Semplice

　livedoor Blogには金銭を支払い、有料版ユーザーとして活動しておりますが。その恩恵を享受できずにおります。
　livedoor Blog 開発日誌（http://blog.livedoor.jp/staff/）に投稿しようにも、投稿が反映されず。
仕方無いので自ブログに記載し、トラックバックを送ってみる。

以前より対策を行ってきました、スパムコメント防止機能ですが、
スパムコメント/トラックバック防止機能・運用につきまして2
にてお知らせいたしました各機能に加え、
・同一IPアドレスから10秒以内に連続して書き込みがあった場合
・同一IPアドレスから10分以内に10件以上投稿された場合
に以降の投稿を受け付けない仕組みを実装しました。
　スパムコメント防止機能追加につきまして（livedoor Blog 開発日誌）

　どうもSempliceにおけるコメントスパムの現状とは、かなり認識が乖離しております。
　コメントスパム投稿者は複数のIPアドレスにて、ドバッと同じ内容を投稿なされます。
　（仕組みはわからないものの、本来プライベートIPアドレスとして利用されるIPアドレスが、コメント管理欄のIPア　ドレスの項目にて投稿者のIP addressとして表示される場合もあり。大丈夫かおぃみたいな）

　今回のlivedoor Blogの対応は無意味なものとしか考えられません。
　（と申しますか、とっくの昔にやっていたとしてもおかしくない、何故今まで対応しなかったのかと）

　livedoor Blog運営者側が採るべき方策、これは極めてシンプルな。
　カスタマイズ/管理よりコメント管理を開き、禁止ワードですか？いやいや、そんなユーザーに無用なカスタマイズを強いるのはアレでしょう。

　カスタマイズ/管理 - コメント管理より、「コメント受信時の状態」欄にて、「すぐに表示する」ではなく「下書きにしておく」を選択？それはコメントが多いブログでは運営上無理があります。

　単純に、コメント投稿時のURI（URL）欄に記入があった場合、もしくは本文中にhttp（またはttpとか）の文字列が含まれる場合に、ブログ管理者の管理の下で、そのコメント投稿を掲載させるか否かのワンクッションを置けば良いのです。

　あと、一言要望。
　アクセス解析の生ログが、ここ暫くの間表示できません。
　有料サービスで本来供与されるべきサービスが利用できないならば、（わずかな金額ではありますが）返金していただきたいのですが。

  

　質問掲示板なりのような場では、様々なごった煮状態の質問・回答を散見する。
　自分が最も違和感を感じるのは、「パスワードがわかりません、助けて！」とか、そのような質問だ。
　この質問者以上に軽蔑するのは、安易に回答するイマジネーションが欠如した回答者だ（やや激しい言葉だが、これはあながち言い過ぎでは無いはずだ）。

　腹が立った方も居るとは思われますが、まぁ最後まで読んで下さいな。

　パスワード関連の質問としては、Windowsのログオンパスワード、またExcelやWordの読み取りパスワード、ファイル・ディレクトリを暗号化するソフトウェアのパスワードなどが挙げられる。
　メモしてデスクトップに貼れ、とは言わない。
　abcや123のような安易なパスワードにしろとも言わない。
　だが、相応の管理は必要でしょう、そして忘れないだけの配慮。

　それでですね、このような怪しい・いかがわしい質問に挑む君は、まず考えてもらいたいんですよ。
　質問者が、本当にそのパソコン・またはファイルの正当な持ち主なのかい？
　そのパソコンは、公園のベンチや電車の網棚より盗まれたものやもしれない。
　そのファイルは、WinnyやMXにて流出しているファイルなのやもしれない。
　大体、質問そのものが違法行為の産物ではないと、どうやって判別するんだろうか。

　OKWeb（OKWave）などでそのような質問をすれば、ポイント目的で回答する「うかつな方」が、何も考えず・もしくは気付いていてもリスクを無視し、回答するだろう。
　だが数日後には、運営者よりバッサリと削除されるのが毎回の常だ。その後には"うかつな回答者"には、運営者よりの警告メッセージが送信されるだろう。
　少なくとも自分が知るOKWebではそうだったし（今はどうなのかは知らないが）、そのような姿勢には賛同する。
　（OKWebがスタンダード：標準との主旨ではない）

ちょっと質問なんですけど、ログオンする時
IDとパスワード入れてて、あたしはアドミニストレーターじゃないんですけど、なにかとｱﾄﾞﾐでやれやれってｳﾙｻｲんですけど、
ｱﾄﾞﾐのパスワードって忘れた場合って、どうしたらいいんですかね？これ、父からもらったPCで、ｲﾏｲﾁ使い方わからないんです…
　引用元は、個人攻撃が目的では無いために掲載せず

　相談者の状況を眺めると、この方はAdmin権限の無いアカウントを利用している可能性が強く示唆される。つまり制限ユーザーアカウントであると。そうであるならばこの相談者は、職場・または家庭内での管理権限が無い、またはパソコンそのものの正当な所有者ではない可能性も考えられる。
　そうでなかったとしても、だ。父親に聞けばいいだけの話なのだよ大体。家族に聞けばよいだけの話なのに、公共の場にて質問する理由が存在するんですかね。
　これを第三者に尋ねるとの時点で、十分にいかがわしい質問だと思わないのかね、回答を寄せている方々は。

　どのような目的なのか、またいかなる判別にてこれに回答を与える方が出現するのか、自分にはどうもわからない。
　安易に回答を書き込む事により、いずこかで起きている犯罪・または反社会的行為に加担する可能性を、何故に考慮できないんだろうか。
  

　マルウェアに感染したパソコンを調べている君は、とあるファイルやレジストリエントリに行きついた。
　キーボードの手を休め、首を軽くかしげ。煙草に火をつけ天井の蛍光灯が軽く点滅するのを眺めた君は、こう呟くのだ。
　「こんなユーティリティソフトやドライバ、いつインストールしたんだ？」

　ソーセージの中身を知るのは、神様と肉屋のみ（*1）、しかし君が乗り越えなければならない壁でもある。
　（*1：スゥエーデンの古い諺）

目を欺く、擬態・偽装

　多くのマルウェア、例えばアドウェアやスパイウェア・トロイの木馬（RAT）・リモートアクセスツールは、感染時に無害なファイルであるように装う。
　単にその実行ファイルの名称などを工夫するだけの低レベルな騙しテクニックであっても、駆除作業にては誤解・見逃しを生じさせ、大変難儀なものとなる。
　（既存のファイルを上書き・また追記し感染するようなウイルスの話ではないので、いずれ場を改めて）

　ファイルの名称のみに限らず、スタートアップエントリ（起動エントリ：レジストリやその他にアプリケーションを登録し、Windows起動時・ログオン時にアプリケーションを起動させる）に登録されたレジストリのエントリ名、またタスクマネージャに表示されるプロセス名でも、擬態するマルウェアは多い。

　アンチウイルスソフトではどうだろうか。（何らかのアンチウイルスソフト向け脆弱性を利用していないならば）ファイルの名称に関わらずマルウェアを検出できる、つまりファイルの中身を判別し検出する。
　名称のみでマルウェアか否かを判別しようとするならば、その製品はややいかがわしいのだ。稀にそのような対策製品（を装うソフトウェア）も存在する、だがこれは今回のお題からは外れるので、機を改めて。

　では、アンチウイルスソフトにより検出されないようなマルウェア、または不審なファイルではどうだろうか。

安全・無害なファイルを装う、またはドライバや有用ソフトと誤解させる

　HijackThisのログに、以下のような起動エントリ（スタートアップエントリ）があるとする。
　O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard10.exe
　O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad10.exe
　O4 - HKCU\..\Run: [microsoft (c) call] msdsn.pif

　「O4 - HKLM\..\Run:」はHKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
　「O4 - HKCU\..\Run:」はHKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run
　それぞれのRunキーに[keyboard]・[mousepad]・[microsoft (c) call]というエントリ名（Entry names）のレジストリエントリが登録されており、Windows OSが起動するたびに・またログオンするたびに指定されたexeファイルやpifファイルが起動するとの意味である。
　（レジストリについてはWindowsのレジストリ（Registry）におけるハイブ構造とSID（Semplice）を一読していただきたい。）

　再現すると、レジストリエディタでの表示はこうなるだろう。


　キーボードやマウス関連ユーティリティや、マイクロソフトの何かのソフトウェアのように思えないだろうか。これにより不審さを感じさせず、また削除を思いとどまらせるのだろうか。

Windows OS既存のファイルやプロセスを装う

　Windows OSに備わっているアプリケーション、例えばメモ帳（notepad.exe）のアイコンは幾つかのマルウェア実行ファイルが利用する。またファイルの名称やプロセス名をWindows OSに既存のものと同一・もしくはそれに極めて類似した名称とする事例も多い。
　「ieexplorer.exe」ではなく「ieexplorers.exe」「ie_explorer.exe」、「MS何とか」や「Microsoft何とか」なるファイルであれば、安全なものであると勘違しそうなものだ。

サードパーティのセキュリティ対策製品を装う

　セキュリティ対策ソフトウェアを連想させるような名称もある。
　先日とあるパソコンを修復するに当って、マルウェア本体を発見するまでにかなりの時間を費やしたのは、このマルウェアのファイル名がNAVから始まる名称であったため、Symantec製品関連と思い込んでいたための誤認であった。
　SecuritytoolやFirewall serviceなるレジストリのエントリ名などはそれが有害なアプリケーションの擬態であるとしても、「これを削除すると安全ではない状態になるぞ」的な印象があり、解除するには大変躊躇する。

ドライバ関連やユーティリティを装うマルウェア

　Windows OSをインストールした後、増設したボードのドライバをインストールし、USBメモリーキーの暗号化ソフトを導入し、常駐する様々なソフトウェアをインストールしなどと、ホームユーザーのパソコンは一台一台が広汎な構成となるだろう。
　またプリインストール機を購入した後には、NECやSonyなどのメーカー独自の様々なソフトウェアが導入される。
　これらに見せかけた擬態は最も面倒な事例だ。自分の正直な感想なのだが、ネット上の質問掲示板にては対応しづらい、いや、したくない。
　万が一「これは悪質なソフトウェアだろう」と判断し駆除するよう助言・回答したものの、それが回答者側の勘違いであり、無害なソフトウェアの起動にトラブルを生じさせてしまったならば大変申し訳ない。

　NVIDIAから始まる名称のファイルを見つけた経験があるのだが、これはグラフィックボードなどを製造しているnVIDIAと関わりがある正規のファイルなのかと、暫く考え込んだ。

動的に付けられるファイル名による偽装

　あくまでも仮定の話である点には断りを入れておくが、やや邪悪な想像である。
　CanonやEpson、FMVやVAIO、NECやSONYやDELL。このような単語を含むファイルであれば、かなりの偽装効果が期待できるだろう。特に直接パソコンに触れずにネット上のやりとりにて多くの質問をこなすような、OKWebのような質問掲示板にては、回答者の目を潜り抜けやすいとの点で相当の効果が期待できる。

　Canon製品関連ファイルが元々ないパソコンに「Canon_何とか」なるファイル、VAIOなのに「NEC_121ware_Utility」などのファイルが存在したらば、これは明らかに不審だし怪しい。
　ならばマルウェア感染時にC:\Program Filesフォルダより・またその他のディレクトリやレジストリよりユーザーのパソコンがどのような製品であるのかを簡単に調査し、不審に思われないようなファイル名で・なおかつ適切な場所にマルウェアのファイルを作成してしまえばよい。

　例えばAdobe社のPhotoShop Elementsを導入しているならば、C:\Program Files\Adobeフォルダ中にAdobe製品であると錯覚させるような名称のフォルダ・ファイルを作成するなどだ。

仮定の例としての演習を一つ

　さて、話は戻る。
　君がネット上で質問掲示板の常連であったとし、時たま回答者として活動している。
　質問者のパソコンは富士通のFMVシリーズだ。
　更に、アンチウイルスソフトにより何も検出されず、全ての実行ファイルの作成日時や更新日時は少なくとも症状が発生する1ヶ月以上前とし（これらは容易に偽装されるのだが）、既存の実行ファイルなどに追記・上書きするようなウイルスではないとする。

　FMVから始まる名称のファイルがHijackThisのログの転載に含まれている。
　またAdobeやCanonなどの企業名を含む名称のファイルも、何となく気になる。

　君が目を付けたファイルを質問者へダブルクリックしてもらっても、目に見えるような不審な動作は何も起きないどころか、すぐ勝手に終了してしまうとする。
　さあ、どうする？

MD5シグネチャとデジタル署名（コードサイニング証明書）

　ファイルより取得したMD5シグネチャ、これは他のファイルと重複するのはまずありえない、唯一の文字列だ。そしてファイルサイズが同じ・ファイルの名称が同じであっても、それが異なるファイルであるならば当然MD5シグネチャは異なるだろう。更にはファイルそのものの製造者が確かなメーカーであったとしても、改ざんの可能性があるのだ。
　言い換えれば、MD5シグネチャを掲載していない情報は十分な確度が無い。
　（注意：OSやアプリケーションのアップデートにて、ファイルは更新され、MD5シグネチャは変更されるだろう）
　ソフトウェアやメーカーなどが掲載している情報にMD5シグネチャは掲載されていない場合も多いものだが、どこかのWeb上で公開されているデータベースを利用するに際し、MD5シグネチャの値を比較すれば、情報の確度は高くなるだろう。つまり「そのデータベースに掲載されているファイルと君が調査したファイルが同一である、と）
　（もちろんこのようなデータベースの情報が正しい、との前提での話なのだが）
　md5ハッシュ値と、改竄・改変ファイルの検出（Semplice）にてmd5deepというソフトを用いた例を記載したが、vectorか何かで検索すれば個別のファイルのMD5シグネチャを容易に得られるようなソフトウェアもあるだろう。

　また多くの場合、商業的なソフトウェアでは実行ファイルやその他のファイルに、コードサイニング証明書をつけている。ファイルのプロパティよりデジタル書名タブを開けば掲載される情報は、署名者を確認すればそれが安全か否かの尺度としてある程度の有用性は発揮する。
　この手のデジタル署名は、ある業者が存在するのか否かのみを確認できるものであり、デジタル署名の有無そのものは安全か否かの判断基準とは成りえない。悪質な業者が自分らの製品にデジタル署名を付ける場合もあるからだ。
　だがそのファイルが本当にMicrosoftやその他の企業による製品なのか否かを判別するためには、重要な判断材料となるだろう。
　（注：コードサイニング証明書は高価であり、また個人向けには配布されない場合もあるだろう。そのため多くの有用なソフトウェアはデジタル署名がつけられていない。だから「デジタル署名されていないから安全ではない」とは言い切れないし、自分はそのような判断はしていない。）

　MD5シグネチャとデジタル署名をチェックすれば、あるファイルが安全と報告されているものと同一なのか否かを判別する指標となるだろう。
　では、これらが無い場合はどうなのか？解を得るのはやや難儀だ。「安全」「危険」との定性的尺度ではなく、「多分安全、だろう」とか「危険性が高い」などの定量的な判別を下さなければならない事例もあるだろう。
　1）信頼できる情報元より安全とされるMD5シグネチャと同一であり、十分信頼できる（と判断しても差し支えが無い）デジタル署名があるならば、そのファイルは「安全」であり、少なくともマルウェアではないだろう。
　（もちろん何らかのバグが存在し、そのために不具合が起きているなどの事例の存在は否定しない）
　2）判断材料が乏しいファイルは、よほど不審な場合（有り得ないようなファイル名やpif・comファイルなど）でなければ、「100%安全とは言い切れない」し、「100%危険とも言い切れない」。
　3）MD5シグネチャ・コードサイニング署名を確認できず、信頼できる情報源にてファイルの名称が「危険」と報告されているならば、それは「危険である可能性が高い」。

オフトピ：
　スパイウェアやアドウェアの有無を相談する際によく利用される、HijackThis。これはMD5シグネチャが公表されていないし、デジタル署名が無い。
　HijackThisの動作を妨害するマルウェアも存在し、これを直接狙い打ちされているそうなのだが、これではあまりにも不安が。
　君が入手したHijackThisは、「本当のHijackThisなのかい？」
　2年ほど前、HijackThisの作者であるmerijn氏と頻繁にコンタクトを取っているという某有名サイト運営者に、以上2点いずれかを改善してもらえればと伝言を依頼したんですが。恐らく無視されたのか、伝言されなかったんでしょう。

ホワイトリストとブラックリスト

　ネット上には、様々なファイルの名称やレジストリエントリの名称を掲載しているサイトが存在する。HijackThisによる修復の際に、回答者などが参照するようなものだ。
　ここでは「安全な何か」のリストをホワイトリスト、「あるものは危険」とのリストをブラックリストとし、これらを便宜上区分して話を続ける。

名称のみによる判断と駆除作業の問題点

　「ファイル・レジストリのエントリ名・プロセスリスト」では多くの場合、名称とそのパス（所在。どのフォルダ中に存在するのか）程度に情報は留まる。中にはMD5シグネチャを掲載しているサイトもあるものの、大抵の場合は「名称のみ」でそれが危険なのか否かを論じる。
　そもそも名称のみでリスクを判別するのは無理な場合も多く、不十分なのではなかろうか。

　君のパソコンが実際にあるマルウェアに感染したとする。これを駆除するに当り、どのような流れが想定されるだろうか。
　一般的なアンチウイルスは、「ファイルがある名称である」、ただそれだけの理由ではこれをマルウェアとして検出はしないだろう。必ずファイルの中身をスキャンし、または仮想的マシン上でそれらを起動し、安全か否かを判断する。
　（稀には、大規模感染のアウトブレイクが発生し緊急性が高い場合には、ファイルの名称のみで検出対象とするシグネチャ（定義ファイル）が配布される事例もある。）
　（所謂インチキソフトとして消費者より扱われるような製品では、ファイルの名称のみで検出対象とし、中身が空の・それこそテキストファイルをリネームしただけのファイルでさえマルウェアとして検出する）

　アンチウイルスソフトに依らない、ユーザー自身・または第三者のアドバイザーの指示に従った、手動での削除・もしくはHijackThisのようなソフトウェアを利用した修復作業ではどうだろうか。
　これはかなり難儀である。

不十分な内容のホワイトリストを欺くのは容易

　仮想の・極端な例を一つ。有名かつ信頼できる企業の製品にてABCというソフトウェアがあり、これの実行ファイルがABC.EXEとする。
　これがC:\Program Files\Microsoft Office\ABCSoft\ABC.EXE以外のパスであったとしたらば、即危険なのか？何かのスパイウェアなのか？中にはABCを他のディレクトリ、またはドライブにインストールされる例もあるだろう。

　だがユーザーがインストールしたABCとは別に、ABC.EXEがどこかに存在したらば、それは不審だろう。と言っても、ファイルの名称のみが掲載されたデータベースでは、これらは判別されないだろう。

　ABC.EXEが汚染されており、何かのマルウェア・ウイルスのコードが挿入されていたらばどうなんだろうか。「ABC.EXEなら大丈夫！」なのか？違うだろう。
　だからMD5シグネチャを掲載しないデータベースであるならば、その情報の確度 - 運営者が嘘をついているとの意味ではない - は不十分なものとなる。
　ホワイトリストに掲載されているのと同名のファイル・レジストリエントリ名であるならば、掲載された情報からは十分な判断ができず。そして著名なサイトの情報であると安易に安心した者の目を誤魔化せるだろう。

　つまりマルウェア配布者は、「世間一般で安全であると認識されている・されるであろうファイル」の名称をマルウェアのファイルに利用すれば、アンチウイルスソフトにより検出できるようになるまでの期間であれば多くのエンドユーザーを混乱させられるだろう。

ブラックリストの副次的被害

　データベースへの登録作業が容易、そして「誰でもできる」ような場も存在する。
　ここにイタズラ目的で、既存の安全かつまともなファイルを次々と登録したらば、どうなるんだろうか。もちろん判断力が欠如した参加者による思い込み的な登録であったとしてもだ。
　更に事態を悪化させかねない状態として、一人のユーザーが他のユーザーの情報を削除・編集できる場合、最後に編集したユーザーの情報のみが掲載される場合も要注意だ。
　それを閲覧した第三者は、安全であるファイルであっても「危険な何か」と勘違いし、判断を誤るだろう。

　運営者一人のみが登録可能であるならば、それは個人の責任に帰結するだろう、そして問題があったらば誰々さんのスキルの問題となる。だが複数の登録者が存在するならば？登録可能なユーザーを絞り込むにしても、考査は難しいだろう。
　であるならば、あるエントリーについて誰が何を登録したのかを併記し、「安全・危険」をより相対的な尺度として「安全：1人　危険：6人」とした方が利口だ。また他のユーザーが登録した内容を、十分な権限が無い第三者的登録者が編集できるのも問題だ。
  

スパイウェアとその広告代理店を巡る訴訟

　Spy Wiperと「Spy Deleterの配布者、Sanford WallaceがFTC（連邦取引委員会）により訴訟の場に引きずり出された記事を1年前に掲載したのだが（Spy Wiper、Spy Deleterとスパム王（Semplice））、やっと一件落着したらしい。
　Cnet Japanに掲載されるかと眺めていたものの、未だ掲載されず。これだけ日数が空くと掲載されないならば、CNET Japanでは転載されないのだろう、そうだとしたらば大変残念な事例だ。稚拙な和訳で申し訳ないが紹介したい。

The Federal Trade Commission has wrapped up its first major spyware lawsuit with a $4 million judgment against spam king-turned-spyware master Sanford Wallace.
Wallace and Smartbot.net were charged with deceptively dropping spyware onto the PCs of unwitting people, changing their settings and barraging them with pop-up ads. The software also caused computers to malfunction, slow down or crash, causing consumers to lose stored data, the FTC said.
In addition, the FTC said it has reached a deal with OptinTrade and its principal, Jared Lansky. OptinTrade placed advertisements for Wallace's software and has agreed to surrender $227,000 in ill-gotten gains, the agency said.
The FTC brought the case against Wallace in October 2004. It was the first step for the agency in a new strategy to take on spyware, which is software that may track unsuspecting Web surfers and bombard them with advertisements or even steal log-in information and passwords.
Odysseus and its head, Walter Rines, were accused of bad practices similar to those in Wallace's case and are now barred from installing software on people's computers without their consent, among other restrictions, the FTC said.

＜以下、和訳＞
　FTC（連邦取引委員会）はスパム王からスパイウェアマスターに転向したSanford Wallaceに対し、400万ドルの判決で訴訟を終えた。
　ウォレスと（彼の会社である）Smartbot.netは無意識の人のパソコンに詐欺的にスパイウェアを導入し、（パソコンの）設定を変更し、ポップアップ広告を連発させた。ソフトウェアはコンピュータを誤作動させ、処理速度を低下させ・もしくはクラッシュさせ、消費者のデータを消失させたとFTCは主張した。
　更には、FTCが言うところによれば、OptinTradeとその社長であるJared Lanskyがこれを扱っていたという。OptinTradeはWallaceのソフトウェア広告を置き換えて（place）し、227,000ドルを放棄すると同意したと、政府機関は言った。（訳注：掲載しない替わりに、か？もしくは掲載するのをあきらめたの意味が本来の文脈と考えられる）
　FTCは2004年10月にウォレスに対して訴訟を起こした。 それは政府機関によるスパイウェア、怪しまないWebサーファーを追跡し、広告で砲撃しあるいはログイン情報とパスワードを盗みさえするようなものへの新しい戦略であった。
　Odysseusとその社長（？）のWalter Rinesは、ウォーレスのケースで似たような悪質な業務を行い、人々のパソコンに彼らの同意も無くソフトウェアをインストールするのを禁じられるだろうとFTCは言う。
　Feds shutter spyware ring （CNET News.com）

　FTCより転載する。
　（give up to more than $4 million in ill-gotten gainsとは、賠償金を消費者に払うとの意味なのか、または罰金なのか。それがどうもよくわからない）

Court Halts Spyware Operations
An operation that deceptively downloaded spyware onto unsuspecting consumers’ computers, changing their settings and hijacking their search engines, has been halted by a federal court at the request of the Federal Trade Commission.
The judge has ordered the operators to give up to more than $4 million in ill-gotten gains.
The court also ordered a halt to another spyware operator’s stealthy downloads and barred the collection of consumers’ personal information, pending trial.
The FTC alleged that Sanford Wallace and his company, Smartbot.Net, exploited a security vulnerability in Microsoft’s Internet Explorer’s Web browser in order to distribute spyware. The spyware caused the CD-ROM tray on computers to open and then issued a “FINAL WARNING!!” to computer screens with a message that said, “If your cd-rom drive’s open . . .You DESPERATELY NEED to rid your system of spyware pop-ups IMMEDIATELY! Spyware programmers can control your computer hardware if you failed to protect your computer right at this moment! Download Spy Wiper NOW!”
Spy Wiper and Spy Deleter, purported anti-spyware products the defendants promoted, sold for $30.
＜以下、和訳＞
法廷が Spyware 運用を止める
　怪しみもしない消費者のコンピュータに詐欺的手法にてスパイウェアをダウンロードした行いは、（パソコンの）設定を変えて検索エンジン（での表示結果？）を乗っ取るが、FTC（連邦取引委員会）の要求により連邦裁判所により差し止められた。
　裁判官は（Spyware製造販売者の）経営者に不正な利益での最高4百万ドル以上をあきらめるよう命じた。
　法廷はもう１人の spyware 経営者のステルスダウンロードに同じく停止命令をし、そして審査中の裁判にて（訳者注：多少文脈に自信が無い）消費者の個人情報の収集を禁じた。
　（注：ステルスタウンロードは、ユーザーの許諾を得ず、ドライブバイダウンロードなどにより無断で何かのソフトウェアを強制的に・隠密にインストールさせる手法を指す）
　FTCはサンフォード・ウォレスと彼の会社であるSmartbot.Netが、Internet Explorerの脆弱性を利用しスパイウェアを配布したと主張した。スパイウェアはコンピュータの上の CD-ROM トレーを開かせて、そして次に「FINAL WARNING!!」を表示した。パソコンのスクリーンに「もしあなたのCD-ROMドライブが開いているならば、君は絶望的にすぐシステムからスパイウェアポップアップを除去する必要がある。もし君がまさにこの瞬間にパソコンを保護しそこねたならば、スパイウェアのプログラマーはコンピュータハードウェアをコントロールできるだろう。Spy Wipeを今すぐダウンロードしなさい！.」とのメッセージを表示した。
　被告が販促した、アンチスパイウェアソフトと称するSpy Wiper とSpy Deleterは30ドルだった。
　Court Halts Spyware Operations （FTC）

　この訴訟については、Spyware WarriorのSuzi Turner女史が以前より積極的に活動している。

Anyone who’s been reading this blog for a while might remember that I was very involved fighting the SpyWiper and SpyDeleter attacks on computer users that started in late November 2003, and was, in fact, one of my inspirations for starting this blog dedicated to the fight against spyware.
＜以下、和訳＞
　今までしばらくでもこの blog を読んでいた誰もが、私が2003年11月下旬に始めたコンピュータ・ユーザに対する SpyWiperとSpyDeleterの攻撃と戦い、深く関係し、そしてスパイウェアに対しての戦いに献身的なこのblogを始めることに対して、実際、私のインスピレーションの１つであったことを覚えているかもしれない。
　Spamford Wallace busted and owes $4 million （Spyware Warrior）

　人がスポーツや絵画、ビートルズに出会いハマる理由。それらは様々な出来事や人と人との出会いの積み重ねなのだな。

それで、日本はどうなのさ

　FTCが極めてチャレンジングかつ好戦的な姿勢でマルウェア配布者およびその配布に協力している広告代理店を非難し、訴訟の場にて攻撃する。これは大変な事だ。
　何がどう違うのかだって？
　どこかの消費者個人・消費者団体・または対策ソフトメーカーが訴えるのとは、ある意味で別格なのだ。政府機関は無限の資本力を持ち、民間レベルでは対応できないような事例であっても多くの有能なスタッフ・またはアドバイザーを雇用し、尽きない泉のようなパワーを発揮するだろう。

　では、日本ではどうなんだろうか。IPAはこんなリスクには注意喚起はするものの、いずこかに訴訟を挑んだりはしないだろう。
　IPAはコンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA）にて、「ブラックウォーム」の脅威をちらつかせる不審サイトを紹介した。ならば注意喚起に留まらず、もう一歩進んでもらえないものなんだろうか。
　（個人的にはブラックウォームのhttp://amaena.com/などは接続できないようにしてまえば良いのに、と切望する）
　（海外のアンチウイルスソフトメーカーは、フィッシング詐欺サイトを発見したらば、消費者が詐欺サイトへ接続できなくなるようにレジストラ（ドメイン登録業者等）やネームサーバー運営者に連絡するらしい（どうもよくわからないのだが））。

　GoogleにてBogus wareを検索すれば、多くの怪しい・または明らかなインチキソフトウェアがネット上に溢れている現実に対し、君は目をみはり驚き。そしてこれらの多くが野放しとなっている現状に失望するやもしれない。
　だが日本国内には、消費者的視点に立ちその声を聞き、多くの脅威よりユーザーを保護し時には悪質業者へ積極的に挑むような機関は無いのだろうか？またそのような公共性を兼ね備えた団体は？

　いっその事、JAROや国民生活センター・消費者生活センターなどが、消費者に代わりこのような業者を訴えてくれればと、多少妄想気味な要望を。

関連記事

　Spy Wiper、Spy Deleterとスパム王
  

　Google Earthをご存知だろうか？これはGoogleが提供するサービスで、衛星より撮影した画像をネット上で公開するものだ。

米Googleは6月28日、世界の衛星画像などを表示できるソフト「Google Earth」英語版を公開した。「Google Maps」とは異なり、Windows PCにインストールする単体ソフトとしてダウンロード提供し、さらに地図データをネットを介してストリーミング取得しながら表示する仕組みだ。無料版と有料版を選択できる。
有料版のGoogle Earth Plus（年間20ドル）は、GPSデバイスとの連携に対応するほか、データの表計算ソフトへのインポート、地図上への記入ツール、高解像度印刷などの機能を持つ。また商用利用向けの「Google Earth Pro（年間400ドル）はGIS（地理情報システム）データとの連携なども可能だ。
　「Google Earth」で地球を僕の手の上に（ITmedia）

　Google Earhtについては面白い議論がある。各国の軍事施設が公開されるのは安全保障上問題があり、また施設が表示されている画像より座標（東経何度・西経何度など）を取得できるのは、GPS誘導ミサイルをテロリストが入手した場合に大変難儀なのではとの議論だ。
　Wikipediaでは、米国の機密性が高い施設についてはモザイク処理されていると記述されているのだから、恐らくGoogleは様々な治安上のリスクを認知しているのは明らかだ。

アメリカの治安機密に触れる場所については、モザイクがかけられている（例：ホワイトハウス近辺、ペンタゴン）。
問題点
各国の秘密事項である軍施設・政府施設・原発などの、本来秘匿すべき重要施設の衛星写真なども容易に見ることができる。テロリストがこのことを利用し、これらの重要施設が攻撃される可能性があるとして、インド・タイ・オランダ・韓国などが非難を行った。なお、アメリカ・ホワイトハウス、ペンタゴンなど、一部の重要施設にはモザイク処理がかけられている。また、イスラエルの高解像度画像については法的に公表が差し控えられている。
　Google Earth（Wikipedia）

　もちろん米国に限らず他の国家にしても、自国の重要施設が曝け出され安全保障上の問題に直面するのを警戒するだろう。

タイは、インターネットで入手できる詳細な衛星写真が同国の国家安全を脅かすことを恐れ、Googleに対し、攻撃に無防備な政府の重要な建物の画像を表示しないよう要請するもよう。
タイの軍部は、政府の通信・セキュリティ機関とこの問題について話し合った後、Googleおよび同種のサービスを提供している企業にアプローチすると、タイ国防軍の広報担当、ウィーラサック・マニーイン少将は述べた。
「われわれは、特に政府の建造物の詳細な画像に制限が可能かどうか模索している。観光名所の画像は問題ないと考えている」とウィーラサック氏はロイターに語った。
　Google Earth、タイ軍部を怒らす（ITmedia）（http://www.itmedia.co.jp/news/articles/0509/07/news071.html）

　さて、ITpro Securityにて、風変わりな記事が転載されていた。

　「セキュリティ専門家」とは何者なのか，疑問に思うことがある。ここに，「『Google Earth』を使うとサッカー場のGPS座標を読み取れることから，テロのリスクが存在する」と考える専門家がいる。
　要するにKlaus Dieter Matschke氏は，これまでGoogle Earthに1kmの誤差があったのに，現在20m以下の精度でビルの位置を特定可能になったため，不安を感じているのだ。同氏は「この情報から，テロリストはミサイル攻撃に使う正確な位置を取得できる」と心配している。
　こんな「たわごと」をメディアで発表する人物が出るとは思いもしなかった。GPS端末をポケットに忍ばせてサッカー場まで試合を見に行き，1mの精度でGPS座標を得ることなど，誰でも自由に行える。地図を買ってもよい。
　Google Earthには問題などない。真の問題は，短距離ミサイルがブラック・マーケットで入手できることだ。
Copyright (c) 2006 by Bruce Schneier.
◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO（最高技術責任者）です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり，国内ではインテックと提携し，監視サービス「EINS/MSS+」を提供しています。
　【CRYPTO-GRAM日本語版】「Google Earth」によるテロのリスク（ITpro Security）

　Bruce Schneier氏を何故にITpro Securityがここまで諸手を上げて持ち上げるのか、自分はわからないんだが。
　氏の肩書きはセキュリティ監視専業ベンダーの創業者およびCTO（最高技術責任者）なのだから、彼は「セキュリティ専門家」なのだろう。その「専門家」が他の「専門家」を名指しで非難した記事を転載した、しかしそれが微妙。そんな感じのITproの記事だ。

　Bruce Schneier氏はあまりにもイマジネーションが欠如しているのではないだろうか。
　またLucaさんが酒を飲みつつ思いつくようなレベルの（安全保障上での）問題 - これらは多くのネット上でのニュース・または個人のブログで取り扱われている - がすっぽ抜けた記事を、ITproが掲載した理由が全くわからない。編集の段階でリジェクトされるか・もしくはもっとマトモな記事を転載したいと申し入れても不思議は無いだろう。
　大体「サッカー場のGPS座標」なんて、論点そのものがおかしい。GPS端末を所持したテロリストがわざわざサッカー場に行く、ですか。もしくは地図を買えば良いだけだ、と。
　Google Earthによりテロリストは、攻撃ターゲット周辺の地形、付近の建造物（それが高層ビルであったならばなおのこと）を容易に判別できるだろう。ビルや何かのアンテナなどの障害物に囲まれているターゲットを、地図のみで判別するのは難しい。自律的に障害物を避けるミサイルであったとしても、計画が失敗する可能性は最低限のものとしたいだろう。だからこそGoogle Earthは（テロリスト的に）有用なのだ。
　またわざわざ現地の座標を取得する目的でテロリストがメンバーを派遣するのは、どうなんだろうか。ならば現地に爆弾でも仕掛けた方が手っ取りはやい。

　では何故にわざわざGoogleは、ホワイトハウスの画像にモザイクを？それはGoogleが、安全保障上でのリスクが存在するのを認めているからだ。
　君が購入した国土地理院の1/25000地図には（見ればわかる事だが）自衛隊の全ての施設・建物が掲載されているのではない。場合によっては数十・数百ヘクタール（1haは100m*100m）の敷地が全て白塗りである。
　もちろんGoogleが世界各国政府の要望に答え、事前にモザイク処理を施すべき画像を適切に処理できるのかと言えば、それは難しいだろう、多くのリスクを抱えるにも関わらず。だからこそ事後ではあるが、これに抗議する国家が存在するのだ。

　「そんな衛星写真はどこでも購入できるし、今更Google Earthが公開したとしてもどうでも良い」ですか？繰り返しになりますが、では何故に米国の一部ではモザイク処理が施されているのでしょうか。

誰でも入手できる衛星画像と航空写真、だが足がつく（2006年2月14日追記事項）

　うっかり書き忘れていた点があったので、追記する。
　衛星から撮影した画像や、航空機より撮影した空中写真を提供する企業は幾つかあるものだ。
　だが購入時には当然ながら幾つかの手続きを踏まなければならない。

　軍事的な拠点（基地など）を撮影した画像を入手するには、企業よりの通報リスクがある。
　「何故かミサイル基地の画像ばかりを集める不審な顧客が居ます！」と。
　だから画像をGoogle Earth以外の一般的な手段にて入手するならば、シークレットサービスとか何かに事前に察知される可能性もある。
　その点ではGoogle Earthの利用は匿名性が高い手段であるので、ある種の人らにとっては有用なのだ。

　では正反対の話を一つ。
　Google Earthを利用して罠をかけられないものだろうかと。
　著名な場所であれば文字列を入力して表示できる。
　特定の場所 - それこそテロリストが襲撃しそうな施設 - を表示するようなユーザーを記録し、閲覧者の情報を漏らされたりするのはアリなのかな。

Google Earthがプライバシーを侵害する日

　衛星写真の解像度は様々であるが、自分の知人が利用しているのは解像度3mであり、せいぜい大雑把な国道や土地利用区分が判別できる程度であるが。
　これが軍事衛星が利用できるような高解像度画像であったらばどうだろう？解像度10cmクラス、それこそ敵の戦車のキャタピラがどのような仕様であるのか判別し針路を判別したり、また余計な事だが敵兵の食事まで判別できるようなものだ。

　Google Earthの高解像度画像が世界規模となり、更新頻度が今後より短いスパン、例えば数日程度になったとしたらばどうだろう？

　君が乗る車の車種を判別され、フロントのアクセサリーやクレーンゲームで得た人形まで判別できるとする。これでは「あの日は自宅に居た、いや、峠のドライブインでコーヒーを飲んでいた」などのアリバイが、簡単に崩れるのではなかろうか。
　プール付きの豪邸に住まう方は、嫉妬深い恋人より、庭のプールサイドに水着ギャルがたわむれている衛星写真を見られないよう注意しなければならない。
　公園で誰かとイチャつくカップルは、近くに停車した車のナンバープレートを取得されないよう注意を払わなければならない。面白半分にナンバーより身元調査され、持ち主を脅迫するビジネスが誕生するやもしれないからだ。
  

　アプリケーションまたマルウェアをアンインストールした後に、様々な不具合が生じて難儀する場合があります。これは本当に困り果て、難儀しますが。
　具体的な例として、アンインストーラーを起動し削除した後に、ネットに接続できなくなったなど。
　マルウェア・または極めて不審な対策ソフトやアドウェア。これを削除するに当り、アンインストーラーを利用すべきなのか否か。これは大変難しい問題です。

　Semplice上で様々な事例について、このように積極的に意見を求めるのは初めてなんですが。自分ではどうも判別できない話であり
　また日本国内での事例を集めたいんですが、十分な情報が集まりません。
　そこでですね、思いついた事柄がありましたらば、お気軽にコメントしていただけないでしょうか。
　また投稿の期限などは無しで。つまりは数日・数ヵ月後に君が何かのトラブルに遭遇し。その時ふっと「そう言えば情報提供を求めるブログがあったなぁ」と思い返しての投稿もアリです。

　あるアプリケーションを導入し・または強制的にインストールされた後に、これらをアンインストールするとしたらば以下の方法があります。
1）レジストリエントリへの書き込みが無いため、フォルダ丸ごとゴミ箱。
2）スタートメニューよりアンインストーラーを起動し、アンインストール。
3）コントロールパネルの「プログラムの追加と削除（Windows98/Meなら「アプリケーションの追加と削除」）よりアンインストーラーを起動し、アンインストール。

　これを「アンインストール」と呼べるのかは微妙ですが。
4）Ad-awareやSpyBot S&Dなどのスパイウェア対策ソフト、Nortonやウイルスバスターなどのアンチウイルスソフトによる削除（その後にレジストリの手動編集を伴う・または伴わない事例）。
5）Windows XPやMeのシステムの復元機能でバッサリと、インストール前の状態に。

　不適切なアンインストール操作・または適切にアンインストールしたはずなのに、様々な不具合が起きる事例もあります。思いつく限りではこのようなものです。
1）OSが起動できなくなった。
2）ネットワークに接続できない（特にLSP（Layered Service Provider）をいじるマルウェア関連）。
3）他のソフトウェアが起動できなくなった。
4）他のソフトウェアがインストールできない。
5）C:\Program Filesを全てカラにされた。
6）同じメーカーの他製品を導入したが、アンインストールした製品と誤認され、新しくインストールした別製品が正常に動作しなくなった。
7）アンインストール時にInternet Explorerが起動し、怪しいサイトへ接続され、何かのIDや個人情報を抜かれた。
8）Inernet Explorerの制限リストや、hostsファイルの編集（ユーザーの了解を得ない場合を含む）。これらが導入前の状況にならない。

　コメントをいただけるのでしたらば、ソフトウェアの名称及びそのバージョンと配布されていた時期、不具合の内容、それらを紹介しているサイトのURIを記載していただければ幸いです。
　投稿していただきました情報は取りまとめ活用させていただきたいんですが。しかしながら全てを活用できない場合もあります。再現性などの判断評価にて・または特定環境下での問題であるのではと考えられた場合も、すいませんです。
　ですがその際に掲載できなかった話であっても、何か関連情報があり他のネタと結びついた折には（数ヶ月後やもしれませんが）参考とさせていただく場合もありますので。その折にはお世話になります。
  

　連休期間中、皆様いかがお過ごしでしょうか。
　最近大ネタを追いかけており更新もままならない状態ですが。割と元気です。

　自分とメールのやりとりをした方ならば皆さん苦笑なされること必死ですが。自分は疑問に感じた事柄は積極的に質問したり・また意見を送りつける性格です。
　相手の迷惑を省みず、瑣末な話題であっても（この背景を説明しようとするために）数十行となってしまい。
　時たま、いや、頻繁に、「無駄に長文を送りつけるなー！」と怒られたりします。
　これは「Lucaさんはそのような人なのだ」と納得し、その上で付き合っていただくしかありません。

　さて。　多くの方は気付かれませんが、Sempliceでの記事は一つの記事を完成させるまでに、多くの労力や取材活動を重ねております。
　皆さんは流し読みし「ふーん」と一言発するだけのような記事であっても、実は裏ではかなりの労力を費やしております。大変有用な情報を提示していただいた場合は、匿名希望なり「ここだけの話」でなければ、取材源を提示するよう試みてはおります。
　（大抵の方は取材源としての自身のサイトやハンドルを紹介されるのを断られますが）

　2-3ヶ月かけてネタを集め・方々へ意見を伺うメールを送りつけたり。
　どこかのブログで興味深いネタを見つければ、いきなりコメントを書いて質問したり。
　そのような取材行為は、多くの艱難を伴います。

　そこで、皆様にこの場にて質問です。
　信頼される質問や情報提供の求めは、どのようにすれば良いんでしょうか？

　ウイルス・スパイウェアやハッキング。このような話題は多くの方に対し不安感を感じさせます。
　一例として「そのスパイウェアの感染経路は何ですか？」と尋ねたとしますが。
　こちらの質問コメントやメールに対して、多くの方は「うわぁ！何この人！」と不信感を感じるでしょう。
　そりゃそうです、自分も見ず知らずの方よりダークな話題（と受け止められるような話）を持ち込まれたらば、警戒しますよ。
　返信が無いのもいつもの事。時と場合によっては「お前は何を企んでいるんだ！」といきなり怒られたりします。


　いや、わかるんですが。

　自分はよく、仕事の上での問い合わせを方々の団体や試験研究機関にメールで送付します。
　個人名では大抵の場合は、無視ですが。
　職場の名前を提示した上での問い合わせメールでは、皆さん必ず・確実に、大変丁寧な返信をして下さいまして。そして頼みもしないのに関連資料をわざわざ郵送してくださいます。

　ここで皆さんに質問です。
　「どこかのブログなどに突撃取材する際に、返信率を上げ、そして信頼できる人物であるとアピールするにはどうしたばいいんでしょうか？」