Semplice

　土曜の午後に海外サイトで調べ物をしていたらば、何かに感染していると警告する騙しサイトを発見した。ありきたりな話だが、折角なので紹介する。

虚偽の感染警告をちらつかせるサイトの概要

　テスト機はWindows XP SP2英語版。PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）で利用したVirtual PCのゲストOSであり、マルウェア・ウイルスの感染実験（Semplice）に基づき設定し、念のためdetemp、tmpファイルなどを削除しておいたものである。
　Internet Explorerの「Home page（起動したらば表示されるページ）はabout blankである。

　これを起動し、Internet Explorerのアドレス欄にhttp://www.systemupdates.net/を直接入力して、Enterキーを押して、と。
　まずは画像を見てもらいたい。

（*クリックで拡大）
　「WARNING! Spyware detected.」の項目が大変素晴らしく、笑いをこらえるのが大変だった。「Attention! Your sytem is under control of remote computer with IP address 227.4.167.118. The remote computer has access to the following folder on your PC: 」
　また「Your IP address: 」の項目には、こちらのIPアドレスが掲載されていた。
　。。。。。。なんて低レベルな騙しサイトなんだろうか。
　閲覧者のIPアドレスやブラウザのバージョンなどの環境変数を取得し、それを表示させて閲覧者を驚かせるつもりらしい。

　「Your private info is collected by W32.Sinnaka.A@mm」、つまり「あなたの個人情報はW32.Sinnaka.A@mmにより収集されています」なのだそうだ。このウイルスに感染していると虚偽のレポートを表示し、これで不安を感じさせて怪しいソフトウェアをインストールさせるつもりだったのだな。
　ちなみにこのW32.Sinnaka.A@mm（Symantec）には、もちろん感染はしていない。
　（どうせならば著名なスパイウェアの名称をちらつかせれば良かったのになぁ）
　ブラウザで閲覧しただけでこれを検出できたならば大変素晴らしいテクノロジーですね！！！感動しました！！！！（笑

　Pest TrapのFree Downloadはリンク先はhttp://www.pesttrap.com/install.php?advid=（3桁の数字）&s=0&lix=2。こちらはインストール時にエラーが出て導入できなかった。
　MalwareWipeのFree Downloadはリンク先はhttp://malwarewipe.com/download.php?rid=（3桁の数字）。これはMcAFEE社よりAdware-Malwarewipe（McAFEE）として扱われる怪しい製品だ。

2006年4月7日追記事項
　More security hijack sites...（Sunbelt Blog）にて同一の不審サイト（http://yoursecuritysystem.com/）が紹介されていた。これは今回紹介したhttp://www.systemupdates.net/とドメインこそ違えど瓜二つだ。

　なおこれらの不審サイトは、Zlobに感染したパソコンにて表示される場合がある点を追記しておく。

MalwareWipeを導入する

MalwareWipeを簡単にテストする

　今回供試したMalware Wipeのインストーラーは、このようなものである。



　インストール終了、デスクトップに画像ができた。

　おや？これはSpyAxeとほぼ同様の外観だ。どうやらSpyAxeファミリーなのだろう。
　
（*クリックで拡大）

　UpdateしたらばVigilのログにwww.MalwareWipe.comへのトラフィックがあったのだが、個人情報の流出などは確認できなかった。

　「Select folders you want to scan」にてCドライブにチェックを入れて、Full System Scanを実行。
　スキャンは数秒で終了し、何も検出されない。
　。。。。。。つまらないなぁ。ここで何か存在しないマルウェア（Malware）が検出されたらば、インチキソフト（Bogus ware）として扱えたんだけど。

MalwareWipeはアドウェアを検出できるのか？

　さて、MalwareWipeがセキュリティ対策ソフトであるならば（もしくはそう装っているだけならば）、アドウェアか何か検出できるのかが気になるのだ。

　Alexa Toolbar（http://www.alexa.com/）とHotBar（http://www.hotbar.com/）、CnsMin（http://www.3721.com/）を導入し、MalwareWipeがこれを検出するかどうかを試してみよう。
　おや？3721.comのCnsMinのインストールに失敗した。どうしたんだろう。
　気をとりなおしスキャン、と。しかしAlexa ToolbarとHotBarは検出できなかった。
　そう言えばSpyAxeはCnsMinは検出したが、Alexa Toolbarは検出しなかったな（SpyAxeとZlob）。

2006年4月1日追記
　Precision TimeのAd-Support無料版（http://www.precision-time.com/）はClaria Corporation（旧称：Gator Corporation）のGainが入っている。これを検出できるだろうか。
　これは他のマシンより予めダウンロードし準備しておいたインストーラーではなく、Rrecision TimeのサイトよりInternet Explorer経由で導入させた。

　さて、Malware WipeはGAINを検出できるのか（笑
　。。。。。。。。検出できたよ、うーむ。

MalwareWipeをアンインストールする

　まず画面右下のタスクトレイより、MalwareWipeを停止させる。

　次に、スタートメニューのUninstall MalwareWipe 4.0よりアンインストールを試みる。


　C:\Program Files\MalwareWipeフォルダにmalwarewipe.iniというファイルが残るのを除けば、残存するファイルは無いようだ。
　（アンインストール操作前にMalwareWipeを停止していなければ、exeファイルが残るので注意してもらいたい）
　レジストリはどうだろうか。
　HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\ CLSID\ {A5C70510-5A01-B2A5-CF84-D6DC13859967}関連を除けば、ゴミは残っていないようだ。

MalwareWipeの日本語サイト

　プライバシー政策（MalwareWipe）（http://malwarewipe.com/privacy.php?lang=jp）を眺め、他人事ながらもう少しまともな日本語にしたらばと。

Conclusion

• 何にも感染していないのにW32.Sinnaka.A@mmに感染していると警告し、Pest TrapとMalwareWipeの導入を促すサイトを発見した。
  
• MalwareWipeはSpyAxeの外観をやや変更しただけのソフトウェアと考えられる。
  
• MalwareWipeは今回テストした2種のアドウェアを、スキャンにて検出できなかったが、GAINを検出できた。
  
• 存在しないマルウェアをレポートするような活動は行わなかったため、ここではBogus Wareとしては言い切れなかった。
  
• MalwareWipeのアンインストールは正常に成功した。
  
• 今回はMalwareWipeをインストールさせるダウンローダー系マルウェアを介さず、直接http://malwarewipe.com/よりダウンロードした。これを勝手に導入された事例であるならば、アンチウイルスソフトでスキャンしダウンローダーを発見・駆除する必要があるだろう。
  

関連記事

　SpyAxeとZlob
  

　世の中にはマルウェア、つまりウイルスやスパイウェアやアドウェアをわざわざインストールし、その挙動を観察してレポートする方々が存在する。
　何か興味深いものを見つけたらばインストールし、その挙動を観察し被害の程度を推察・またその修復方法を探したりとかね。
　（現在アンチウイルスソフトメーカーでは、このような「実際に踏んでテスト」を自動化して行う仮想的サンドボックスを作成し、ユーザーから提出された検体をテストしているのだそうな。）

　これについて最近、アレコレと質問されたりする機会が多いんですが。。。。。どうも誤解を招いているような予感がするので、簡単に。

検証しきれない事例

仮想的な環境では活動しないマルウェアの存在

　自分はVirtual PC環境下でこの手の「感染実験」を行っている。また世の中にはVMWareを利用している方も多いようだ。
　このような環境では、活動しない・また十分な活動を行わないマルウェアも存在する点は念頭に置かなければならない（遭遇した経験は極めて稀ですが）。

　これらの問題を避けるには、実機で実際にテストする必要があるのだろう。そのような検証者は、Norton GhostやAcronis TrueImageを利用しているようだ。

ネットワークに接続するのは、微妙。

　マルウェアに感染後、ネットワークに接続しそのアップデートやまたは他のマルウェアのダウンロードが実行される場合がある。
　このようなものは、ネットワークに接続しない環境下では「正しい検証」は行えない。

　微妙な事例なんですが。マスメーリングや外部へのアタックを行うマルウェアを「検証」する過程で、他の感染者を生むような事態は倫理的に避けたいものだ。
　（アンチウイルスソフトメーカーはそのような倫理的問題を解決する目的で、これらのトラフィックを中継するシステムを構築しテストを重ねている）

発揮できない機能は、どうにもならない

　ダイヤラーに感染するようなサイトを閲覧した場合、ダイヤルアップモデムが無い機器では「No Modem!!!」などと表示されるだけだ。
　またあるソフトウェア（一例としてメッセンジャーなど）がインストールされていない環境で、これをアレコレするマルウェアに感染させたとしても、十分な機能を発揮させられないだろう。

テスト機の状態には常に注意を払わなければならない

WindowsOSのサービスパック・修正パッチの導入状況

　他所様がブラウザ経由で遭遇した感染事例を再現するのは、大変難しい。OSやInternet Explorerのパッチマネージメント、感染した時点でのInternet Explorerの設定などをそのまま再現するのは困難だ。
　後日第三者による検証を受けやすいよう、再現が容易な環境（サービスパックのみを導入し個別のパッチを導入しないなど）、また検証に際して必須なその際の状況（Internet Explorerの設定等）を明記する必要があるだろう。

　知人が先日熱く語っていた話を、許諾を受けた上で転載しよう。
　ブラウザの脆弱性を突く危険なサイトをテスト目的で閲覧したとする。所謂鑑定人とかそんな活動だ。
　不適切（つまり激甘）な環境ではExploitが実行されるので、アンチウイルスソフトによる警告が表示されるだろう。
　しかしInternet Explorerの設定が適切であればアンチウイルスソフトにより何も検出されなかったり、ブラクラの被害を受けない場合もある。一例としてJavaScriptそのものが無効・また修正パッチが導入されている設定では、これを利用したトラップには気付かない可能性がある。
　そのため「どこそこのサイトは安全」と言い切るのは、難しいのだそうだ。だから「ある環境では安全だった」との言に留めるべきなのだと。

　誤解を避ける目的で明記するが。これはあるサイトが安全か否かを判別する目的での、現在最新のパッチを導入した環境で被害を受けるか否かのレポートとは別の問題である。

「他の何かに感染中」のマシンでのテスト

　とある日本国内のユーザーグループを眺め、微妙さを感じております。
　「マルウェア育て中重症激重いPC」なる環境にて何かを新たにインストールし試すのは、どのような意味があるのだろうか？そのような環境下では本来の挙動を示すとは考えづらいし、更には複数のマルウェアによる問題を同一視してしまう可能性がある。
　そのような環境下での「感染実験」とやらに、何の意味があるんだろうか。誰か説明して下さいな。

デュアルブート環境にはご注意

　Dドライブにテスト用のOSをインストールし、これより何かに感染させた後にNorton Ghostで元通り、と。このような環境は最も手軽であるため、実際に行っている方が居りますが。

　Cドライブ中のディレクトリへの絶対パスがあるコマンドを含むバッチファイルを、DドライブのOSからテストして、何の意味があるんですかね。
　またキャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな。

　またACLのアクセス権を設定していない環境下では、Dドライブ中のOSより「感染実験」を行った場合、Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。

恣意的な結果の誘導は避けねばならない

常に正直な態度で挑むべき

　自分は実際にテストに供試したソフトウェアが、予め設定した基準に抵触しなかった場合、堂々と「インチキソフトであるとは判別できなかった」と明記している。
　意外と思われる方が多そうだけど、自分はJWordがスパイウェア（狭義の意味ね）ではないと断言している、日本のネット上では際めて少数の人間である（「JWordは過去にはブラウザハイジャッカーだった説」を採っている）。
　ただしあるソフトウェアそのものに瑕疵が無かったとしても、その配布の様態やインストールが強制的なものであった場合は、その部分について言及したとしても難は無いだろう。

　いずれにしても、自身が検証しきれなかった部分は正直に書くべきだ。望んだ結果が得られなかったとしても、それを隠蔽したりぼかしてはならない。それは正直な態度ではない。
　自身が観察できなかった部分に言及するならばせめて、外部のサイトに記載されている記事を引用元を明記した上で転載し、不備を補うべきだ。想像の産物を記述してはならない。

　各々の解釈の違いも存在するだろう、しかし明確でない尺度に基づく結論は、問題点を混同させてしまいその後の議論を妨げるだけだ。
　いかなる検証も行わずに、「見た目が怪しい」「スキャンがあっという間に終了した」とし、Hijack Thisのログ（のみ）とともに悪質なものとしてレポートするのは、避けねばならない。

定義や尺度を使い分けてはならない

　スパイウェアには広義と狭義の定義が存在する（スパイウェア（Spyware）の解説と定義、概論（Semplice））。
　断っておくが、ASC（Anti-Spyware Coalitionｍ）の「広義のスパイウェア」とは、「Spywareと他の潜在的に望ましくない技術」である。
　これらの定義の曖昧さを知りつつ、自身の都合に合わせてスパイウェアなる用語をある時は「狭義のスパイウェア」ある時は「広義のスパイウェア」の意味として、使い分けてはならない。
　供試対象とするソフトウェアについて望んだ成果が得られなかった場合には広義・得られたらば狭義の意味として使ったと言い訳するのは正直ではない。
　それならば文中にて、（個人情報の流出などの）狭義での定義に該当したのか否かを明記するべきだ。

わかる人にしかわからない話

　タレコミで本日5月4日の朝になってから気付いたんですが。

　>キャプチャした画像やアンチウイルスソフトのログの転載は、DからCに直しなさいな
　Cドライブでなければ正常に動作しない某対策ソフをDドライブにて動作させたキャプチャ画像が、表にやりとりが出ずに密かにCドライブで動作させた画像に変更されておりますが。
　このままでは、あなたに薦められ障害が発生したユーザーに対してのアカウンタビリティ（説明責任）を十分に果たしきれないのではなかろうかと。

　>またACLのアクセス権を設定していない環境下では、
　>Dドライブ中のOSより「感染実験」を行った場合、
　>Cドライブ中のファイルを汚染される可能性がある。気付きなさいな。

　指摘があったのを無視し話をガラッと入れ替え、これを自分の新ネタとして掲載し。この問題を「回答者を目指す層への啓蒙ネタ」として掲載する姿勢はおかしいんじゃないですか？
　自分は直接同じ内容を連絡した記憶があります。ネタ元はこのブログエントリでなかったと装われたとしても、私であるのは間違いないでしょう。
　「著作権とセキュリティの専門家」と名乗るならば、相応の対応をすべきではないでしょうか。

#場を貸しただけの某所の管理人を巻き込むリスクを鑑み、一部内容を編集しました（3回目）。無関係な第三者を巻き込むのは、Lucaさんが望む所ではありません。
  

Googleを活用するBogus ware配布者

　Googleより検索した際に、画面に企業の広告が表示される場合がある。これはGoogleアドワーズ広告（Google AdWords ads ）と呼ばれ、広告主が金銭を支払い特定キーワードを登録すると、そのキーワードで検索されたらば自動的に表示されるものだ。
　ここにスパイウェアやアドウェア、インチキソフト配布者・製造者が広告を掲載している事実をご存知だろうか？

Googleの広告主は、安全な・普通の・健全な企業ばかりではない

インチキソフトの広告を掲載するGoogle

　「spyware」はかなり多くの集客が見込める、メジャーキーワードである。日本だけではなく世界規模でこれは利用され、何百・何千万もの消費者がこの悪質な広告を目にするのだろう。
　そしてGoogleの広告にこのような罠が存在するなどとは、一般の消費者は全く考えていない。
　わからないって？では簡単に説明する。
　「警備会社」や「ガードマン」を検索したらば、窃盗団がGoogleに掲載させたインチキ警備会社の広告が出てきたような。

　悪質な業者がGoogleアドワーズ広告に堂々と広告を掲載し、多くのエンドユーザーにろくな効果も無い・また存在しない脅威を報告するインチキソフトを導入するよう誘導する事例は、海外ではよく報告されている。
　2年以上前より、Rogue Advertising（Spyware Warrior）とRogue-Suspect Anti-Spyware Products & Web Sites（Spyware Warrior）にてこの問題について警告している。
　最近ではNewest rogue anti-spyware installs adware from BestOffersNetwork（Spyware Warrior）（2006年3月7日）は、Googleにて「Spy Sweeper」を検索し表示されるSpy-shield.comのアドワーズ広告についてレポートしている。これはSpy-Shield Anti-Spywareなるソフトウェア配布者の広告が表示され、そのサイトはBestOffersNetworkなるアドウェアの導入を促す。この問題はAnti-spyware program installs adware from BestOffersNetwork（ZD Net BLOGS SPYWARE CONFIDENTIAL）にてもレポートされている。
　またSpyware CleanerのSecure Computer社、インチキ疑惑で訴えられる（Semplice）などだ。
　しかし不思議な事実として、日本国内ではこのような事例は全く議論されていない（せいぜいJWordぐらいか？）。

SpywareRemoverReview.comとPAL Spyware Remover

　2006年2月9日ふと思い立ち、GoogleにてSpywareのキーワードで検索したらば。「TOP 5 Spyware Removers - Compare and Download the TOP 5 Spyware & Adware Removers for Free.」なるSpywareRemoverReview.comのアドワーズ広告が表示された。


　リンク先はhttp://www.SpywareRemoversReview.com/ （以下ID）であり、そこでは存在しない脅威を警告し製品版の購入を促すBogus ware、例えばPAL Spyware Removerが配布されていた。

（*クリックで拡大）

　このSpyware Removers Reviewにて紹介されているPAL Spyware RemoverはPAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）にても紹介したBogus ware（インチキソフト）である。
　インチキなスパイウェア対策ソフト配布者が詐欺的なマーケティングとして、存在しない脅威をちらつかせ消費者に購入を強要し、訴訟の場に引きずり出された事例をこれまで幾つか紹介したのだが。
　彼らは何故、堂々とGoogleに広告を掲載する（または「掲載できる」）んだろうか？

　更には驚くべき事に、Pal Spyware RemoverをGoogle検索すれば、堂々とスポンサーとして表示される点を心に留めておいてもらいたい。
　（GoogleでのPAL Spyware Remover の検索結果）


　Pal Spyware Removeのスポンサー広告はhttp://www.palsol.com/proms/spyrem_offer/?hop=opiemarketへリダイレクトされる。
　これは大変唖然としました。Googleのスポンサーとしてソフトウェア製造者自身が堂々と広告を掲載させていた、これはどういう事だい、と。

　少なくとも自分の狭い知見では、このような業者が堂々と（第三者の再販業者・リセラー・広告代理店を装わずに）広告を掲載した事例はそれほど多くは無い。

SiteAdvisorによる、Google検索結果よりの危険広告表示

SiteAdvisorとは？スパイウェア・アドウェア対策サービス

　SiteAdvisorはSiteAdvisor社のクローラーにより多くのサイトを閲覧・審査し、またユーザーよりのフィードバックを元とし、危険なサイトか否かのデータを蓄積。このような情報を提供するサービスである。

　はなずきんさんがWinFixer配布サイトを閲覧した結果をレポートしているのを読み、初めて存在を知ったんだけど。Nuisance Score、またどのようなレジストリエントリが改変されるのかがレポートされるのは、大変面白いですね。
SiteAdvisorでWinFixerのページをチェックしてみたｗ（インフラ管理者の独り言（はなずきん＠酒好テム管理者）

　ただどうも、このSiteAdvisorを全面的に信頼しても良いのかどうか微妙さを感じた。ダウンローダー系で他の何かの「呼び水」となるようなものはどうなるのか、その点が疑問。またPack・Encryptされたインストーラーならばどうなのかしらん、と。
　また某所で公開されているhostsファイルを改変するのみの実行ファイルは、「In our tests, we found downloads on this site were free of adware, spyware, and other unwanted programs.」、つまり安全扱いされていた。hostsファイルの改変は十分過ぎるほど警戒すべきと思われますが。。。。。
　とりあえずはSiteAdvisorにより警告されたサイトには注意を払う必要があるとしても、警告されなかったサイトが安全であるとの指標にはならないだろう。

SiteAdvisorが炙りだした、Googleの危険な広告

　Benjamin Edelman氏のブログにて、Googleの広告に危険なサイトが複数掲載されていたとの趣旨の記事があったので、紹介する。
　Pushing Spyware through Search（Benjamin Edelman）（2006年1月26日）
　（Benjamin Edelman氏はマルウェア（Malware）やスパイウェア（Spyware）関連の優れた知見を、個人レベルで探求している。彼は海外では極めて著名な人物である。）

　Benjamin Edelman氏はSiteAdvisorの活用例として、screensaversをGoogle検索しその検索結果をSiteAdvisor client applicationを通した画像を掲載している。
　是非ともBenjamin氏が掲載したGoogleの検索結果画像を見てもらいたい。所謂危険サイトがGoogleの単純な検索上位サイトのみではなく、堂々とスポンサー広告に羅列しているのだ。
　（Googleのアドワーズ広告は、広告主が地域や言語を指定して登録するサービスであるため、日本語で設定したOSで日本より接続したとしても、同様の検索結果は得られない点には注意してもらいたい）

　またINTERNET Watchの青木大我氏がほぼ同様の記事を掲載していたので、転載する。

例えば、SiteAdvisorプラグインをインストールした上で、Googleで「screensavers」を検索したところ、18サイトのうち10サイトは危険度が最も高い赤のレーティングだったという。SiteAdvisorが得た統計では、レーティングが赤のサイトはWeb関連の全トラフィックのうち5％以上を占め、黄は2％を占めているとしている。
（ 青木大我 taiga@scientist.com ） 2006/3/2 17:58:00
　
見る前に危険なサイトを警告するプラグイン「SiteAdvisor」配布開始（Internet Watch）

「Stop Badware Coalition」にGoogleが参加する資格はあるのか？

　「バッドウェア」対策で新団体結成--グーグルやサンなどが参加（CNET Japan）にて掲載されている、「Stop Badware Coalition」にGoogleが参加しているのは、何のためなんでしょうか。

　新たに結成された「Stop Badware Coalition」は、最も悪質と思われる企業の名前を公開するとともに、それらの会社が営利目的で行う反倫理的なマーケティング活動や不正行為を示していくという。
　このグループには、検索エンジン大手のGoogle、PCメーカーのLenovo、Sun Microsystems、Consumer Reports誌による「WebWatch」プロジェクト、ハーバード大学ロースクールのBerkman Center for Internet & Society、そして英国のOxford Internet Instituteが参加を表明。
　「Stop Badware Coalition」では、スパイウェアやアドウェアなどの悪質なプログラムを「バッドウェア」と総称している
　「バッドウェア」対策で新団体結成--グーグルやサンなどが参加（CNET Japan）

　繰り返しになるのだが。PAL Spyware Removerは海外では有名な既知のインチキソフトであり、これをGoogle検索すればポジティブな評価を与えているサイトはほぼ皆無である。もしも有用なソフトウェアとして評価しているサイトがあったとしても、それらはいかがわしいと評価されるものばかりである。


　ここで感じた素朴な疑問。何故に2年前に報告されている事例なのに、未だGoogleは対処せずこのPAL Spyware Removerの広告を掲載し、（Googleが参加しているStop Badware Coalitionの言い回しでの）バッドウェア（Badware）の配布に協力するんだろうか。
　
　ここ数ヶ月の流れとして、FTC（米連邦取引委員会）では悪質なソフトウェアやスパイウェア製造業者が、「自分達は何も悪い事はしていない。契約していた広告代理店が勝手にやっただけだ」との言い訳を封じる目的で、思い切った積極的なアプローチを行うようだ（FTCは悪質なアドウェア・スパイウェア業者と広告代理店の企業名を晒すのか？（Semplice））。
　Googleのこのような問題は、どうなるんでしょうかね。

節操の無いGoogle

　不思議な話だが、Googleは既に商標登録されている企業名や既存のソフトウェアの名称を、第三者がアドワーズ広告のキーワードとして登録するのも可能なのだ（Googleの広告掲載と商標権侵害（Semplice）またAmazonによるGoogleアドワーズ広告は無節操（Semplice）。
　自分が違和感を強く感じた例としては、AmazonによるGoogleアドワーズ広告は無節操（Semplice）などだ。
　（Googleのアドワーズ広告については、Google の広告ソリューション（Google）を読んでもらいたい）
　自分が見聞きした限りでは、Googleではこのような企業の広告であっても平然と掲載される傾向が高い。それに対しYahoo! Japanでは、「常識の範疇を逸脱した」広告を見た記憶が全く無い。

Googleへの提案 - 悪質業者に対しGoogle八分を！

　あまりにも突飛な話を持ち出してしまうんだが、もう少し付き合っていただきたい。
　Googleはこのような悪質な業者に対する、最強の切り札を持っている。そう、Google八分だ（XREAとGoogle八分（Semplice）。
　これは特定ドメイン・ホストなどのURI単位（特定のページ単独で可能との風説も存在する）を対象とし、その検索結果表示順位を操作・または完全に葬り去り表示させない、極めてユニークな機能だ。

　米国で言論の自由なる話を扱えば、必ず権利章典 (アメリカ) - Wikipediaに掲載されている合衆国憲法修正第1条の「信教、言論、出版、集会の自由、請願権」が持ち出されるのだが。これは企業が営利活動を行う上で特定サイトの情報を排斥するのを妨げてはいないのではなかろうか。
　このような悪質なソフトウェア配布者、詐欺サイトとして扱われているサイト。これを検索結果より取り除くのは違法行為でもないし、また企業倫理に反する行為では無いのだろう（大体、Googleは既に何度もこのGoogle八分を行っている）。

　つまり、ですね。
　「広告掲載に当って、ろくな審査も行わなかった」または「何らかの情報を得ていたにも関わらず、2年以上に渡って対策を講じていなかった（かもしれない）」。この一点で、Googleは共犯者的な役割を果たしているんですよ。Googleがそれを望んでいるのか否か、それはわかりませんが。
　もしもGoogleが「Stop Badware Coalition」にて堂々とその役割を果たそうと試みるならば、悪質な業者の広告を掲載しないのも一手ですが、Google八分により消費者を保護してもバチはあたらないんではないでしょうか。

消費者ができる事は、極めて限られているらしい

　あちこちの方に意見を聞いたんですが、どうもこのような問題に対して個人レベルでできる事は、ほとんど無いようで。
　国民生活センター、IPA 独立行政法人　情報処理推進機構、JARO 社団法人日本広告審査機構の3つに通報する、その程度しかできないようです。

Acknowledge

　名前は挙げませんが、この話を掲載するに当り1ヶ月以上の間あちらこちらにご意見を伺い、様々なアドバイスをいただきました。
　この場をお借りして謝意を表します。

関連記事

　Bogus wareとRogue ware、インチキソフト
　FTCは悪質なアドウェア・スパイウェア業者と広告代理店の企業名を晒すのか？
　PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する
  

著名なインチキソフト（Bogus Ware）、PAL Spyware Remover

　PAL Spyware Removerは今より3年前に、インチキソフト（Bogus ware、Rogue ware）としてSpyware Warriorにて晒されたスパイウェア対策ソフトである。海外ではそこそこ有名なのだが、日本国内では全く無名の製品だ。
　何故にこれを今更取り上げたのかと言えば、本当にインチキならば（3年を経過した現在であっても！！！）このPAL Spyware Removerがネット上にて堂々と配布されているのはおかしいのではとの疑念である。

Spyware Warriorでの検証について

　Spyware Warriorはマルウェア対策の金字塔であり、その業績は計り知れないサイトである。
　しかしNew Rogue - Pal Spyware Remover - Don’t Try It!（Spyware Warrior）中にて紹介されているWebhelper Review: Pal spyware Remover - Don't Try or Buy! （Spyware Warrior）は、どうも十分には納得できなかったのだ。

　1. Doesn't scan registry
　2. Doesn't scan inside of compressed files
　3. Site is all ad hype without any real support.
　4. Check for update stated it was the current version
　5. Found 23 objects.
　6. The program looks only for file names that are in its database.
　Webhelper Review: Pal spyware Remover - Don't Try or Buy! （Spyware Warrior）

　（1）の「レジストリをスキャンしない」、これは多分definition databaseの貧弱さより判断されたのやもしれないが、具体的な説明が無いようだ。
　（2）の圧縮ファイルの中をスキャンしない、これは趣旨がわからず。
　（5）の「23項目が検出された」では、そのテスト機が十分にクリーンな環境だったのか否かがはっきりしない（多分間違いは無いとは思うよ、うん）。また実際に検出されたファイルが存在したのか否かについての言及を見出せなかった。

　また（6）の「データベース中にあるファイルの名称のみを見ている」、これもdefinition databaseの貧弱さに基づく判断なのだろうか。以前試したものとしてTeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎（Semplice）中にてPSGuardなるソフトウェアは、空ファイルをマルウェアが利用するファイルの名称にリネームしたらばこれを検出したのだが、そのような挙動をレポートしたのだろうか。ならば何も問題が無いカラのファイルでも作成し試すべきである。
　現在自分はこれに対する判断基準や検証の方法を定めていないので、今後の課題として検討する。

　このPAL Spyware RemoverをSempliceにて、100%インチキなスパイウェア対策ソフトであるとして扱うには、存在しないマルウェアを検出する・検出対象ファイルを自分で作成して騒ぐWinFixerのような説得力が欲しい。
　二番煎じになるのは承知の上なんですが。このPAL Spyware RemoverにてFalse Result（この場合存在しないマルウェアを検出するの意味）な結果が得られるものかを確かめてみたいのだ。
　（正直な気持ちとしてですが、3年前の検証例をそのまま紹介するにはやや古く難があるんですよ。）

PAL Spyware Removerの検証作業に供試する環境

「限りなくクリーンなWindowsOS」の準備

　今回実験に用いたのは、マルウェア・ウイルスの感染実験（Semplice）に従い設定したWindowsXP SP2英語版で、余計なソフトウェアはインストールせず・かつ問題を起こしうるものを取り除き（例としてレジストリ内Alexa）、「限りなくクリーンな環境」としたものである。これはWinFixer2005による脅迫は自作自演（Semplice）で用いたVirtualPCのゲストOSと同一のものであり、念のためdetemp、tmpファイルなどを削除しておいた。
　このような環境のWindowsOSよりマルウェアが検出されるのは、まずありえないだろう。

　今回の検証にてはVirtual PCを用いたのだが、実機でなければ十分な働きをしないマルウェアも存在するだろう。何かを見逃している可能性はここでは否定しないし、その点はご容赦願いたい。
　またマスメーリングやどこかのサイトを攻撃するような挙動を示すとは想定していないため、隔離したセグメントでの検証作業ではない。

PAL Spyware Removerの導入

　さて、いよいよ実験開始。念のためInternet Explorer経由ではなく、既にダウンロードしておいたインストーラーからインストールする。これは2006年3月13日にhttp://www.palsol.com/よりダウンロードしたものだ。

　UserNameは「paltestuser」、Organizationは空欄でセットアップ
　インストール後の表示では、Reference File: Ver 1.1 | Released: 31/03/2004、Protection against: 573 Adware typesとなっている。まず、アップデートしてみよう。

（*クリックで拡大）

　「A newer version of Spyware Remover is available!. Do you wish to get the download?」なるダイアログが出るのでYesを選択。「Adware definitions updated successfully, Please restart the application」の表示。OKを押す。
　この時点でVigilによるパケットキャプチャのログを確認。。。。。。おやぁ？テキストファイルなんですかね、シグネチャファイルは。なおシグネチャ更新のためダウンロードしていたファイルのURIは、http://www.palsol.com/products/psr//ref.datであった。

　OS再起動。
　デスクトップ上のPAL Spyware Removerの緑色のヒトデアイコンをダブルクリックして、と。


　Statusタブでは、Reference File: Ver 1.7 | Released: 20/02/2005、Protection against: 682 Adware typesとなった。1年前の日付なんですね。
　
　（*クリックで拡大）

　まずは「Full System Scan」を選択。


　スキャン終了、とりあえずは何も検出されなかった。

　（*クリックで拡大）

　「Scan completed」ダイアログの「OK」を押して、と。


　あらら。何も検出されなかったのに、妙なダイアログが。
　「Warnig! Spuware Remover has detected parasites in your PC. To remove them, you must register. To register click YES now!」
　（警告！Spyware Removerはあなたのパソコンにパラサイトを発見しました。これらを取り除くためには、あなたはレジストしなければならない。レジストするためにYesを今クリックしなさい！）


　うーん、とりあえずYES。
　Internet Explorerが起動し、「http://www.palsol.com/spywarer/order.html」が開く。

　（*クリックで拡大）

　この時点で、PAL Spyware Removerは、存在しない脅威をちらつかせ製品版の購入を強要したのは明らかだった。

多少意地悪な調査をしてみる

　C:\Program Files\PAL SPYREM\ref.datをメモ帳で開き、中身を確認。これはPAL Spyware Removerのシグネチャファイルだ。内容は単なるテキストであり、あまり意味は無いような。


　メモ帳を起動し、空のテキストファイルを作成。これを以下のファイルとしてリネームし、Cドライブ直下に放り込んだ。


　さて、またFull System Scan。。。。おぉ。この何も問題が無い、単なる空ファイルをマルウェア関連ファイルとして検出しました（netknlhm.dllは重複して検出された）。

　（*クリックで拡大）

　再三繰り返したが、Vigilによるパケットキャプチャのログには、不審なものは無い。どうやら個人情報の流出などは起きていないようだ。
　RegMonによるチェックの結果、このPAL Spyware Removerはレジストリのスキャンは行っていないようだ。これはSpyware Warriorで報告された通りだった。

おまけとして

　PAL Spyware Removerをタスクトレイより終了させなければ、スタートメニューよりのWindowsOSの再起動・シャットダウンができなくなった。

Conclusion

• 現在でもPAL Spyware Removerは、何も検出されなかったとしても感染していると表示するBogus Wareであった。
  
• しかしSpyware Warriorにてレポートされたような、存在しないマルウェアの検出は確認できなかった。何も検出されないのに騒ぐ、という不思議なソフトウェアであったのだ。
  
• 更新したものの、アップデートしたシグネチャファイルはReference File: Ver 1.7 | Released: 20/02/2005と、1年も前の日付であった。
  
• メモ帳より作成したテキストファイルを、マルウェア関連ファイルの名称にリネームしたものでさえ、PAL Syware Removerはマルウェアとして検出した。これはSpyware Warriorでの「ファイルの名称しか確かめていない」との主張を裏付けるものであった。
  

関連記事

　Bogus wareとRogue ware、インチキソフト
　ランサムウェア（Ransomware）とFUD
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか

  

言葉を失いました、はい

　日経パソコン・オンライン実力テストなるものを見つけ試したんですよ、はい。
　40問で39点、まずまずなんでしょうか（試験に際しての基本的心得としての、「怪しい・明らかに間違ったものを除く」回答法を用いた上での結果である）。

　設問と回等が明らかに微妙。
　多くの選択肢が不適切であったり情報不足、または設問そのものがおかしいのですよ。
　この問題を作成するには、相当の知識と経験が必要だとは思うし、その点では尊敬する。
　ですがね。おかしいものはおかしいと言わなければアレでしょう。

ダラダラと説明してみますが

問1　Windowsのログオンパスワードについての説明で正しいものはどれか。
　問題の趣旨としては（1）だけど、パスワードリセットディスクが無くてもパスワードはリセットできる。

問7　Windows XP Service Pack2についての説明で正しいものはどれか。
　設問そのものが無意味。

問14　ウイルス対策ソフトを常駐するとパソコンの動作が遅くなる。ウイルス対策ソフトの使用方法として正しいものはどれか。
　>（2）常に動かしておくべき
　ユーティリティソフトを利用しパーティションなどを変更する際には、アンインストール・または停止するべき。

問16　セキュリティを強化するなら、メールのプレビュー表示は避けた方がよい。その最も大きな理由はどれか。
　htmlメールはテキスト化すべき。適切な選択肢が存在しない。

問20　Webサイトのリンクをクリックしたら、ウインドウがどんどん表示されて、Windowsがハングアップしてしまった。これを防ぐ対策はあるのか。
　ブラクラ（ブラウザクラッシャー）に関する設問。正答無し。出題の意図が理解できない。

問28　プロキシー（代理）サーバーについての説明で正しいものはどれか。
　運用によっては（2）も正解となる。
　（何だか自信が無くなってきたので、取り下げます）

問30　パスワードをだれにも教えていないのに、自分のWebメールをのぞかれてしまった。犯人が用いた手段で、可能性が最も高いのはどれか。
　（2）で正解となったが、これは（1）に含まれうるし、提供するサービスによっては（3）。
　（2）は（1）と（3）に含まれるため、設問そのものが成立しない。

問32　アダルト業者などからの身に覚えのない請求メールへの対処法として正しいものはどれか。
　消費者生活センターなどに通報しましょう。
　悪質業者による不正請求と小額訴訟（Semplice）を読みましょう。

問36　ネット上に公開されているプログラムをダウンロードするときに心がけることで、正しいものはどれか。
　正答は（2）となったが、これもこのままでは問題そのものが成立しない。
　アンチウイルスソフトが最新の状態であっても、マルウェアを検出できない事例が多数あるのは周知の通りだ。
　また（2）のデジタル署名、コードサイニング署名（の意味だよね？）は「ある団体が実在するのか否か」のみを証明するだけで、それが信頼できるものなのかを証明はしない。そうは言っても一般には、「デジタル署名を確認しそれが既知の信頼できる企業や団体なのかを確認するべき」としか書き様が無い。
　模範解答は、多少なりとも不安を感じるようなソフトウェアはインストールしない。より詳しい人物に相談した上で、配布の段階で改ざんされていないかを確認、である。

　これって、さぁ。
　何をどう言ったらばいいんですかね。本当に言葉を失っております。
　以前お世話になった方が関わってる特集ぢゃなければいいなぁ、と心より祈りつつ。

関連記事

　完璧なウイルス対策なるものと、マルウェア対策の誤解
　そのときどうするウイルス感染、って
  

Googleのキーワード購入と商標権の不思議

　Googleの広告掲載と商標権侵害（Semplice）にて、Googleが特定企業やその関連キーワードを（アドワーズ広告を表示させるキーワードとして）全く無関係な第三者の広告主による利用を容認しているとの記事を紹介した。
　最近もこのような海外発の記事が紹介されている。

　ペイデーローンと呼ばれる消費者金融サービスを提供するCheck'n Goの親会社CNG Financialは、商標登録されている「check'n go」という言葉を検索語として入力すると表示される広告を他のペイデーローン業者が購入することをGoogleが認めているとして、同社をオハイオ州の連邦裁判所に提訴した。
　「Googleは（商標の）不正使用により巨額の利益を得ている」とした上で、「消費者はCheck 'n Goの競合他社のリンクをクリックする可能性があり、しかも、自分がうっかり競合企業のウェブサイトをクリックしてしまったことに気付かない恐れもある」と主張している。
　商標登録されたキーワードの販売は違法か--今度は消費者金融業者がグーグルを提訴（CNET Japan）

　事の起こりはこのような事情なのだが。

　検索大手 Google は先週、広告型検索プログラム『AdWords』における商標取り扱いに関する規定を改訂。米国およびカナダの広告主に対して、他者の商標をキーワードとして使うことを認めるようになった。
　なお、米国とカナダ以外では、キーワードでも広告テキストでも、広告主が他者の商標対象用語を使うことを認めていない。
　Google、商標取り扱い規定を変更（Japan.internet.com）

　広告掲載時にGoogle アドワーズ広告 アカウント開設の手順（Google）より日本語・また地域として日本を指定した場合は、どうなんだろうか。
　検索下手なので、現在どのような状況なのかどうもわからない。詳しい方が居たらば教えてもらいたい。

アマゾンと検索キーワードの怪

　Amazon（アマゾン）はオンラインショッピングでは大変著名な企業であり、アフィリエイト目的の広告を掲載しているブロガーも多く、その広告を目にしない日は無いと言っても過言ではない。

　ある日ふっと書籍を購入しようと考え、丸善（著名な図書販売業者）のサイトを探す目的で「丸善」のキーワードでGoogle検索を行ったのだが。
　（「丸善」のGoogle検索結果）
　Googleのアドワーズ広告に、このようなアマゾンの広告が表示された。露骨に丸善と表示するこの広告は、商標権を侵害しているのではなかろうか。
　
　また社団法人日本雑誌協会を探すために、Google検索。
　（「日本雑誌協会」のGoogle検索結果）
　
　竹書房をGoogle検索。
　（「竹書房」のGoogle検索結果）
　

　うーむ。何をどう言ったらば良いのだろうか。
　商標権とは？（特許庁）などを眺め、釈然としない気持ちとなる。
  

ウイルス作成罪成立か？

　2-3年前に話題になったウイルス作成罪、いよいよ成立になるんでしょうか。
　先ほど他所様のブログでこの記事を発見し、どうしたらば良いのか途方に暮れております。

　現在開会中の通常国会では、コンピュータ・ウイルスの作成などを処罰の対象とする刑法の改正案が審議入りを迎えようとしている。
　今回の改正案では、サイバー犯罪に関する国際協力や法律制定を定めた「サイバー犯罪条約」を国会で承認したため、対応しなければならないという点が、法案提出の直接的な理由となっている。
作成、提供は3年以下の懲役又は50万円以下の罰金
　改正案には、コンピュータ・ウイルスという言葉そのものは登場しないが、これを「不正指令電磁的記録」として位置付けている。
　「不正指令電磁的記録」の意味については後述するが、これを「人の電子計算機における実行の用に供する目的」で、「作成し、又は提供した者」は「不正指令電磁的記録等作成等の罪」に問われ、3年以下の懲役又は50万円以下の罰金に処せられる。
取得、保管は2年以下の懲役又は30万円以下の罰金
　改正案が成立すると、取得したり保管しているだけで刑務所行きになるのだから、麻薬や覚せい剤なみの扱いとなる。
　コンピュータ・ウイルスの作成や所持などが新たに処罰対象に（ITpro Watcher：IT弁護士の眼

実は、大変困っております

　正直に告白してしまいますが。Lucaさんは相当数のウイルスを所持しております、はい。ですから今後このウイルス作成罪が成立したらば、我が身はどうなるんだろうかと大変不安を感じております。
　別に他所様にご迷惑をかける目的ではなく、アンチウイルスソフトによる検出率を調査したり。またいずこかのアンチウイルスソフトにより検出できない検体をメーカーに送付したり。感染後に修復するためのアドバイスを蓄積する目的に利用しております。
　広義に解釈してしまえば、以前より何度も行っているマルウェアの感染テスト（マルウェア・ウイルスの感染実験）も、ある時点でウイルスなりスパイウェアを所持してしまうので、ダウトなんでしょうか。

　研究目的の所持は、このウイルス作成罪の所持が有罪に繋がる例には該当しないとの但し書きはありますが。
　これはアンチウイルスソフトメーカーや、どこかの研究所、大学などでの教育機関での所持・利用にその枠は制限されるのではないでしょうか。

　ネット上には（自分を含め）このようにウイルスなどを収集し、それを元に何らかのポジティブな活動を行っている個人が複数存在するのはご存知でしょう。
　彼らは単なる趣味の枠を超え。ボランティア目的、またはその活動がネット上の見知らぬ方の笑顔を生めればとの善意で活動しております。
　そして。彼らは活動を行う上でウイルスや悪質なトロイの検体を必要としており。所持または他人に迷惑をかけない範囲での感染実験などは、必須のものです。

　この法案が成立しこれが拡大解釈されますと、ネット上でウイルスなどの記事を頻繁に書いている個人や、彼らが活動しているフォーラムは、それが善意の目的で運営されているとしても大打撃を喰らう可能性があります。

個人レベルでの研究者と認定されるには

　あれこれと無い知恵を絞りましたが。。。。。。。学会？
　いっその事、セキュリティなりマルウェアを扱うような学会などに加入してしまうのはどうでしょうか。

　どーしましょうね。。。。。。。。
　どなたかお知恵を拝借願えれば幸いです。
  

　ネット上には様々な情報が溢れているし、興味がある事柄を検索エンジンで調べれば、素晴らしい記事やブログが疑問を解決するために役立つだろう、大抵の場合は。
　注意すべき点としては、それらが必ずしも正しいとは限らないという、当り前の事実だ。
　間違いを含む内容を転載し紹介したブログやニュースがあったとし、その読者がそれを鵜呑みにして、経済活動やその他に重篤な問題を引き起こしたとしたらば、誰がどう責任をとるべきなんだろうか。

引用元が掲載されていなければ判断材料が乏しくなる

　一例として、いずこかの質問掲示板にてはアンチウイルスメーカーやどこかの個人サイトの内容を丸ごと書き写し、または他の方よりのアドバイスを丸写しして回等として書き。なおかつその引用元を掲載しない方が居るのだが。
　そのような場合は、以下のような問題が生じているように主われまして。
　1）引用元の内容が正しいのか否かが判断できない
　2）適切に引用されているのか否かが判断できない
　3）その問題を解決するに向く内容なのか、また場違いなのかを判断できない
　4）回答に従った方が何かの不具合を生じたとして、その責任はどなたがとるのだろうかと
　回等に「どこどこによれば」との一文が加わっている場合、回等を眺める質問者・または第三者がそれを容易にチェックできるのだが。

　では、ブログの記事中に引用する場合はどうなんだろうか？
　とりあえず自分は、以下のような習慣を身に着けている。
　1）引用元は必ず明記する
　2）ニュースポータル（ZDNetやINTERNET WatchやCNETなど）の記事は、記事中の原典を極力読むよう心がける。
　3）個人・企業のTIPS集より、Microsoftやアンチウイルスソフトメーカーなどの一次情報を紹介する。
　4）できれば自分で実際にテストするのが望ましい。
　何故かと言えばですね。「万が一間違いがあった場合、それをブログ読者が自身でチェックし得るだろう」と期待しているからで。

企業は引用元を掲載しない場合が多いような

　先月どこかの企業の方がニュースポータルに書いた記事を眺め、以前Sempliceにて紹介した内容とフレーズ（幾つかの文節を含んだ文章）などが劇似なので気になりまして。
　しかも間違って解釈されているし。。。。。。。。。どうしたものでしょうかね。掲載した所に連絡し、具体的にどこがどう間違っているのか連絡した方がいいんだろうか。
　（面倒なので、ここでは著作権がどうこうと言った話題は扱わない）

　知人が趣味で追いかけている身内ネタなので、具体的にどことは書きませんが。
　ネット上でメジャーな場所で話題が沸騰しているネタを、その真偽を確かめずに転載するニュースポータルもあったりして。
　そこで「嘘んこネタ」を練り、それをニュースポータルに転載させようとのプロジェクトもあるような。個人的にはひっそりと期待してます。

関連記事

　無断引用を晒された有名サイト、「C」
  

感染後に行われるレジストリ（Registry）改変

スタートアップエントリ（Startup entry）への登録

　ウイルスやスパイウェアなどのマルウェアに感染した際にほぼ確実に観察される挙動は、レジストリの操作である。稀にはレジストリの改変を行わないものも存在するが、その比率はそれほど高くはない。
　感染時に最も起こりうるのは、そのマルウェアがOS起動時・ログイン時に起動されるようレジストリを修正する場合だ。このような項目はStartup entry（スタートアップエントリ）と呼ばれるが、時には別の名称で扱われる（スタートアップ項目の呼称が多いようだ）。ネット上で相談を受け付けているサイトにてHijackThis（Merigin.org）やSilent Runner（SilentRunner.org）などを利用し、スパイウェアなどからの修復をアドバイスするサイトを目にした経験はあるだろう。
　これらを語りだせばあまりにも長くなるので、この場ではとりあえず保留し次の機会とする。

意外な症状が、実はマルウェア感染によるもの

　マルウェア全般に感染した場合に起こる症状と言えば、何を思いつくのだろう。中には「えぇ？そんなものまで？」と驚かれるようなものもある。

　凄まじい改変を行うウイルスとしてVBS/Qoma@MM（McAFEE）などはもうリカバリーしたらばと薦めたくなるような破壊活動を行う。W32.Swen.A@mm（Symantec）はレジストリエディタの起動を妨害し、更にはexeやbatなどの形式のファイルを開く際に自動実行させる。
　またマルウェアに感染した後にデスクトップの表示や壁紙が変更され、それを修復できないように設定される例も多く見受けられる。
　何かに感染させられる怪しいサイトを、信頼済みサイトゾーンに登録される例もあるだろう（Internet Explorerの信頼済みサイトと制限付きサイト設定についてはIE-SPYADと制限付きサイト（Semplice）を読んでもらいたい）。

レジストリエディタよりの制限と解除

　ここではMicrosoftによる以下の解説を中心とし、最近よく目にするものを幾つか紹介する。
　Windows XP における [スタート] メニューのポリシー設定（Microsoft）
　ポリシー レジストリ エントリ (デフォルト ユーザー)（Microsoft）

　管理者権限があるユーザーアカウントを利用しているホームユーザーのパソコンを対象とし、WindowsXPにウイルスやスパイウェア、ブラウザハイジャッカーなどが改変するレジストリの設定を幾つか紹介する。
　紹介したものと全く同じ表示が出たとしても、それは何かに感染しているからとは限らない。職場のシステム管理者が、利用者によるイタズラを防ぐ目的で行っている可能性もある。

　特に断りが無ければ、紹介する名称のDWORD値を作成し、値を10進法で「1」にすれば各種機能が制限される。
　制限を解除するためには、DWORD値をダブルクリック・またはマウスを右クリックし「修正（M）」*を選択し、値を10進法で「0」に設定すればよい。いきなりDWORD値を丸ごと削除する必要は無い。
　（*「バイナリデータの修正（B）」ではない）
　またレジストリエントリを修正した後にOSを再起動しなければ、反映されない場合もある。

　ウイルスなどによる改変を修復するならば、アンチウイルスソフトメーカーなどの指示に従い作業していただきたい。また判断がつかないならばメーカーのサポートに電話やメールにて質問し、慎重に作業してもらいたい。

システム関連機能を制限

　「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System」では、レジストリエディタの利用を妨げる設定など、やや深刻な被害を与えるものが多い。
　今回はレジストリエディタより手動で設定し、HKCUでは設定が反映されたのだが、HKEY_LOCAL_MACHINE（HKLM)では設定は反映されなかった。ネット上にはHKLMでの設定を紹介している事例が幾つか散見されるのだが、どうも判然としない。

"DisableRegistryTools"

　ウイルスやスパイウェアに感染した後に、レジストリを修復するよう試みるに当って、レジストリエディタ（regedit.exe）が利用できなければ、十分な修復は行えない場合も多いだろう。
　「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System」サブキーにDWord値「DisableRegistryTools」を作成し、値（Values）を1（:00000001）に設定すると、レジストリエディタが利用できなくなる。
　（16進法の0と10進法の0また1と1は、レジストリエディタより入力してしまえば同じ効果となるのだが、混乱を避ける目的で10進法として以後の解説にて扱う）
　マルウェアがこのような改変を行ったならば、復旧は困難だ。

　それでは試しにやってみよう、だがまかり間違っても絶対に真似しないでもらいたい。
　SystemサブキーとDWORD値は存在しなかったので、それぞれ新たに作成。

　作成したDWORD値「DisableRegistryTools」 をダブルクリックし、値に10進法での「1」を設定。

　レジストリエディタを起動しようと試みても「レジストリ編集は、管理者によって使用不可にされています。」なるダイアログが出て、レジストリの編集ができない。

　これを復旧させる目的で、アンチウイルスソフトメーカーでは修復用regファイルを作成し利用するよう推奨しているのだが。
　今回試したWindowsXP Professional SP2、HomeEdition SP2いずれであっても、このregファイルよりレジストリを編集する際に前述の画像が出て、修復できないのだ。

　Windows XPにてシステムの復元を行ったらば、レジストリエディタの編集を禁止されたユーザーアカウントにてレジストリの編集ができる元の状態に戻ったのだが。適切なシステムの復元のバックアップポイントが存在しない場合やWindows2000ではどうしたらば良いのだろうか。
　ERD Commander 2005を利用し修復に成功したが、回復コンソールでは元々レジストリを操作するようなコマンドは使えないためこれによる修復は難しいだろう。

　HKCUのみに設定され新規に作成されるユーザーアカウントが汚染されていないならば、他のアカウントではレジストリの編集は一応は可能な場合もある。それならば感染しレジストリを改変されたアカウントを捨て、他のアカウントにてマルウェアよりの修復作業を行えば何とかなるような気はするが、根本的な解決にはならない。
　別のユーザーアカウントにてログオンしHKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Systemに同じDWORD値で「0」を設定しても、復旧しなかった。

2006年3月6日追記事項
1）HijackThisでO7のFixより、修復できた。
　
　（*クリックで拡大。なお画像は見易さのため編集済み）
2）Regファイルでは修復できなかった。
　例）Spyware.HackerWacker（Symantec）（http://www.symantec.com/region/jp/avcenter/venc/data/spyware.hackerwacker.html）の方法
3）VBSファイルで修復できた
　例）WORM_KELVIR.CZ（TrendMicro）の方法
4）infファイルより修復できた
　例）shell\open\command レジストリキーのリセットツール（Symantec）の方法
5）Windows XPのグループポリシーより修復できた
　Windows XP Professionalではファイル名を指定して実行より「gpedit.msc」からグループポリシーを起動。
　「ユーザーの構成」 - 「管理用テンプレート」 - 「システム」より「レジストリ編集ツールへアクセスできないようにする」を開き。「無効（（D）」に設定したらば、アクセスの制限を解除できた。
　英語版では「Group Policy」を開き。 「User Configuration」 - 「Administrative Templates」 - 「System」 - 「Prevent access to registry editing tools」より「Disabled」を選択すると解除できる。
　これはmashさんより紹介された「グループ・ポリシー・エディタの使用法（@IT）よりグループポリシーのスナップインを追加して、それより作業しても回復できた。
　しかしWindows XP HomeEditionではこのような機能は利用できないようだ。

"DisableTaskMgr"

　値が1だと「Ctrl + Alt + Del」よりタスクマネージャを起動しようにも、「タスクマネージャは管理者によって使用不可にされています。」とのポップアップ表示が出るだけだ。
　感染中のシステムにて、怪しいプロセスの存在をタスクマネージャより確認できなくなるだろう。

"NoDiskCpl"

　値が1だと「画面のプロパティ」を起動させようにも、「システム管理者により、コントロールパネルの[画面]は仕様不可にされています。」とのポップアップ表示が出る。
　画面の設定を変更された際に、修復が難しくなるだろう。

（*クリックで拡大）

Explorerとシェル関連レジストリ

　「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer」へDWORD値を作成し、値に「1」を設定すれば、何かが消え表示されなくなるだろう。
　なおこれらの設定は、HKEY_CURRENT_USERだけではなく、HKEY_LOCAL_MACHINE（HKLM)であっても反映された。

"NoDesktop"

　DWORD値「NoDesktop」を作成し値を「1」に設定し再起動すると、デスクトップ上の全てのアイコンが非表示となり、結構本気で焦る。
　今回試したらば理由は不明だが、DWORD値「NoDesktop」を削除した後にDWORD値を再度作成できなくなり、アイコンが非表示のままとなった事故がおきたが、再現できていない。

"NoFind"

　DWORD値「NoFind」を作成し値を「1」に設定し再起動すると、スタートメニューから「検索」が消える。
　感染時に作成・改変されたファイルを検索されるのを防ぐ目的で、この設定を行うマルウェアも存在する。

"NoRun"

　DWORD値「NoRun」を作成し値を「1」に設定し再起動すると、スタートメニューから「ファイル名を指定して実行」が消えた。
　感染した相談者に、スタートメニューの「ファイル名を指定して実行」より「regedit」や「msconfig」を行うようアドバイスする機会も多いものだ。この設定はこのような修復作業を困難にさせるだろう。

"NoControlPanel"

　DWORD値「NoRun」を作成し値を「1」に設定し再起動すると、コントロールパネルが非表示となる。
　これをやられると、あらゆる修復操作が困難となる。

"NoDrives"

　DWORD値「NoDrives」を作成し値を設定し再起動すると、マイコンピュータを開いたらば表示されるはずの任意のドライブが非表示になる。
　このDWORD値は、0と1だけではなく複数の値の設定が可能。一例として設定した値が4ならば、Cドライブが非表示。

Appendix

　某著名フォーラムにて、気になった出来事。
　質問者が「回答通りの操作がうまく行かない」との趣旨の返信をしたのだな、また表示関連での不具合を報告。恐らくは今回紹介したようなレジストリの改変を受けていたと考えられる症例にて。
　するとそのフォーラムの代表的回答者が、「質問者が指示に従わない」「場違いな質問をついでに持ち込むな」と腹を立て、裏で凄まじい罵詈雑言を浴びせていたのだよ。
　（その回答者は、マルウェアによるレジストリ改変の結果だったとは、最後まで気付かなかったようだ）
　何だかなぁ、みたいな。最近はそんなのばっかり。

Acknowledge

　レジストリエディタ（レジストリ編集ツール）のアクセス制限解除にて、yassyさんとmashさんには多大なヒントをいただき、十分な内容とする事ができました。

関連記事

　Windowsのレジストリ（Registry）におけるハイブ構造とSID  

　バイドクターは(株)EUsoftなる韓国企業の製品で、完全無料で現在PR中であるためか、利用者が急速に拡大している（らしい）ウイルス・アドウェア・スパイウェアへの対策ソフトである。
　この販売元の文章はつい先日まで日本語としてはいかがなものかと思われる文章であったが、いくらか改善されているらしい。
　ウイルス、スパイウェア、アンチスパイウェア無料駆除ソフトバイドクター（EUsoft）（http://www.vidr.jp/）

　さて、セキュリティホール memo メーリングリストにて指摘があったのだが、このEUsoft社のサイトはなかなか興味深い。
　EUsoftのソースを見てみると、最下部にこのような部分がある。

<div style='visibility:hidden;position:absolute;left:0;top:0; width:160px; z-index:2;'>
<font color="white" style='font-size:1px;'>
（1365件のキーワード）
</font>
</div>

　このキーワードの羅列を、画像キャプチャした。
　
　（*クリックで拡大）
　IBMのホームページビルダーにてhtmlファイルを取り込み、と。左側の複数の妙な文字列は何でしょうね。
　
　（*クリックで拡大）

　visibility:hiddenで非表示設定され、背景と同じwhite、さらにフォントサイズが1ピクセルとなっているこの怪しい文字列は、1365件。
　これらは検索エンジンは認識できるが、人間の目では知覚できないだろう。
　このうちマルウェアの名称やカテゴリは、135。言い換えると1230件は、単なる検索エンジンスパム目的の全く無関係な単語だ。
　「郵便番号　夢占い　英会話　お年玉　競馬　ゲーム」などは、検索エンジンでよく利用される上位キーワードなのだろうか。これらで検索すると、何故かバイドクターを販売しているEUsoft社のサイトに辿りつく、と。これは検索エンジンスパムを行っているスパムサイトが行う手口だ。

　検索エンジンスパムとは、検索エンジンでの結果を不当に操作する目的のスパム行為である。SEO (検索エンジン最適化)の行き過ぎたもの、かな。
　アダルトサイトや怪しい商品を販売するサイトにおいて、卑猥な単語を数百数千もトップページの一番下に複数羅列しているのを目にした経験は無いだろうか？あれはそのような単語をGoogleなどで検索した消費者を、自社サイトへ騙して誘導する目的なのだ。
　「普通の」企業はこのようなサイト運営は行わないだろう。

検索エンジン運営者によるスパム対策

　EUsoftによる検索エンジンスパムは、このようなものである。

1. ユーザーが知覚できない隠し文字となっている。また背景と同じ文字色のテキスト
   
2. 極端に小さいフォントサイズ
   
3. 全く無関係のキーワードを複数掲載
   

　検索エンジン運営者側の見解として、Googleのガイドラインを見てみよう。

品質に関するガイドライン - 推奨
　・隠しテキストや隠しリンクを使用しない。
　・コンテンツに関係のない言葉をページに記載しない。
　品質に関するガイドライン - 推奨　（ウェブマスターのための Google 情報）（Google）

　またGoogleは、隠しテキストや隠しリンクなどを大量に含むスパムサイトの通報窓口を準備している。ここに通報すれば、スパムサイトは検索エンジンの検索結果より除かれる可能性がある。
　全く無関係のキーワードでEUsoft社のWebサイトが上位表示されるのはおかしいとお考えの方は、Googleに通報してみてはいかがだろうか。

　Google の品質に関するガイドラインに違反すると思われるサイトを発見した場合は、次の URL から報告してください。 http://www.google.co.jp/webmasters/spamreport.html
　品質に関するガイドライン - 推奨　（ウェブマスターのための Google 情報）（Google）

バイドクターはスパイウェアをインストールするのか？

　2006年3月4日追記事項
　バイドクターの掲示板（http://www.vidr.jp/php/main.php?jp=etc/etc_community_01）に2006年1月7日、大変興味深い投稿がPOSTされていたようだ。

御社の製品をインストールすると下記のアドウェアがPCに展開されます。
ctor.dll
これは一般的にキーロガーに属するdllです。
勿論dll自体では動作しませんが、なんらかのプログラムのコールにより(サブルーチンですから)実行します。
そして疑問なのは、セキュリティープログラムと称していてこのようなプログラムを実行する設計が理解出来ません。
そしてこのソフトを実行すると不思議な通信ログを見受けられる事です。

　違反なアドウェアの仕込みについて - 掲示板（EUsoft）（http://www.vidr.jp/php/main.php?jp=etc/etc_community_03&no=40&page=1）

　「これは不思議です」氏の投稿を検証する目的で、既に2ヶ月経過したもののテストしてみたのだが。
　ctor.dllまたその他不審なファイルの作成は確認できず、またパケットキャプチャにて不審な通信は無かった。

　もっと早い時機に試したらば、違う結果になったのかな。
　いずれにしても公式掲示板なのだから、バイドクターのEUsoft社としても堂々と何らかの返信を行うべきだ。SpyDefenseなるスパイウェア対策ソフトをふと思い出し、そんなものなのかなぁと苦笑いする。