトの閲覧をできないよう設定し、保護するためのものです。
（人によっては保護じゃなく、迷惑と感じるやもしれませんが）

移転前のブログへのコメントより

　rivierasさんより、以下のようなコメントをいただきましたので、許諾を申し込んだ上で転載。
　確かに何を健全とするのかを特定個人の尺度を元とし、それを全てにあてはめるのは危険ですね。またそれらの主張をどのようにして広め実現するのかも。
　それが行き過ぎたものが、Antinyなどなんでしょうか。

# rivieras 『”健全なブラウジングを促す”の「健全な」というのがキーワードです。
作者自身が健全な精神の持ち主とは思えませんし、警告の一種とでもとらえれば腹も立ちませんが、他人の自由を奪う行為は許されるものではありません。
人間の最も大切な尊厳を、冒涜していることに気づいていないところが、今後のエスカレートにつながる危険性を孕んでいると思いますね。』

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-11 善意？のウイルスによる、コンテンツフィルタ機能（http://d.hatena.ne.jp/LucaLuca/20050911）を修正・加筆し移転したものです。

Posted by Luca at 10:43 │ │

2005年10月14日 - 出会い系スパム中の登場人物と名前

　最近ほったらかしのメールアカウントを久しぶりにログオンしたんですが。なんか笑っちゃうほど大量のスパムメールが貯まってて、どうしてくれようかと思案に暮れたんですが。
　4割は海外の違法コピー製品なりのもので、オンライン薬局とかローンのスパムはほぼ皆無です。
　残りは日本の出会い系。

　嫌なのは知人を装って「覚えてますか？」とかそんな件名で送られるもの。一瞬誰だっけとうろたえるんですが。中身は出会い系サイトのスパム。
　何だかスパム界の事情はよくわからないんですが。出会い系では「逆援交」とかそんな感じの、男性側へ報酬を支払うとの内容のものが増加しているようでした。

　これらのスパムを眺め、ふと思いついたんですがね。
　出会い系サイトスパムに掲載されいてる管理者とか運営者の名前、そしてサクラか何かの女性の名前。これらって姓名判断やったらばどうなんだろうか。

　今回利用した占いは、21世紀の姓名判断命名navi。
　出会い系スパムを数百件も閲覧するのは大変手間がかかりましたが。とりあえず興味深い結果になりました。
　ちなみに面白そうな部分のみを抜き出しているため、ここに掲載している結果はLucaさんの興味の方向性により多少恣意的です。

出会い系スパムの運営者の名前

　不思議なんですが、これらはいずれも事業運が良い名前が多いようでした。しかしいずれも「犯罪傾向」や「事件注意」などの、割と刺激的な結果が・・・・・

嶋田早百合：事件注意。
清水よしみ：挫折運。早死の数運
鈴木さくら：挫折運。早死の数運。
早坂友子　：裁判・犯罪傾向。異性運×。
吉田加奈　：トラブルや犯罪に関係する傾向。
井上俊見　：犯罪災難傾向あり。
轟伸也　　：犯罪傾向や突然の不運に襲われる傾向があります。
石塚亜由美：犯罪傾向。
吉田美紗子：犯罪傾向。
町下俊見：犯罪災難傾向あり。
川本真奈美：犯罪裁判関連傾向。

出会い系スパムの、女性プロフの名前

　こちらも微妙な結果になったんだけど。
　うーむ。何とも言えないものがありますな。
　あまり異性運に恵まれていないような名前の出現頻度が高いような印象です。

飯田里美　：犯罪災難傾向あり
早坂麻美　：社会運強く晩婚傾向。
藤崎ひとみ：犯罪傾向あり。
斉藤陽子　：病気、事故で早死が多い。
中野美香　：社会運強く晩婚傾向。
瀬戸あいこ：孤独運。晩婚傾向。挫折運。早死の数運。
滝本みどり：異質な倫理観を持ち、法や常識を重視しない傾向。
城嶋涼子　：酒や異性に溺れがちなので注意。
山中まみ　：病気災難注意。異性運×。
嶋田淳子　：異質な倫理観を持ち、法や常識を重視しない傾向。
飯嶋琴乃　：酒や異性に溺れがちなので注意

ふと、いいアイディアが思いた！

　この手の出会い系スパムに掲載されている名前なんですが、これを姓名判断で良さそうなものにした場合、登録者が増えたりするんですかね。
　例えば女性プロフならば「男性運あり」とか「モテモテ」な名前を利用すると。

　まあ、どうせこの手の名前なんて偽名だったり。またスパム作成者がとっさに思いついた実在しない女性の名前なんだろうけど。

　スパムメールの件名から送信者の悲哀を感じる

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-04 出会い系スパムに出てくる名前って（http://d.hatena.ne.jp/LucaLuca/20050904）を修正・加筆し移転したものです。

Posted by Luca at 10:33 │ │

2005年10月13日 - スパムブログと大量のキーワード

　とある分野に関連するキーワードにてGoogleで検索すると、どこかのニュースポータル（CNET Japan、IT Media等）の記事の見出し「のみ」をドバーッと大量に掲載してる、そんなブログがやたらと上位に表示されたりします。
　それらはいずれも、記事の内容についての言及が皆無で単なるリンク集。また扱うテーマにまとまりが無く、方向性が感じられません。

　Googleの検索順位なりにおける検索順位最適化とかSEOのテクはよくわからないんですがね。特定分野のキーワードを集約してドンドン使えば、集客力は高まるんでしょう。特に複数のキーワードを併用して検索した場合に、このようなサイトが割と有利？なような。
　よくある話として、Webサイトにて無意味なほどドバーッと大量のキーワードを書き連ねたドアウェイページ（Doorway Pages）これにまず集客しておいて、そこから自分が経営する商業サイトへ誘導する、と。

　以前とある製品を購入するに当って、そのメーカーのサイトを調べようとしたんですがね。その企業の製品の名称をズラズラと無意味に数百も掲載しているドアページばかりがヒットし、結局メーカーサイトへは容易にたどり着けなかった経験があります。
　これらは検索エンジンスパムとして排除されてるようでして。Googleではこのようなスパムサイトを通報する窓口を設けております。

　で、またブログの話に戻りますが。
　彼らは一体、何をしたいんだろうかと。
　自分のID付きのURIを踏ませて、アフィリエイトで小遣い稼ぎなのか。バナーを踏ませたいのか。アクセスランキングのためなのか。
　結局何の目的なのやら、サッパリなのです。

スプログ（splog）なるスパムブログ

　CnetJapanの記事によれば、スパムブログを大量にツールにて生成し、検索エンジンを騙す目的で被リンク数を稼ぐ手口、つまりスパログなるものがあるらしい。
　手口はGoogleのブログサービスの「Blogger」に大量のブログを設立し、これからローンだの何だのと怪しい内容を含む本サイトを宣伝する手口らしい。
　ブログスパムの悪夢--「スプログ」でグーグルのBloggerが大混乱（CNET Japan）

　大変参考になったブログがあったので、一部を抜粋しますが。

　私は、昨夜偶然では有りますが「Auto-Blog Builder」と言うものを発見しこれってすごいなぁと思っていた。（どうやら現在のところ販売を中止している）この「Auto-Blog Builder」も一見普通のブログに見えるし、キーワードを設定しておけば勝手にブログを作成してしまうと言うソフトらしい。悪用されたら大変だよなあと思っていた矢先にこの事件。もしかしたら、悪用事例か？
ブログスパム（スプログ）でBloggerが大混乱！

　Auto-Blog Builderなるソフトについての知見が無いので、これがどのようなものなのか判別できないんですが、大変興味深いのです。

　元記事にもあったけど、この手のブログスパムを回避する手段として「ブログ作成者に対してゆがんだ形の文字を表示し、それを手動で入力させて（マシンではなく）人間がそのブログをつくろうとしていることを証明させるといった予防措置」なるものが紹介されていたいんだけど。Googleのcaptchaは視聴覚障害者に配慮していないにて紹介したcaptchaなどを乗り越えるならば、随分とやるものなんですね。

猥褻な内容を含むブログは、本当に個人が運用しているのか

　まぁ、それは置いておいて。

　ブログ検索サービスを提供するTechnoratiでは、「State of the Blogosphere」というレポートを発行しているが、このレポートではスプログの一般的な脅威について、新しいブログ全体の平均5.8％（約5万件）は偽物か、偽物の可能性があるとしている。
ブログスパムの悪夢--「スプログ」でグーグルのBloggerが大混乱（CNET Japan）

　最近よく、どこかにマルウェアが落ちていないものか探す目的でアダルトサイトなりアダルトコンテンツが含まれるブログを閲覧しているんですが。
　そのようなエロいブログにて、明らかに不審なものを散見します。つまりはどう見ても特定のアダルトサイトの宣伝にしか思われないものとか。または女性による個人ブログを装っていながら、実は業者が運営しており、アダルトサイトなり出会い系サイトへ誘導する目的のものとか。
　笑ってしまうのは、じっくり探せば同じ画像を使いまわししてたり内容が重複するブログが多数存在するんですよね、この手のものは。
　これは手動によるスパムブログなのでしょう。

　バイドクターのEUsoft社と検索エンジンスパム

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-09-01 キーワードスパムなブログ（http://d.hatena.ne.jp/LucaLuca/20050901）を修正・加筆し移転したものです。

Posted by Luca at 10:25 │ │

2005年10月12日 - アンチウイルスソフト利用後の不具合

　アンチウイルスソフト（Norton Antivirus・ウイルスバスター・マカフィーウイルススキャン・NOD32・AVGその他）のインストール・アンインストール後、アップデート後、またマルウェアの駆除後に、様々な問題が生じる場合があります。

OSが起動できなくなる
マルウェアでも何でもないファイルを削除され、アプリケーションが起動できなくなる
メールの送受信ができなくなる
ネットに接続できなくなる
MBR（マスターブートレコード）の保護を有効にしてたらば、ユーティリティソフトの導入や操作に失敗した、リカバリー作業に失敗した
コレクションしていたウイルスを勝手に削除され泣いた（あ、冗談です）

　ウイルスなりスパイウェアなりの削除に失敗し、えげつない目に遭遇したとの体験談は方々にて散見しますが。これらはマルウェアと、アンチウイルスソフトのエンジン・定義ファイル（シグネチャファイル）の特定バージョンとの間に存在する、再現が難しい問題です。

　現在アンチウイルスソフトによる修復作業が失敗した場合に、どんな問題が起きるのかに興味があるんですが。
　スパイウェアなどでは、LSPインジェクタなタイプもあり、その辺に的を絞ってとりあえず試してみたく。成功（いや、失敗か？）すればネットに接続できなくなるでしょう。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-22 アンチウイルスソフトでの作業後の不具合（http://d.hatena.ne.jp/LucaLuca/20050822）を修正・加筆し移転したものです。

Posted by Luca at 10:21 │ │

2005年10月11日 - Googleのcaptchaは視聴覚障害者に配慮していない

　Googleに登録しようと試み、URL の登録と更新（Google）を開いたんですが。さすがにこれはと唖然。

　手動で送信された URL と自動で送信された URL を区別しやすいように、下のボックスに表示されているとおりに語を入力してください。
サイトの登録 / 削除

　何と読むんだろうか。どなたか読めますか？

　つまり表示された画像中の文字を、手動でボックスに入力するよう求められるんですがね。恐らくは自動登録ツールなどでバンバンとGoogleに登録されるのを避ける目的で、このような仕様になっているんでしょう。

　この文字が毎回微妙に歪んだりしており、識別しづらい。これはひょっとしたらば、何かの自動化ツールなどにより機械が読み取るのを防止する目的なんだろうか。
　自分は視力は悪くないし、細かい字を読むのも苦手ではない。しかし時折はこのような「もう限界」な読み取れない文字が出て、もうギブアップなのです。

　Googleに限らず、このcaptchaはどこかのサイトでのユーザー登録や、ネット決済などで利用されてます。いずれもこれは「人間が手動で入力するようにさせる」ためのものであります。
　しかしながら自動アカウント取得ツールなどを回避する目的で利用されるこのcaptcha。健常者でも判読できないような文字は、視力が弱い方には大変なハードルになるのではないでしょうか。

謝辞

　smoking186さんより、この画像の名称を教えていただきました。
　大変ありがとうございました。

# smoking186 『captchaだそうで。captcha decoderも開発されているそうです。http://sam.zoy.org/pwntcha/ (情報元: http://b.hatena.ne.jp/entry/http://sam.zoy.org/pwntcha/)』

　フォントサイズが絶対サイズ固定なのは、視覚障害者への配慮が足りないのでは

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-23 Googleは視聴覚障害者に配慮していない（http://d.hatena.ne.jp/LucaLuca/20050823）を修正・加筆し移転したものです。

Posted by Luca at 10:13 │ │

2005年10月10日 - Zotobワーム作者逮捕とマルウェアの商業化

Zotobワームとマルウェア作者の抗争

　MS05-039の脆弱性を利用したウイルスが、多数出現しているようなんですが。
　「プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)（Microsoft）」

　IT Mediaによれば、ウイルス作者のグループ間でなにか争いが生じているらしい。
　なんか仁義なき戦いの様相を呈しております。

　IRCBotとBozoriのグループは、対抗グループのマルウェアを削除する機能を持っているといい、IRCBotとBozori対Zotobとそれ以外というグループ間で対立抗争が起きているようだとF-Secureは解説。これはウイルス戦争ではなく、ボット戦争だと指摘している。
Windows脆弱性悪用ワーム間で対立抗争の様相（IT Media）

　知人のブログによれば、greetz（ウイルス作者が残すメッセージ）により互いを非難しあっているらしく。うーん、ゴタゴタですね。
　で、このZotob作者は他のグループに個人情報を握られていたようなんですが。そのためか結局、Zotobワームの作者はあっけなく逮捕されたそうです。
　どなたが通報したんでしょうかね。

　米Microsoftは8月26日、Zotobなどのワーム作成に関わったと見られる人物数人が、トルコで逮捕されたと発表した。Microsoftは米連邦捜査局（FBI）や米国外の捜査当局と協力し、技術面から捜査の支援に当たったとして成果を強調している。
Zotobワーム作成の容疑者、トルコで逮捕（IT Media）

マルウェアの商業化と利権争い

　このワームの作者達は、クレジットカード関連の詐欺グループと関わりがあったようなんだけど。このようなワームの製作に多額の報酬を支払い依頼する方が居るんですね。
　Botnetなどはスパムメール送信業者が直接作り上げたりまたは金銭を支払い借りたりするとの事なんですが。
　「「スパム送信用“ボットネット”のレンタル料は1時間で300ドル」（IT Pro）」などの記事では、このようなクライムウェアとしてのマルウェアについて、レンタル業を営む方の存在が指摘されております。
　愉快犯的犯行や政治的な理由ではなく、このような金銭目的にてマルウェアが利用される時代なんでしょう。

　26日(米国時間)に米連邦捜査局(FBI)のサイバー犯罪捜査担当の副責任者、ルイス・M・リーゲル氏が発表したところによると、ファリッド・エッセバー容疑者(18歳)はモロッコで、アティラ・エキシ容疑者(21歳)はトルコで、25日に身柄を拘束されたという。
　エッセバー容疑者は米マイクロソフト社製オペレーティング・システム(OS)で動いているコンピューターを攻撃するコードを書き、エキシ容疑者はエッセバー容疑者に報酬を支払ったと、リーゲル氏は語った。
ウィンドウズ2000を狙うワーム『ゾトブ』の作者2人を逮捕（WIRED NEWS）

　FBIの関係者は米国時間30日、21歳のトルコ人で「Coder」のニックネームを持つAtilla Ekiciが、トルコのクレジットカード詐欺団のメンバーと関係している可能性があることを明らかにした。Ekiciともう1人の容疑者は、先々週に全世界の企業の業務を混乱させたZotobワームを含む、複数のコンピュータワームを感染させた疑いで先週逮捕された。
　クレジットカード詐欺団との関連が疑われていることから、ZotobとMytobの両ワームの攻撃は金銭目的であった可能性が高まっている。FBIは先週、Essebarがこれらのワームを作成してEkiciに売却したと考えていることを明らかにした。
Zotobワームの容疑者、クレジットカード詐欺団に関与（CNET Japan）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-27 Zotobワーム作者逮捕（http://d.hatena.ne.jp/LucaLuca/20050827#p1）を修正・加筆し移転したものです。

Posted by Luca at 09:14 │ │

2005年10月09日 - 子供のためのセキュリティ対策

子供向けセキュリティ対策情報サイト

　最近ずっと子供向けのセキュリティ対策に興味があり、どなたかに紹介し役立ててもらえるようなサイトを探していたんですが。
　All About Japanに「子供のためのPC・ネット学習」なるカテゴリーがあるのを発見。リンク集の「ネチケット・ネット利用のルール」を開き、と。

　「インターネットを利用する子供のためのルールとマナー」、これは大変いい感じじゃないですか。
　説明がやや長いのが難と言えばそうなんだけど。
　細かいポイントをうまーく説明し、素晴らしい。
　マルウェアなりウイルスについての話はほぼ無いんですが、その他の部分でこれだけ十分な内容のサイトは、初めて見つけました。
　どちらかと言えば、中学生程度をターゲットにしたサイトのようです。皆さんも一度お子さんと一緒に読んでみてはいかがでしょうか。

真偽を確認する必要

　よく目にする問題なんですが。
　Webサイト上にて見つけた誰かの意見なり「その方なりの事実」が正しいのかどうかなんて、確かな事は言えないものだし。また明らかに虚偽の内容を含むサイトを散見します。そのようなサイトもあるものなので、「まず疑え」じゃないけど複数のソースから確認する姿勢は大切なように思われます。

6.1 内容（ないよう）はかならず自分で確認（かくにん）してから
　WWWのページに書いてあったことは「ぜったいに正しい」とはかぎりません。まちがっているかもしれないし、まちがっていなくても、1年も2年も前のものかもしれません。１つのページだけでなく、いくつかちがうページとくらべてみたり、図書館にいってさらにくわしくしらべてみたりするとよいでしょう。
インターネットを利用する子供のためのルールとマナー

メアドは晒すべき？

　メールアドレスをあちらこちらに書けば、ネットストーカーのリスクも増え、またスパム用メールアドレス収集ボットに拾われてスパムメールがバンバンと届くようになりそうな。
　捨てアド作って常用しよう！とは書きづらいんですが。
　「責任を持って」なる趣旨であっても、そうそうメアドはあちこちには書きづらいものがありますね。

3.イーメールのアドレスはきちんと書こう！
　自分の意見や作品を発表したら、イーメールのアドレス（あて先）をきちんと書いておきましょう。ちゃんと返事をもらったり、ほかの人と意見をやり取りできるように責任（せきにん）を持ってインターネットに参加（さんか）しましょう。

5.名前や住所、電話番号、パスワードを聞かれても教えてはダメ
　道で知らない人に名前や住所を教えてはいけないのと同じです。
インターネットのあいうえお

親が子を指導するために

　自分としては、多くの親御さんにとっては、子供にこのような問題を指導するのは難しい（と言うかほぼ無理）なのではと考えております。
　それらに対応するには単に「パソコン使える」だけではなく、ネット上に存在する悪意なりテクニックを知り、さらに人生の機微や経験のようなものも必要に思われるのです。

　このブログを閲覧している方々ならば、そのような指導は楽々とこなせるでしょう。しかし現実には多くの大人は、どのような脅威があるものなのかを十分には把握しきれておりません。
　あと一歩、何かが不足しているように思われるのです。

　子供への指導を十分に行うためには、親が常に最新のインシデントに関わる情報を取り入れる必要があり。またパソコンそのものへの習熟度なり興味の方向性がある程度一致していなければなりません。
　例として親御さん自身が利用した経験が無いネトゲやチャットまたはどんどん誕生する新たなネット利用の場（mixiなど）にて、誰かとの付き合い方やマナー、そしてどのような罠が潜むのかを十分に子供に指導できるでしょうか。

　そのようなものを補完する目的にて、親と子供が一緒になり、第三者よりのアドバイスなり講習会のようなものを受けられたりすれば良いのにな、などと考えてます。
　今時は小学校などでも、そのような指導は行ってはいるようなんですが。やはり学校なり他人任せではなく、家庭内でそれらを話し合えるような土壌があれば、と。

　移転前のブログにて、あぴ♪さんよりご意見をいただきまして、じっくりと考えさせられました。
　本人の許諾を得た上で一部を転載いたします。

あぴ♪ Wrote:
ご紹介のルールとマナーの内容についても大変良く出来た文章だと思いますし、良いサイトだと感じましたが、これでは効果が薄いと思っています。
なぜならば、子供が自発的に喜んで読むとは考えにくいからです。

パソコンを購入したら先ず接続!ではなく、先ずセキュリティ。の常識を持てるようにするには。。という部分で最近とても悩んでいます。今後の業界の進化を待つしか仕方ないのかも知れませんが、交通事故同様、やはり個人の意識の問題が多くを占め、仮に車検的法律が存在しても自分だけは大丈夫。の意識は体に痛みが伴うわけではないからより深刻になりそうです。
では、どうすれば。という点について少なくとも、初心者に対してセキュリティについて呼びかける場合のポイントとして
１）PC購入時の簡単な接続方法についての解説のイメージ以上に分り易い画面なり、印象でなければならない。詳しく長い文章を読める人なら既に対策している可能性が高いからです。
２）ゲームや物語のように面白く、一回に得る情報量は少なく。6歳児くらいから大人までが興味の持てる、例えば「ばば抜き」や「しりとり」のような広く多くの人間が興味を持って楽しめる手段が実現できたらなぁ。。というように思っています。
しなければならない。ではなく、したい（知りたい）意識を導くものでなければ、浸透は難しいと思います。

>三者が協調してこのような問題に取り組めないものかと考えてます。
　企業や行政からの働きかけが最も迅速かつ効果的だと思われるのですが、それらを動かすのもまた世論の影響であったり。

　あぴ♪さんよりはこの他にも、メーカーは初心者へもっと積極的にアプローチし指導していくべきであるとの趣旨のコメントを頂いておりますが。この場で全て紹介するのは冗長となりますので割愛させていただきます。

　子供とスパイウェア、個人情報

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-08-27 子供向けの良サイトを発見しました（http://d.hatena.ne.jp/LucaLuca/20050827）を修正・加筆し移転したものです。

Posted by Luca at 09:54 │ │

2005年10月08日 - 子供とスパイウェア、個人情報

　先日雑談目的で行ったBBSにて、興味深い投稿があった。投稿者は未成年でかなり若いらしいのだが、連休中にスパイウェアに感染しパソコンをアダルト仕様にされ、エロいポップアップ広告が出て・エロいブックマーク満載にされ、それが親にばれて殴られたとの話だ。
　厳密にこの投稿中の「スパイウェア」を論じれば、これはスパイウェアとその他のマルウェア（アドウェアやブラウザハイジャッカーなどを混同しているのだが、その点については説明は省く。
　（いきなり子供に暴力を振るうのはどうかと思われるのだが。今回の論点はそのような問題ではない）

健全に見えるサイトからの感染例

　スパイウェアやブラウザハイジャッカー、アドウェアに感染し、その結果としてアダルトサイトへInternet Explorerの起動時に毎回強制的に接続させられたり、卑猥なポップアップ広告が表示される事例は、ここ数年で急増している。
　これらの主な感染源は、3年ほど前まではほとんどはアダルトサイトであったように記憶している。そのためかつては「感染した=成人向けサイトを閲覧した罰だ」と言われたものだ。だから感染したとしても誰にも相談できず、泣き寝入りするかネット上の他人に質問掲示板にて相談するしかなかったようだ。誰だってリアルな知人に白い目で見られたくはないものだから。
　確かに成人向けコンテンツやその他違法・非合法な情報が全く無いサイトを閲覧していた場合であっても、何かのマルウェアに感染させられる例はあるものだ。しかしながらどうも、このような例は日本国内では少ないようだ。
　プライスロトで使われた後に流行したEXCEPTION（Trojan.JS.Offensive）などにより、第三者による改竄やサイト管理人が意図しない形で危険なコードを含むhtmlをアップロードした例はあるが。所謂「感染元」となるサイトが普通の問題がないサイトを装った例を、Lucaさんはほとんど知らない。

　しかし最近は、成人向けコンテンツを全く含まない掲示板やブログを利用していたユーザーが、このようなマルウェアに感染する事例が急増している。これらは他のサイトへ自動書き込みツールを用いて（またはバイトを雇って手動で）、罠が満載のサイトのURI（リンク）を貼り付けて、何気なくそれを開いたユーザーのパソコンに感染させる手法だ。自分が参加するコミュニティに書かれた投稿で紹介されたサイトを疑う事もなく開いて感染、である。
（アダルト情報を交換するような場では扇情的なコメントで興味をそそらせるものが多いようだが、そのような騙しの手法については、別の機会に紹介する）

子供を狙うスパイウェア

　海外の話だが、一般的な情報を扱うサイトを閲覧しただけでもマルウェアに感染する例を調査したレポートがある。
　記事中で特筆しているように、悪質な騙しサイトが子供向けサイトを装って存在しているのは驚くべきことだ。
　拙い和訳で申し訳ないのだが、じっくりと読んでいただきたい。

　それにも増して一層心配なのは、子供向けのサイトが、閲覧者にブラウジングの習慣を追跡しサードパーティに機密性が高い情報を伝達できるコードがある点では、もっとも悪かったと研究で明らかになった点だ。
　セキュリティ対策企業のSymantecは、tracking bugs（トラッキングクッキーなど、ユーザーのブラウジングの利用様態を把握する目的のもの）がどれだけピックアップされるのかをモニターするために、Windows XP SP2を新規インストールしたばかりのパソコンを使って、1時間かけてよく知られているスポーツ・子供向け・ゲーム（オンラインカジノか？）・ニュース・リセラー・ショッピング・旅行のサイトをサーフ（ブラウジング）した。
　子供向けウェブサイトでは、ブラウザ（Internet Explorerなど）の設定を変えてポルノのポップアップ広告を作成できるような359のアドウェア・3つのブラウザハイジャッカーがあり、最も悪い結果であった。
　驚くことではないが、ゲームサイト（オンラインカジノ？）は高い件数でアドウェア・スパイウェア・ブラウザハイジャッカーを伴い、そして旅行サイトがそれに近い件数で続いた。
Kids’ websites worst for adware and browser hijackers（Luca訳）

　同様に、子供をターゲッティングした悪質な業者の話を見つけた。米国のFTCが子供の個人情報を収集する業者に対するコメントを求めていると紹介した記事である。

　最近我々はBen Edelmanがそこらかしこで記したように、アドウェアをインストールし子供に対して商品の販売促進をしているサイトの事例を幾つか見た。
　Wayne Porterは「子供達は拘束力がある契約書に書名できるのか？」と問う。（原文中のkontractsはcontractsの誤記と思われた）
　極めて興味深いのだが、FTC（Federal Trade Commission：連邦取引委員会）は現在、子供達のオンラインプライバシールールに関するコメントを要請している。
　連邦取引委員会は親の同意を得るに当たっての、COPPA法（児童オンラインプライバシー保護法）において欠落している（子供への）アプローチ方法に関するコメントを募集しており、それは子供から集めた情報をどのように利用されるべきなのかを考慮に入れるだろう。
Kids’ websites worst for adware and browser hijackers（Luca訳）

　COPPAについての解説は、ウォッチファイアさんのこの記事をみてもらいたい。これに限らず多くの有用な情報がある優良サイトなので、時間があればサイト全体をゆっくり閲覧してもらいたい。

　児童オンラインプライバシー保護法 (COPPA) は、13 才未満の子供から個人情報をオンラインで収集、利用する場合の保護規定を連邦取引委員会 (FTC) が発行し実施するための法律です。
　この法律の目的は、子供から個人情報を収集、利用する際には事前に親の同意を得ることなどを義務付けることにあります。
　「児童オンラインプライバシー保護法 (COPPA)・（ウォッチファイア）~~（http://www.watchfire.com/jp/legislation/coppa.asp）~~」

　WikiPediaにおいても、このような子供を狙った騙しの文言が紹介されている。

　ある典型的な、子供をターゲットにしているスパイウェアプログラムは、以下のような謳い文句で自分をインストールするように誘っている。
　このソフトはあなたの友人ないし親友として、あなたと一緒にインターネットを探索します！あなたのどの友人とも違い、話したり、歩いたり、冗談を言ったり、閲覧したり、検索したり、eメールを送ったり、ダウンロードしたりすることができます！好きな製品の値段を比べ、お金を貯めることさえできます！その上、タダなのです！
スパイウェア - Wikipedia

子供を狙う理由

　どうもよくわからない部分なのだが。子供を狙うのは、どのような理由に基づくものなのだろうか。
　単純に感染者を増やす目的であるならば、これは相応に効果的である。何しろ子供は十分な判断力が無く、何かあった場合に適切な対応ができないのだから、そのような層を狙ってアタックするのはとりあえずは有効なターゲッティングである。
　アフィリエイト業者が契約したサイトのアクセス数を増加させる目的で、騙しリンクを貼りまくるとか。これであれば「見かけ上の宣伝成功率？」がアップするので、悪質なアフィリエイトプログラムは成功するやもしれない。
　実際に海外のマルウェア感染例にて、ブラウザハイジャッカーにより強制的に閲覧させられる先のサイトは実は全くの無罪であり、アフォリエイト業者とその宣伝手法等について知らずに契約したらば、その宣伝業者が悪質なトラップを含むサイトを用いてアクセス数を増やしていた可能性があるとの報告例があるのだが。情報の確度が高くないので、この場では紹介しないでおく。
　しかしこれは、「旨みが無い」。
　アクセス数が増えたとしても、実際の商品の購買に繋がらなければ、ありがたみが無いのだ。

　それともこれらの子供向け悪質サイトは、本当の狙いは子供のネット利用履歴やその動向なのだろうか。
　世の中にはWeb製作代行を業務とする業者が多数存在するのだが、ターゲットとする年代・性別・職業・そして場合によっては思想的背景を絞ってSEO（Search Engine Optimizer：検索エンジン最適化）やSEM（Search Engine Marketing）をアクセス数アップのためにやってくれる業者も居ると言う。これらが子供向けサイト作りのための参考資料を収集しようとしているのだろうか。
　また子供向けの製品を販売している企業では、製品のマーケティング目的で子供の個人情報などは必須に思われる。
　子供にはそれほどの購買力が無いとしても、それほど高額でない商品であれば、相応に高価はあるのだろう。
　また親や親戚などは十分な金銭を持っているのだから、子供へのプレゼント商戦ではある程度の高額な商品の購入を促すのは有用である。

　また今回紹介した海外の記事では、子供の個人情報そのものがターゲットであるように書かれていたのだが。
　感染の経路は子供、そしてターゲットは他の家族（例えば親や年上の兄弟）である可能性もある。
　つまり感染させるのは無警戒でネットの経験が浅い子供経由として。そして家族共用で使っているパソコンにしつこいアドウェア（Adware）やスパイウェア（Spyware）をインストールした後は、他の家族の個人情報やネットのブラウジング履歴を狙ったり。
　またアドウェアによりいかがわしい商品を薦めるには、子供よりは実際に購買力がある他の家族に閲覧させるのが効果的である。

子供を守るためにできる事・やらねばならない事

　冒頭で紹介した、子供がアダルトサイトか何かを見たから感染したと思い込んでいきなり殴るのは、論外なのだが。
　親は子供が何かの問題に直面した場合に、適切なアドバイスや対応ができるよう、常日頃から備えをするのが望ましい。
（しかし当座の問題として、親よりも子供の方がネット慣れしているような家庭も多かったりはするのだが）

　大体マルウェアの感染なんて異常事態において、適切に振舞える「大人」なんてそれほど多くは無いものだ。

旧ブログへのコメントより

　lessonさんのコメントによれば、子供向けの壁紙・スクリーンセーバー配布サイトを装い騙すサイトが存在するらしい。人気のあるアニメ番組のキャラクターなどで誘いこむようだ。

　またあぴ♪さんよりは、大変示唆に富むコメントをいただきましたので転載。
　家庭内にてどのように子供を指導していくのか、これは大変難しい課題ですね。

基本的にネットに対する自己防衛を指導出来ておらず、親の認識も甘い環境では、ターゲットになるのも当然だと思われます。又、子供向けのセキュリティに関する情報サイトはあまりにも面白みに欠け、自発的に読み切る子供は少ないと思いますし・・・。

　子供のためのセキュリティ対策
　スパイウェア（Spyware）対策と駆除
　スパイウェア（Spyware）の解説と定義、概論

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-05-22 子供を狙うスパイウェアの影と個人情報保護（http://d.hatena.ne.jp/LucaLuca/20050522）を修正・加筆し移転したものです。

Posted by Luca at 09:01 │ │

2005年10月07日 - 無断引用を晒された有名サイト、「C」

「C」とは

　「C」なるサイトがある。ここはウイルスやスパイウェアなどのマルウェアや、エンドユーザー向けセキュリティ対策を扱うサイトとして、現在日本では最も有名でそして充実したサイトである。
　サイトの内容は詳細であり、セキュリティ対策ツールの解説も（数は）充実している。Yahooにも掲載されており、極めて短期間でメジャーになったサイトである。

　実はこの「C」、ジオにあった頃より何度か足を運んで観察していました（笑

　去年の夏頃には初心者が初心者向けに作っているような（お世辞にも褒められる内容ではなかった）印象のこの「C」、ドメインを取得した直後からいきなり大変身で。ウェブデザイン的にもいきなり数レベルもアップし、スタイルシートをバリバリと使いこなし、いきなり良サイトの予感が漂いました。

　ただどうも、その内容に不審さは当時からありまして。ウイルス関連のページではどうもアンチウイルスソフトメーカーのホワイトペーパーの内容とほとんど同一のものであるし、ツールの紹介と言っても、実際はただ単に画面をキャプチャするだけでどのようなソフトなのか詳しい言及は全く無いし。そして大体、どのようなソフトなのかまたその操作を、管理人自身があまり理解していなかった（笑

　リニューアル直後あたりにあまりにも「どうかなぁ」と思ったのはですね。第三者の再配布が認められているソフト（HijackThisなど）を、作者や大本の配布元を紹介もせず掲載しているのが引っかかりまして。「お前が作ったのか、おいおい」と思いましたよ、はい。

悪質な無断転載を指摘され晒された「C」

　Webサイト評論（2005-4-4、消失しました）と言う、毛色が変わったサイトがあります。ここはWindowsやネットワークセキュリティを扱うサイトを評論の名目でバッタバッタと切り捨てる、眺めるには面白いサイトで。
　有名なサイトであっても、ここで評論されたらばボロボロですねー（笑
　自分としてはWinFAQがB評価なのはどうも納得がいかないんですが、「あー！わかるわかる！」のような感じで、割と楽しめる内容です。
（自分のブログがあそこで赤裸々に評論されたら嫌だな、とは思うよ。本当に。）

　ここに問題の「C」についての言及がありまして。
　「C」に言及する内容がなかなか興味深かったのです。
　ここでは「C」のウイルス概要,種類がメーカーのページをそのまま書き写しただけだと指摘しているのだよ。
　いや、何と言うか。前々から「C」の内容に不審さは感じていたけど。ここまでバッサリやられるのを見れば、同情を感じます。

「C」の無断引用癖の解消（改心？）について、激しく応援する（と言うか、当時はしてた）

　ちなみにWebサイト評論で晒された後、「C」はサイトリニューアルしたんですが。その際にあちらこちらを全面的に改修し文章の言い回しなどを書き換えたようだ。
　これまで「引用元」「参考としたサイト」を全く掲載せずに無断引用（盗用）してたにも関わらず、ちゃんと書いてるし（笑

全ての引用が悪いとは言わないんだが

　もしも他のサイトなり書籍に優れた内容があったならば、自分でじっくり考察を加えて書き直したり、また紹介したいと考えるのは、悪い事ではない。そのような切磋琢磨が無ければ、技術などは進歩しないだろう。
　そして技術面に関する話であれば、大体の話は極めれば極めるほど同じような内容になるだろう。、どこからかの転載を元にしたとしても、またオリジナルであったとしても、Microsoftのサポート技術情報を元にしたとしても、結論は似たようなものに限られるのだから。

　しかしこのWebサイト評論で晒された「C」の無断引用は、盗用と言われてもおかしくない丸写しだった。またその他のページにおいても、その引用元を明記した例は最近まで皆無であった。
　「C」はWebデザイン的には優れたサイトである。そして管理人が他人のサイトの内容を取り纏める能力は、相応に高いように思われる。今後の活動に期待する。

　しかしこのような無断引用による優良サイト作り、やりようによっては簡単だな。

まずWebデザインを勉強する。
次に何か適当なテーマを選んで、Google検索をして、その分野に詳しいサイトを探す。
それらの内容をうまくつぎはぎし、自分の考えなり経験のように装って、サイトを作成。
これで「ヘラブナ釣り教室」でも「都内レンガ建築めぐり」でも、どれでも好きな分野で応用、と。

Webサイト批評さんのサイト消失について（2005年4月4日）

　「C」が無断引用（盗用）を繰り返していると指摘していたWebサイト批評さんを、昨日紹介したんですが。
　翌4月4日、Webサイト批評さんは消失し、お星様になってしまいました。
　これは管理人自身による削除なのか、それともジオによる強権発動なのか、それは判然としませんが。
　このようなタイミングでの出来事であり、幾許か責任を感じています。

「C」管理人からはてな運営者を通じた抗議

　はてな経由で削除依頼が来たんですが。はてなへはこのように連絡しました。

1）タイトルの変更
「**悪質な無断転載を指摘され晒されたC」に変更
2）本文中のサイト名を匿名とし、「C」とする。
併せてこの著作件侵害サイトの名称を特定できるリンクのアンカータグを削除する。
3）コメントについては、別に利用規約なりに反してるとは思えず。
はてなと協議の上で相談したいのだが、これについてのはてなよりの返信が無いので、書き込んだ方に連絡を取り許諾を得た上で自主的に削除。

　とりあえずは、そのように対応しました。

トロイ・トロイの木馬とは

トロイ（Trojan）とボット（Bot）

トロイ被害の実態は水面下

関連記事

ブラウザヘルパーオブジェクト（BHO）

ブラウザハイジャッカー（Browser Hijacker）

ホームページハイジャッカー（Homepage Hijacker）

サーチハイジャッカー（Search hijacker）

関連記事

ルートキット（Rootkit）の解説

WindowsのRootkit（ルートキット）感染

Rootkitの検出と対策

WindowsのRootkit被害の現状

MacOSのRootkit

関連記事

ラバースパイは人生の悲哀

htmlメールのテキスト化

インチキ・詐欺的なセキュリティ対策・ウイルス対策・スパイウェア対策ソフトウェア配布の現状（2006年11月）

日本人を対象とした騙し・詐欺的警告の誕生

検索エンジンの広告に潜む、インチキソフトウェア

他のマルウェア経由による導入

Bogus Ware・Bogus Anti-Spyware Soft・Bogus Spyware Removal Soft・Rogue Ware

Bogus Ware・Rogue Wareか否か

スパイウェア対策ソフトの評価

リスクが低い脅威をどう扱うのか - Alexa検出

Windowsの無害なファイルをマルウェアとして検出する例

検出対象となるファイルをわざわざ自分で作る悪質ソフト

関連記事

更新履歴

ランサムウェア（Ransomware）とは？

ランサムウェアと脅迫的マーケティングの現状（2006年5月2日追記事項）

虚偽の警告を表示し、ユーザーにいかがわしいソフトウェアを導入させる手口

存在しないマルウェアを検出・または自作自演で検出対象を作成する

ランサムウェア（Ransomware）と広告業界

関連記事

マルウェア（Malware）の定義

マルウェア（Malware）の私的分類

ユーザーに危害を与える目的のもの - マルウェア

危害を与える目的ではないもの

分類にあたっての視点が異なる定義

移転前のブログへのコメントより

出会い系スパムの運営者の名前

出会い系スパムの、女性プロフの名前

ふと、いいアイディアが思いた！

関連記事

スプログ（splog）なるスパムブログ

猥褻な内容を含むブログは、本当に個人が運用しているのか

関連記事

謝辞

関連記事

Zotobワームとマルウェア作者の抗争

マルウェアの商業化と利権争い

子供向けセキュリティ対策情報サイト

真偽を確認する必要

メアドは晒すべき？

親が子を指導するために

関連記事

健全に見えるサイトからの感染例

子供を狙うスパイウェア

子供を狙う理由

子供を守るためにできる事・やらねばならない事

旧ブログへのコメントより

関連記事

「C」とは

悪質な無断転載を指摘され晒された「C」

「C」の無断引用癖の解消（改心？）について、激しく応援する（と言うか、当時はしてた）

全ての引用が悪いとは言わないんだが

Webサイト批評さんのサイト消失について（2005年4月4日）

「C」管理人からはてな運営者を通じた抗議

今更なが�