2006年07月22日 - CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!
This article includes simple English summary.
CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?より続く
(Continued from CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?)
最も不審な点としては、郵便で送付する書類に記載すべき情報、例えば氏名住所や製品のシリアルNoなどが一切掲載されていないため、料金引き落としを停止させるためには何をどう連絡したらば良いのかが全くわからない。
海外への配達証明郵便って、どうやって送付するんだろうか。
とりあえず「英語で手紙を書く自信が無い日本のユーザーは、この製品をクレジットカードで購入するのは注意を払うべきだ」
CyberDefender社のhttp://www.cyberdefender.com/internet-security-company/products.htmより製品購入を試みると、https://www.regsoft.net/(以下略)へリダイレクトされるだろう。そしてこれらのページにては、自動更新によるクレジットカードからの代金引き落としについては一切記載が無い。
同様に「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)より「購入する」を押して表示されるhttps://www.regnow.com/softsell/nph-softsell.cgiにしても、そのような説明は記載されていない。
インストールするか否かに関わらず、一度購入してしまえば代金を毎年勝手に引き落とされるのか?さすがに自分はクレジットカードで購入し試す勇気が無い。
この状況で自動更新にて代金を引き出されるのだとしたらば、これは問題だ。1年越しの計画で試したいものだが、無理があるのでご容赦願いたい。
(*クリックで拡大)
https://www.regsoft.net/regsoft/store/(以下略)の画面がIEにて表示されるだろう。
ここにも自動更新にて金銭を毎年引き出すとの記述は存在しない。
大体、わざわざ英文の郵便を送らなければ毎年勝手に料金を引き出されると知ったならば、多くのユーザーは購入を躊躇するのではなかろうか?
これではユーザーより明示的な更新希望の意思を十分に確認したとも言えないだろう。そもそも、ユーザーよりの申し込みが無いのに更新料を引き出す行為は異様なのだ。
例えば某アンチウイルスソフトは、期限間近になればメールにてわざわざ更新を促す連絡を送付するだろう。それが当たり前なのではなかろうか。
(もちろん自分は有料の製品版を購入していないため、体験版と製品版ではEULAの内容が違う可能性は否定しないが、それはまずありえない)
また英文の郵便にて連絡をしなければならないのは、日本人にとっては無理があるのではないだろうか。
そこで人力検索はてなにてアンケートを実施した。カテゴリは「コンピュータ」と「インターネット」、対象ユーザー:全てのはてなユーザー、性別、年代、地域は全てである。
(1)(2)(3)は有効回答とはみなさず集計よりは外した。
(I regarded anser (1), (2) and (3) as meaningless answer.)
(4)-(8)を集計。有効回答1142件のうち、ユーザーの許諾を十分に受けていないソフトウェアの更新であっても8%(n=93)は電子メールならばOK。3.5%(n=36)は英文での郵便は平気との事だ。
そして88.7%(55+106+852)のユーザーがNoを突きつけた。このうち74.6%(n=852)は、エンドユーザーへの連絡が無いのに更新料金を引き出す行為に対し反対した。
多少設問の仕方が不適切であった感もあるのだが。少なくともCyberDefender社の自動更新名目での料金請求は、日本の多くのエンドユーザーには受け入れられないとの解釈で間違いは無いだろう。
FTCより引用しますが、長くなりますので一部のみを抜粋。
今後はBoguswareか否かなどの視点に留まらず、消費者保護の観点よりのアプローチが求められそうな。
どうも複数のソフトウェアが同時に導入される際には、見逃しが生じるらしい。
製品そのものに重篤な瑕疵が存在する可能性がある。
また今回の誤検出 - つまり単なる検索履歴をマルウェア関連として検出した現象は、あまりにも不可思議である。そしてこれらは長期間に渡って修正されていない。
しかも使用許諾説明書(EULA)に記載されているものの、購入ページには一切記載されていない。
「ユーザーよりの更新停止がなければ代金を請求する」のはおかしい。「ユーザーよりの更新申請があれば代金を請求する」のが、スパイウェア対策ソフトの更新としては理想的なのではなかろうか。
自分はCyberDefenderによる請求が、ユーザーの十分な理解を得て了承を受けたとは思えない。
はてなでのアンケートの結果にても、大多数がこのような請求に否定的な見解を示した。
(幾つかの事例では、不審なスパイウェア対策ソフトを導入させたダウンローダー系マルウェアそのものを検出させ、購入を強要する目的と考えられる)
nowandzenさんにより「(対策ソフトを装うアンチスパイウェアソフトの)機能面だけではなく、宣伝・販売面などのマーケティング的側面が問題になってくるのでは」との指摘を受け、じっくりと考えたんですが。
存在しない脅威をちらつかせる・自作自演で検出対象ファイルを作成するようなソフトウェアは、法的な問題をクリアできない可能性が高いため、スマートではないのだろう。それよりは一旦ガッチリと握ったエンドユーザーの不安感を、ソフトウェア製造元とは別・または別と思わせる企業が営利的にアレコレする方が利口だ。
何でもいいからまず購入させる、これは既存のBogusware/Roguewareやベイトウェア(Baiteware)にてはよくある話なのだが。自動更新機能を利用し文書によるキャンセルが行われない限り延々と料金を請求するのが目的なのだろうか?
CyberDefender Security Toolbarはアルテック社が何故か、有用なフリーウェアとして紹介している。
「CyberDefender Security Toolbar (アルテック)(http://www.altech-ads.com/product/10002287.htm)」
まぐまぐにても、アルテック社の宣伝が2006年4月25日掲載された。
うーむ。。。。。ここで大変悩んだんですよ。
Spyware Warriorにより非難されている悪質ソフト製造元が、このような有用な「まともな」製品をわざわざ表で販売するものだろうか?
2ヶ月に渡りテスト全般の解釈に様々なアイディアをいただきましたSakaiさん、文章校閲を行っていただいたmashさん、不審ソフトウェアのマーケティング的側面を指摘していただいたnowandzenさんに対し、心より御礼申し上げます。
また米国での法令を紹介していただきましたBen Edelmanさんに、深く感謝いたします。
Spyblocsのテスト報告
ランサムウェア(Ransomware)とFUD
マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
Bogus wareとRogue ware、インチキソフト
To given an example that comes most quickly to mind, CyberDefender AntiSpyware 2006 had detected file search history and showed false positive results until recently, however, the false positive detection was not fixed for a long time. Moreover,it could hardly detect some adware/spyware files, the shortcomings of such detection were fairly obvious.
An annual charge of the licence so-called "Automatic Licence Renewal" was required by CyberDefender Corporation, and they demanded the cancellation of the renewal by letter (not E-mail !!!). The trouble was that there was no explanation as to "Automatic Licence Renewal" when consumers purchased the software on their Website.
I had been considering that they didn't had enough approval of "Automatic Licence Renewal" from us. In support of this suggestion, most Japanese contestants had a negative opinion toward "Automatic Licence Renewal without enough assent" as a result of the questionnaire in Hatena.
Interestingly, CyberDefender AntiSpyware 2006 have been sending strange ID to 66.223.40.81 (nag.cyberdefender.biz), however, activities as a spyware remain to be tested more carefully.
CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?より続く
(Continued from CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?)
更新料金を毎年自動的にクレジットカードより引き出し、キャンセルは難しい
使用許諾説明書(EULA)に潜む罠
CyberDefender AntiSpyware 2006体験版をインストールする際に表示されるEULA(使用許諾説明書)に以下のような文面がある。これはCyberDefender AntiSpyware 2006をインストールする際に表示されるものだ。10. Automatic License Renewal一度購入してしまえばその後は、英語にて郵便を送るまで永久に1年おきに更新料を請求され、クレジットカードより引き落とされるとの意味である。電子メールは何故にダメなのだろうか(そもそもこの部分には、メールアドレスの記載は無い)
As described above, you may use the Software for a period of one (1) year from the date of Purchase (“Initial Term”) without any additional cost to you.
However, at the expiration of the Initial Term, CyberDefender will automatically renew your license by charging the credit card used to purchase the Software in an amount equal to the original purchase price for successive one year terms (“Successive Term”) until cancelled in writing by you within ten days of the anniversary of the date of Purchase or a Successive Term (“Cancellation Period”).
Your written notice of cancellation should be sent via regular or overnight mail with proof of delivery to be received by CyberDefender prior to the end of Cancellation Period to:
CyberDefender Corporation
ATTN: Cancellation Department
12121 Wilshire Blvd., Suite 350
Los Angeles, CA 90025
和訳
上記のように、あなたは追加料金無しで、購入した日付より1年間(最初の期間)の間、ソフトウェアを利用してもよい。
しかしながら最初の期間の満期には、購入もしくは継続期間の期日の10日以内にあなたにより書面でキャンセルされるまで、CyberDefenderは自動的に、ソフトウェアの購入に利用したクレジットカードに元々の購入金額と等しい金額で支払いを請求し、一年間の期間(継続期間)としてあなたのライセンスを更新する。
あなたの取り消し書面は通常の郵便もしくは翌日配達郵便で配達証明付きでCyberDefenderにキャンセル期間が終わる前に送付されなければならない。
最も不審な点としては、郵便で送付する書類に記載すべき情報、例えば氏名住所や製品のシリアルNoなどが一切掲載されていないため、料金引き落としを停止させるためには何をどう連絡したらば良いのかが全くわからない。
海外への配達証明郵便って、どうやって送付するんだろうか。
とりあえず「英語で手紙を書く自信が無い日本のユーザーは、この製品をクレジットカードで購入するのは注意を払うべきだ」
有料版購入ページには、自動更新に関する説明が無い
さて、上記は体験版インストール時に表示される使用許諾説明書の話であったが。体験版ではなく有料の製品版を購入する際には、毎年料金をクレジットカードより請求するとの説明はどうなっているのだろうか。CyberDefender社のhttp://www.cyberdefender.com/internet-security-company/products.htmより製品購入を試みると、https://www.regsoft.net/(以下略)へリダイレクトされるだろう。そしてこれらのページにては、自動更新によるクレジットカードからの代金引き落としについては一切記載が無い。
同様に「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)より「購入する」を押して表示されるhttps://www.regnow.com/softsell/nph-softsell.cgiにしても、そのような説明は記載されていない。
インストールするか否かに関わらず、一度購入してしまえば代金を毎年勝手に引き落とされるのか?さすがに自分はクレジットカードで購入し試す勇気が無い。
この状況で自動更新にて代金を引き出されるのだとしたらば、これは問題だ。1年越しの計画で試したいものだが、無理があるのでご容赦願いたい。
体験版よりのアクティベート
体験版(Trial version)をインストールし、ACTIVATEするための画面よりclick hereを押す。
(*クリックで拡大)
https://www.regsoft.net/regsoft/store/(以下略)の画面がIEにて表示されるだろう。
ここにも自動更新にて金銭を毎年引き出すとの記述は存在しない。
自動更新による料金引き出しに対する、ここまでのまとめ
購入時に一切の説明が無く。インストール時に表示されるEULA(使用許諾説明書)の記載を見たユーザーがやっと自動更新の存在を知り、自動更新を停止するためにわざわざ郵便にて連絡しなければならないようなのだが。大体、わざわざ英文の郵便を送らなければ毎年勝手に料金を引き出されると知ったならば、多くのユーザーは購入を躊躇するのではなかろうか?
これではユーザーより明示的な更新希望の意思を十分に確認したとも言えないだろう。そもそも、ユーザーよりの申し込みが無いのに更新料を引き出す行為は異様なのだ。
例えば某アンチウイルスソフトは、期限間近になればメールにてわざわざ更新を促す連絡を送付するだろう。それが当たり前なのではなかろうか。
(もちろん自分は有料の製品版を購入していないため、体験版と製品版ではEULAの内容が違う可能性は否定しないが、それはまずありえない)
日本のエンドユーザーは自動更新による請求をどう考えるのか
このような商習慣は、米国ではありきたりな事例なんだろうか?また英文の郵便にて連絡をしなければならないのは、日本人にとっては無理があるのではないだろうか。
そこで人力検索はてなにてアンケートを実施した。カテゴリは「コンピュータ」と「インターネット」、対象ユーザー:全てのはてなユーザー、性別、年代、地域は全てである。
Question: 自動更新にて英文による郵送で明示的拒否が無い限りクレジットカードより引き落とされる料金(択一)
(Automatic License Renewal unless cancelling over mail written in English.)
1)とりあえずポイントゲット:70
(I only get answer point.)
2)意味わかりません:87
(What are you speaking about???)
3)英語が嫌い:100
(I don't like English.)
4)誰が更新したいって言ったんだよ!:55
(Who apply renewal? I didn't!!! )
5)英文でも電子メールならばOK:93
(I don't hesitate send a E-mail in English.)
6)英文で郵便を送付するのは嫌:106
(I don't hope to send a letter in English.)
7)英文で郵便を送付するのは全然OK:36
(I don't hesitate cancellation of the renewal by letter in English.)
8)更新の意思を連絡しないのに金銭を自動的に引き出すのはおかしい:852
(Automatic renewal without user's specified intention is strange!)
購入したソフトウェアがクレジットカードより毎年自動的に更新を行うため更新料を引き出し、更新停止を申請するためには英文で郵送で連絡しなければならないのは、どう思われますか?(人力検索はてな)
(1)(2)(3)は有効回答とはみなさず集計よりは外した。
(I regarded anser (1), (2) and (3) as meaningless answer.)
(4)-(8)を集計。有効回答1142件のうち、ユーザーの許諾を十分に受けていないソフトウェアの更新であっても8%(n=93)は電子メールならばOK。3.5%(n=36)は英文での郵便は平気との事だ。
そして88.7%(55+106+852)のユーザーがNoを突きつけた。このうち74.6%(n=852)は、エンドユーザーへの連絡が無いのに更新料金を引き出す行為に対し反対した。
多少設問の仕方が不適切であった感もあるのだが。少なくともCyberDefender社の自動更新名目での料金請求は、日本の多くのエンドユーザーには受け入れられないとの解釈で間違いは無いだろう。
FTCの基準にてもCyberDefenderはダーク
Ben Edelmanさんに興味深いネタがあるよと連絡したらば、Federal Trade Commission (FTC:米連邦取引委員会)のページを紹介され、CyberDefenderは消費者に明瞭な説明を求めるFTC Ruleを満たしていないのではとのアドバイスを頂きました。FTCより引用しますが、長くなりますので一部のみを抜粋。
The Prenotification Negative Option Ruleなんか、日本の国民生活センターとか消費者生活センターみたいですね。
The Federal Trade Commission enforces the Prenotification Negative Option Rule.
The Rule requires companies to give you information about their plans, clearly and conspicuously, in any promotional materials that consumers can use to enroll.
<和訳>
通知前の否定的選択プラン
連邦取引委員会は通知前の否定的選択プランの規則を実施する。
規則は会社に対してどのような販売促進のネタであったとしても、消費者が登録するために使うことができるどんな販売促進のネタであっても、はっきりと明瞭にあなたに彼らのプランの情報を提示しなければならないと要求する。
Prenotification Negative Option Plans (FTC)
今後はBoguswareか否かなどの視点に留まらず、消費者保護の観点よりのアプローチが求められそうな。
Conclusion - CyberDefender AntiSpyware 2006は推奨できる製品ではない
検出力及び監視機能の不十分さ
前報で説明した通り、性能はあまりにも稚拙だ。 常駐監視機能が備わっているものの、堂々とこれをすりぬけるソフトウェアがあるのが理解できない。更に納得いかない点としては、すりぬけたソフトウェアは手動スキャンにより検出されるのだ。どうも複数のソフトウェアが同時に導入される際には、見逃しが生じるらしい。
製品そのものに重篤な瑕疵が存在する可能性がある。
また今回の誤検出 - つまり単なる検索履歴をマルウェア関連として検出した現象は、あまりにも不可思議である。そしてこれらは長期間に渡って修正されていない。
自動更新名目での、クレジットカードへの請求
購入しインストールしたユーザーがわざわざ更新停止を(E-mailではなく)郵送で申請しなければならないのは、異常だ。しかもEULAには、キャンセルに当って何を連絡すべきなのかが記載されていない。しかも使用許諾説明書(EULA)に記載されているものの、購入ページには一切記載されていない。
「ユーザーよりの更新停止がなければ代金を請求する」のはおかしい。「ユーザーよりの更新申請があれば代金を請求する」のが、スパイウェア対策ソフトの更新としては理想的なのではなかろうか。
自分はCyberDefenderによる請求が、ユーザーの十分な理解を得て了承を受けたとは思えない。
はてなでのアンケートの結果にても、大多数がこのような請求に否定的な見解を示した。
CyberDefender社の目的は何なのだろうか
Sempliceでの過去の複数のレポートにて紹介したように、存在しない脅威を検出し購入を迫るような悪質ソフトウェアであっても何故か、最低レベルの検出力を備え、幾つかのマルウェアを検出できる場合がある。(幾つかの事例では、不審なスパイウェア対策ソフトを導入させたダウンローダー系マルウェアそのものを検出させ、購入を強要する目的と考えられる)
nowandzenさんにより「(対策ソフトを装うアンチスパイウェアソフトの)機能面だけではなく、宣伝・販売面などのマーケティング的側面が問題になってくるのでは」との指摘を受け、じっくりと考えたんですが。
存在しない脅威をちらつかせる・自作自演で検出対象ファイルを作成するようなソフトウェアは、法的な問題をクリアできない可能性が高いため、スマートではないのだろう。それよりは一旦ガッチリと握ったエンドユーザーの不安感を、ソフトウェア製造元とは別・または別と思わせる企業が営利的にアレコレする方が利口だ。
何でもいいからまず購入させる、これは既存のBogusware/Roguewareやベイトウェア(Baiteware)にてはよくある話なのだが。自動更新機能を利用し文書によるキャンセルが行われない限り延々と料金を請求するのが目的なのだろうか?
Appendix - CyberDefender Security Toolbarとは
このソフトウェアの名称でGoogle検索すれば、多くの「まともな(もしくはそう見える)セキュリティ対策サイト」やニュースポータルやブログが、有用なソフトウェアとして紹介している記事を目にするだろう。CyberDefender Security Toolbarはアルテック社が何故か、有用なフリーウェアとして紹介している。
「CyberDefender Security Toolbar (アルテック)(http://www.altech-ads.com/product/10002287.htm)」
まぐまぐにても、アルテック社の宣伝が2006年4月25日掲載された。
CyberDefender Security Toolbar(サイバーディフェンダー セキュリティ自分にはフィッシング詐欺対策ツールなどを検証するノウハウが無いためnowandzen氏に依頼したところ、幾つかの取りこぼしはあったものの対策ツールとして正常に稼動したそうだ。
ツールバー)は、アンチフィッシング、アンチハイジャッキングツールバー
です。様々な脅威から守ると同時に、個人情報を保護してくれます。
説明
‐アンチハイジャッキング技術で安全検索
‐アンチフィッシング技術でインターネット詐欺警告
‐スパイウェア警告
‐パスワード警告
‐ポップアップブロッカー
「【日刊】 厳選!使える!世界のソフトウェア (まぐまぐ)(http://blog.mag2.com/m/log/0000137779/107205476)」
うーむ。。。。。ここで大変悩んだんですよ。
Spyware Warriorにより非難されている悪質ソフト製造元が、このような有用な「まともな」製品をわざわざ表で販売するものだろうか?
Acknowledge
CyberDefender AntiSpyware 2006のお題をいただきましたm-fileさんの話題提供により、全く新しいテーマと問題点を見出せたと感謝いたします。2ヶ月に渡りテスト全般の解釈に様々なアイディアをいただきましたSakaiさん、文章校閲を行っていただいたmashさん、不審ソフトウェアのマーケティング的側面を指摘していただいたnowandzenさんに対し、心より御礼申し上げます。
また米国での法令を紹介していただきましたBen Edelmanさんに、深く感謝いたします。
関連記事
CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?Spyblocsのテスト報告
ランサムウェア(Ransomware)とFUD
マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
Bogus wareとRogue ware、インチキソフト
English Summary of CyberDefender AntiSpyware Review
There is a vast and impressive amount of discussion about SpyBlocs in Spyware Warrior, and I reached the same conclusion that "CyberDefender AntiSpyware was the same software as SpyBlocs" as he stated on the Website.To given an example that comes most quickly to mind, CyberDefender AntiSpyware 2006 had detected file search history and showed false positive results until recently, however, the false positive detection was not fixed for a long time. Moreover,it could hardly detect some adware/spyware files, the shortcomings of such detection were fairly obvious.
An annual charge of the licence so-called "Automatic Licence Renewal" was required by CyberDefender Corporation, and they demanded the cancellation of the renewal by letter (not E-mail !!!). The trouble was that there was no explanation as to "Automatic Licence Renewal" when consumers purchased the software on their Website.
I had been considering that they didn't had enough approval of "Automatic Licence Renewal" from us. In support of this suggestion, most Japanese contestants had a negative opinion toward "Automatic Licence Renewal without enough assent" as a result of the questionnaire in Hatena.
Interestingly, CyberDefender AntiSpyware 2006 have been sending strange ID to 66.223.40.81 (nag.cyberdefender.biz), however, activities as a spyware remain to be tested more carefully.
Posted by Luca at 18:38
│
│
2006年07月21日 - CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?
This article includes simple English summary on next article.
CyberDefender AntiSpyware 2006はCyberDefender Corp.なる企業が販売しているアンチスパイウェアソフトであり、ネット上ではSpyBlocsとの関係を指摘されBogus ware(インチキソフト)扱いされている。m-file氏のコメントによれば、CyberDefender AntiSpywareを導入後、Spybot等がSpyBlocsとして検出したという。
CyberDefender社は怪しい製品を販売しつつも、フィッシング詐欺対策ツールとしてCyberDefender Security Toolbarなる製品を公開しており、これは多くの海外ニュースポータルやまた日本企業が宣伝している。
これらは信頼できる製品なんだろうか?
今回はCyberDefender AntiSpywareについて話を進める。
Spyware Warriorの短い解説を引用し紹介するが、eBlocs社のSpyBlocsという評判の悪いソフトウェアとの関連が掲載されているのみであり、具体的な理由、つまり何故にインチキソフトなのかは掲載されていない。
ちなみにこのCyberDefender AntiSpywareは、日本国内では2006年7月14日よりアルテック株式会社が「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)」のページにてわざわざ購入代行サービスを行っている。
SpyBlocs/eBlocs - Rogue Status Update (Spyware Warrior)にてはアンインストールできないなどの情報が掲載されているものの、関連リンク先が404エラーなので詳細情報がわからず。
mashさんよりeBlocs.com (No Spyware)を紹介していただいたのだが、どうもSpyBlocsそのものによる影響ではなく、他のアドウェアによって引き起こされたような気がする。
Symantec社ではSpyBlocsについてこのように言及している。
リダイレクト先はかなり長いURIだ。
(eBlocsはSpyBlocsのメーカーである)
C:\Program Files\CyberDefender\AntiSpyware\CDAScfg.iniには「InstSpyBl03=1」というSpyBlocsを連想させる文字列がある。
ネットワークキャプチャの結果、spybl.cyberdefender.com.へ「HEAD /wsliveup/advisor/wsliveup.dat.03 HTTP/1.1」のトラフィックが生じた。
自動アップデート時にはdownload.cyberdefender.comより「 /as2006/spyblpat14.dat.03」や「 /as2006/spybl03.exe」などをダウンロードしようとするのを確認した、のだが。何だかよくわからない結果となった。spybl.cyberdefender.com:6083に接続した際に凄まじい数のIPアドレスと5000以降のPort番号の組み合わせが送られ、各種ファイルのダウンロードはこれらのうちいずれかにて行われるようだ。負荷分散か?
ダウンロード後には、cdaspat14.dat.03やcdas03.exeのようにリネームされC:\Program Files\CyberDefender\AntiSpyware\WsLiveUpFiles中に保存されるようだ。OS再起動後にC:\Program Files\CyberDefender\AntiSpyware中のファイルと置換されるだろう。
SpyBlocsはSpyBlocs (Symantec)にて「SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。」として掲載されている。
この解説中に「C:\Program Files\eBlocs\SpyBlocs\spyblpat14.dat.03」などのファイル名がチラホラと見つかるだろう、これは今回CyberDefender導入後にダウンロードされたファイルである。
7月1日にはインストール後にアップデート操作をしOSを再起動、Signature Databese: 6.06.29.21、Update AS2006 AntiSpyware: 1.06.29.04となった後に追試したが、インストール直後の状態でも結果は変わらなかった。
同様に7月21日にSignature Databese: 6.07.19.22、Update AS2006 AntiSpyware: 1.07.20.02となった後に追試したが、結果は変わらなかった。
Windows2000 SP4導入直後のマシンを用意。
CyberDefender Corp.よりダウンロードし導入したインストーラーはこのようなものである。
供試したWindows2000 SP4にては、HKCU\Software\Microsoft\Internet Explorer\Explorer Barsには{32683183-48a0-441b-a342-7c2a440a9478}の値があるのみである。
この状態ではCyberDefender AntiSpyware 2006は何も検出しないだろう。
さて、「ファイルやフォルダの検索」を実行する。一回目は「ファイルまたはフォルダの名前」を「1st」として検索、2回目は2nd、3回目は3rdだ。
(*クリックで拡大)
「HKCU\Software\Microsoft\Internet Explorer\Explorer Bars」に{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}の名称のキーが作成される。
CyberDefender AntiSpyware 2006によるスキャンはどうなるだろうか?デフォルトのQuick Scanにて試す。
(*クリックで拡大)
このレジストリエントリは、「ファイルやフォルダ」を検索した際に作成されるものである、つまりサーチアシスタント(Search Assistant)機能の履歴(File search history)なのだが。
(これがファイルの名称を記録し保存するとの話は、プライバシー関連の問題として扱われる事例はあるが)
「何故に001のみなんだろうか?000や002は検出対象とはならないのだ?」
更に不審な点として、何故にBrilliant Digital(とある迷惑ソフト業者)関連と表示するのだ?
またC:\WINNT\as_affiliate.iniファイルの中身は「http://vendor.cyberdefender.biz/cart/?affl=CDSITE_000」の一行のみである。
「C:\Program Files\CyberDefender\AntiSpyware」中にCDAScfg.iniなるファイルがあり、AffNum(アフィリエイトナンバーの略か?)など不思議な記述があるのだ。
しかしこれらの値は、特に意味があるものではないようだ。
一例として一部を略すと、{10B02D5B-3F15-4CED-9B4F-(以下12文字の数字とアルファベット)}のようなものだ。どうやら重複したIDが作成されないようなので、GUIDなのだろう。
このGUIDはCyberDefender AntiSpywareをインストールする度に異なる値が設定され、66.223.40.81(nag.cyberdefender.biz)宛に送信される。
(GUID(Globally Unique Identifier):一意な識別子などと和訳され、他に同じIDを割り当てられる対象が存在しないID。)
何らかの形で個人を特定できる形で・または具体的に特定し得なかったとしても本来結びつけるべきではない情報(閲覧したサイトや挙動など)と共に送信されるならば、CyberDefender AntiSpywareはスパイウェアとなるだろう。
しかし今回はそのような挙動は確認できなかったため、CyberDefender AntiSpywareがスパイウェアであるとは断言できなかった。しかしながらこの点はより慎重に追試を行う必要があるだろう。
また「一見ランダムに見えるIDが実はある規則性・法則性を持っており、特定の値へ変換できるのであれば、結局は個人を特定し得る可能性があるのでは」と指摘されたのだが、この点についてはどうもよくわからない。
今後の課題として機会があればじっくりと考えてみたい。
Date Discoveredとあるのだから、このページが新規にシグネチャに登録されたウイルス・スパイウェアのリストであるのは間違いないようなのだが。。。。。
Threat Nameの欄には実行ファイルの名称のようなものが掲載されているのみで、これらの詳細情報は一切掲載されていない。
あまりにも情報不足である。これでは何らかのマルウェアに対し新たに「本当に」対応しているのか否かがさえも判別できないだろう。
(*クリックで拡大)
これらを選んだ理由は、(本当にスパイウェアなのかどうかはともかく)大抵の製品は検出対象とするであろうとの、個人的な見解に基づくものである。
設定は「Select Scan Mode」にてQuick ScanよりFull System Scanに変更してある。
Alexa Toolbar (http://www.alexa.com/)とHotBar (http://www.hotbar.com/)を他のパソコンにてダウンロードし準備、これをインストール。
GainはこれをバンドルするPrecision TimeのAd-Support無料版 (http://www.precision-time.com/)の実行ファイルinstallprecisiontime.exeを予めダウンロードしておき利用したが、現在ではこのソフトウェアは本家よりはダウンロードできないだろう。
7月1日に最初にテストし、7月7日にSignature Databese: 6.07.05.17、Update AS2006 AntiSpyware: 1.06.29.04にアップデート後に追試した。
(*クリックで拡大)
BLOCKを押す、しかしスタートメニューにPrecision Timeのメニューが作成され、これよりPrecision Timeを起動すれば警告が出る。
(*クリックで拡大)
その後手動検索したらば、一応は検出されるのだが。
Claria.Precision Timeの検出名で表示されるprecisiontime.exeはインストール時には警告されず、インストール後になってから検出されるのだが。これは常駐スキャン機能を備えるスパイウェア対策ソフトウェアとしては、あまり意味が無いような気がする。
(Precision Timeがスパイウェアか否かの議論はこの場では意味が無いため論じない)
何かこのCyber Defender AntiSpywareの挙動は、おかしいような気がする。
Gatorは現在は配布中止になっているようなので新規感染者も出ないだろうし、どうでもいいんだが。
(*クリックで拡大)
同様にWeatherOnTray、bnzftzlqもBLOCK。
手動スキャンで幾つかが検出された。
HotBar (1)はC:\Program Files\HbTools\Bin\4.7.5.0\dBenderC.dll、Hotbar virus (2)はC:\Program Files\HbTools\Bin\4.7.5.0\ShopperReports.exeなどらしい。
これらを「Remove Selected Items」より削除
OSの再起動を求められたので、「はい(Y)」を押す。
再起動後に「A new Browser Helper Object program has been added. Do you approve?」と表示はされるのだが、ここでBLOCKを選択しても改善しない。どうやらBHO関連は対応が不十分らしい。
(何故か7月7日にはFileの項目が空白であったため、7月1日にキャプチャした画像を貼り付けるが、CLSIDは同じ)
(*クリックで拡大)
(*クリックで拡大)
(*クリックで拡大)
インストール後にCyberDefemder AntiSpyware 2006でスキャンし検出されたものを削除したものの、症状は改善しない。
HijackThisのログではしっかりと残っている。
どうしょうもない事にブラックウォームまで出てきた、しかしCyberDefender AntiSpywareは何もしてはくれないのだ。
(*クリックで拡大)
Alexa Toolbarインストール後に手動スキャンした結果は、凄まじい数の検出数となったのだが、検出されたものは全て削除した。
今回はOSの再起動は求められなかったのだが、一応再起動。
HijackThisのログには、かなり多くのゴミが残っている。
この状態でInternet Explorerで表示したアンカー(リンク)上にてマウスを右クリックすると、このようになる。
そしてBrilliant Digital関連として表示されるのは単なる製品のミスであり、検出されたものの解説が偶然何かのミスで他のものに入れ替わったのだと。
以前マルウェア対策ソフトウェアの瑕疵について、マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか (Semplice)なるブログエントリを掲載したのだが。
CyberDefender AntiSpyware 2006はインチキソフトではなく単なる「技術的に未熟な製品」に過ぎないのだろうか?
あまりにもおかしな話として、検出対象は001のみであり、000と002は検出対象ではない。つまり「ファイルの検索履歴全てを検出対象とするのではない」点に注目した。
これは通常、有り得ないのではなかろうか。
普通の・極めて「感度が良い」対策ソフトウェアならば、000と002も検出対象とするはずである。だから「単なるクッキーを危険なものとして表示し不安を煽るようなソフトウェア」とは別の次元なのだ。
(注意:検索履歴が何を検索したものであっても、001のみが検出対象となる)
更に・過剰に・無意味に、この製品について好意的見解を示すとして。
こちらは5月より何度も何度もテストしているが、全く同様の結果となっている。
まともな製品ならば通常社内テストは行うだろうし、このような問題が長期に渡って見過ごされるとは考えづらい
アンチスパイウェアソフトやアンチスパイウェアソフトメーカーでは、社内にて検体をテストするに当っては、インストール直後・またはサービスパックやパッチを導入した最新の状態でのマシン(もしくはそのようなバーチャルマシン)にて検証を行うらしい。
またこのような「感染テスト」を行うに当っては、多くの研究者やネット上のブロガーもまた、そのような環境で行うようだ。
かなり偏見に満ちた考えでは、実際に運用しなければ作成されないレジストリエントリを検出対象とするインチキソフトは、このような「感染テスト避け」の効果を期待できる。
上記の「感染テスト」なり「誤検出対策の見逃し」について、じっくりと考えてみる。
製造元であるならば当然ある程度こなした複数の環境でテストを行うだろう。そして当然社内の幾つかのパソコンやまた関係者・知人にも利用させているはずである。だからCyberDefender Corp.がこの「誤検出問題」に気付かなかったとは考えづらい。
大手ソフトウェアメーカーであれば、そのような場当たり的な販売は行わないし、消費者よりのネガティブな反応に対して最後まで踏みとどまり改善し、信頼を得ようとするはずである。
SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト(Semplice)で紹介したように、ほぼ同一の不審ソフトウェアが多数存在する事例も存在する。これらは悪質なマルウェアに感染させたパソコンに無理矢理(もしくは勝手に)インストールする手法で有名になったソフトウェアである。
だがこのCyberDefender社は現在、一応裏家業ではなく表にて堂々と活動している企業である。だからこそ自分としては、彼らが何をしたいのかが理解できない。
そうは言っても当然の事実として、インストールしたユーザーが何らかのフィードバックや購入を行うならば、メールアドレスやその他の情報とこのTrack IDが結び付けられる可能性は否定できない。また何かのイベントにより活動する可能性も否定はできない。
本来ならば個人情報や漏洩が許容されないような情報の送信を確認できれば、スパイウェアであると判別できたのであるが。今回試した限りでは確認できなかったし、どのようにして検証すべきなのかアイディアが浮かばなかった。
さすがに個人レベルではこれ以上の追求は難しいため、大変残念ではあるが、検証作業はやや中途半端な段階で中断した。だから今回はCyberDefender AntiSpywareは(狭義の)スパイウェアの範疇には含めない事とした。
次の日のブログ、CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!へ続く
Story continued on next page "CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!! with English Summary".
CyberDefender AntiSpyware 2006はCyberDefender Corp.なる企業が販売しているアンチスパイウェアソフトであり、ネット上ではSpyBlocsとの関係を指摘されBogus ware(インチキソフト)扱いされている。m-file氏のコメントによれば、CyberDefender AntiSpywareを導入後、Spybot等がSpyBlocsとして検出したという。
CyberDefender社は怪しい製品を販売しつつも、フィッシング詐欺対策ツールとしてCyberDefender Security Toolbarなる製品を公開しており、これは多くの海外ニュースポータルやまた日本企業が宣伝している。
これらは信頼できる製品なんだろうか?
CyberDefender Corp.はまともな企業なのか?
CyberDefender Corporation社の製品一覧ページ(http://www.cyberdefender.com/internet-security-company/products.htm)には、スパイウェア対策のCyberDefender AntiSpyware 2006、ウイルス対策の CyberDefender AntiVirus 2006 (Beta)、フィッシング詐欺対策の,CyberDefender Security Toolbar、計3ツールが掲載されている。今回はCyberDefender AntiSpywareについて話を進める。
CyberDefender AntiSpywareについての評判は、情報不足
CyberDefender AntiSpywareについてネット上で既存の情報を調べたものの、いずれもSpyware Warriorへのリンクが紹介されているのみであり、他に有用な情報は全く存在しなかった。Spyware Warriorの短い解説を引用し紹介するが、eBlocs社のSpyBlocsという評判の悪いソフトウェアとの関連が掲載されているのみであり、具体的な理由、つまり何故にインチキソフトなのかは掲載されていない。
CyberDefender
product advertised through adware; same company as Spyblocs / eBlocs
Rogue-Suspect Anti-Spyware Products & Web Sites (Spyware Warrior)
Note on CyberDefender: the vendor for CyberDefender is the same as Spyblocs/eBlocs. The vendor claims to have purchased all new technology for CyberDefender, though the interfaces for CyberDefender and Spyblocs 6.0 bear more than a passing resemblance to one another.
Anti-Spyware Family Resemblances (Spyware Warrior)
ちなみにこのCyberDefender AntiSpywareは、日本国内では2006年7月14日よりアルテック株式会社が「CyberDefender AntiSpyware 2006 (アルテック)(http://www.altech-ads.com/product/10002723.htm)」のページにてわざわざ購入代行サービスを行っている。
CyberDefender AntiSpywareとの関連を指摘されているSpyBlocsとは
Spyware Warriorの文中にて取りざたされているeBlocs社のSpyBlocsについては、今より2年前の記事に言及がある。SpyBlocs/eBlocs - Rogue Status Update (Spyware Warrior)にてはアンインストールできないなどの情報が掲載されているものの、関連リンク先が404エラーなので詳細情報がわからず。
mashさんよりeBlocs.com (No Spyware)を紹介していただいたのだが、どうもSpyBlocsそのものによる影響ではなく、他のアドウェアによって引き起こされたような気がする。
Symantec社ではSpyBlocsについてこのように言及している。
SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。このプログラムは次に、報告された脅威を駆除するためにソフトウェアの登録されたバージョンを購入するようにユーザーに促します。なおSpyblocsのテスト報告 (Semplice)にて以前試用したのだが、存在しない脅威を検出するようなインチキソフトとしての挙動は認められなかった。
SpyBlocs (Symantec)
SpyBlocsとCyberDefenderの関連性
Spyblocsのテスト報告 (Semplice)にてSpyBlocsを入手したhttp://adv1.eblocs.com/spyblocs/adv/generic_001.htmlを開くと、別ドメインのCyberDefender AntiSpyware 2006の購入ページへとリダイレクトされるだろう。リダイレクト先はかなり長いURIだ。
(eBlocsはSpyBlocsのメーカーである)
C:\Program Files\CyberDefender\AntiSpyware\CDAScfg.iniには「InstSpyBl03=1」というSpyBlocsを連想させる文字列がある。
ネットワークキャプチャの結果、spybl.cyberdefender.com.へ「HEAD /wsliveup/advisor/wsliveup.dat.03 HTTP/1.1」のトラフィックが生じた。
自動アップデート時にはdownload.cyberdefender.comより「 /as2006/spyblpat14.dat.03」や「 /as2006/spybl03.exe」などをダウンロードしようとするのを確認した、のだが。何だかよくわからない結果となった。spybl.cyberdefender.com:6083に接続した際に凄まじい数のIPアドレスと5000以降のPort番号の組み合わせが送られ、各種ファイルのダウンロードはこれらのうちいずれかにて行われるようだ。負荷分散か?
ダウンロード後には、cdaspat14.dat.03やcdas03.exeのようにリネームされC:\Program Files\CyberDefender\AntiSpyware\WsLiveUpFiles中に保存されるようだ。OS再起動後にC:\Program Files\CyberDefender\AntiSpyware中のファイルと置換されるだろう。
SpyBlocsはSpyBlocs (Symantec)にて「SpyBlocs は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。」として掲載されている。
この解説中に「C:\Program Files\eBlocs\SpyBlocs\spyblpat14.dat.03」などのファイル名がチラホラと見つかるだろう、これは今回CyberDefender導入後にダウンロードされたファイルである。
CyberDefender AntiSpyware 2006を導入する
最も最初のテストは5月下旬にWindowsXP SP2、その後6月3日・6月19日・7月1日・7月21日にWindows2000 SP4で追試。7月1日にはインストール後にアップデート操作をしOSを再起動、Signature Databese: 6.06.29.21、Update AS2006 AntiSpyware: 1.06.29.04となった後に追試したが、インストール直後の状態でも結果は変わらなかった。
同様に7月21日にSignature Databese: 6.07.19.22、Update AS2006 AntiSpyware: 1.07.20.02となった後に追試したが、結果は変わらなかった。
Windows2000 SP4導入直後のマシンを用意。
CyberDefender Corp.よりダウンロードし導入したインストーラーはこのようなものである。
Install CyberDefender AS-152248.exe
size=3366328byte
MD5=7ab225ba6657c2fb916eb4639f0ea18d
size=3366328byte
MD5=7ab225ba6657c2fb916eb4639f0ea18d
供試したWindows2000 SP4にては、HKCU\Software\Microsoft\Internet Explorer\Explorer Barsには{32683183-48a0-441b-a342-7c2a440a9478}の値があるのみである。
この状態ではCyberDefender AntiSpyware 2006は何も検出しないだろう。
さて、「ファイルやフォルダの検索」を実行する。一回目は「ファイルまたはフォルダの名前」を「1st」として検索、2回目は2nd、3回目は3rdだ。
(*クリックで拡大)
「HKCU\Software\Microsoft\Internet Explorer\Explorer Bars」に{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}の名称のキーが作成される。
CyberDefender AntiSpyware 2006によるスキャンはどうなるだろうか?デフォルトのQuick Scanにて試す。
(*クリックで拡大)
このレジストリエントリは、「ファイルやフォルダ」を検索した際に作成されるものである、つまりサーチアシスタント(Search Assistant)機能の履歴(File search history)なのだが。
(これがファイルの名称を記録し保存するとの話は、プライバシー関連の問題として扱われる事例はあるが)
「何故に001のみなんだろうか?000や002は検出対象とはならないのだ?」
更に不審な点として、何故にBrilliant Digital(とある迷惑ソフト業者)関連と表示するのだ?
- WindowsXP / 2000の検索機能関連レジストリエントリについて -
CyberDefender AntiSpyware 2006の不審点
このスパイウェア対策ソフトウェアは、幾つかの点で大変不審な挙動を示す。幾つか紹介してみよう。怪しいファイルの作成
C:\CybDefInstallInfo.logの意味の無いファイルが作成される。またC:\WINNT\as_affiliate.iniファイルの中身は「http://vendor.cyberdefender.biz/cart/?affl=CDSITE_000」の一行のみである。
「C:\Program Files\CyberDefender\AntiSpyware」中にCDAScfg.iniなるファイルがあり、AffNum(アフィリエイトナンバーの略か?)など不思議な記述があるのだ。
しかしこれらの値は、特に意味があるものではないようだ。
CyberDefender AntiSpyware 2006のGUID送信はスパイウェア(Spyware)活動なのか?
HKEY_LOCAL_MACHINE\SOFTWARE\CybDefKeepSafe というキー中にClientIDという文字列があり、この値に注目した。これはC:\Program Files\CyberDefender\AntiSpyware\{ID}中のIDと同じ値である。一例として一部を略すと、{10B02D5B-3F15-4CED-9B4F-(以下12文字の数字とアルファベット)}のようなものだ。どうやら重複したIDが作成されないようなので、GUIDなのだろう。
このGUIDはCyberDefender AntiSpywareをインストールする度に異なる値が設定され、66.223.40.81(nag.cyberdefender.biz)宛に送信される。
(GUID(Globally Unique Identifier):一意な識別子などと和訳され、他に同じIDを割り当てられる対象が存在しないID。)
何らかの形で個人を特定できる形で・または具体的に特定し得なかったとしても本来結びつけるべきではない情報(閲覧したサイトや挙動など)と共に送信されるならば、CyberDefender AntiSpywareはスパイウェアとなるだろう。
しかし今回はそのような挙動は確認できなかったため、CyberDefender AntiSpywareがスパイウェアであるとは断言できなかった。しかしながらこの点はより慎重に追試を行う必要があるだろう。
また「一見ランダムに見えるIDが実はある規則性・法則性を持っており、特定の値へ変換できるのであれば、結局は個人を特定し得る可能性があるのでは」と指摘されたのだが、この点についてはどうもよくわからない。
今後の課題として機会があればじっくりと考えてみたい。
CyberDefender社のサポートページは不思議なほど情報不足
CyberDefender Corporation Internet Security Virus Threats (http://www.cyberdefender.com/internet-security-threats/virus-alerts.html)を開くと、ファイルの名称の一部のみがThreat Nameとして羅列されており、具体的にどのようなものが検出対象として登録されているのかわかりづいらい。更には個別のファイルに関する技術情報は無いようだ。Date Discoveredとあるのだから、このページが新規にシグネチャに登録されたウイルス・スパイウェアのリストであるのは間違いないようなのだが。。。。。
Threat Nameの欄には実行ファイルの名称のようなものが掲載されているのみで、これらの詳細情報は一切掲載されていない。
あまりにも情報不足である。これでは何らかのマルウェアに対し新たに「本当に」対応しているのか否かがさえも判別できないだろう。
(*クリックで拡大)
CyberDefender AntiSpyware 2006はアドウェア等を検出できるのか?
対策ソフトが検出対象とするであろうものとして、最も著名なものを幾つか供試する。これらを選んだ理由は、(本当にスパイウェアなのかどうかはともかく)大抵の製品は検出対象とするであろうとの、個人的な見解に基づくものである。
設定は「Select Scan Mode」にてQuick ScanよりFull System Scanに変更してある。
Alexa Toolbar (http://www.alexa.com/)とHotBar (http://www.hotbar.com/)を他のパソコンにてダウンロードし準備、これをインストール。
GainはこれをバンドルするPrecision TimeのAd-Support無料版 (http://www.precision-time.com/)の実行ファイルinstallprecisiontime.exeを予めダウンロードしておき利用したが、現在ではこのソフトウェアは本家よりはダウンロードできないだろう。
7月1日に最初にテストし、7月7日にSignature Databese: 6.07.05.17、Update AS2006 AntiSpyware: 1.06.29.04にアップデート後に追試した。
Gatorは何だかわからない
Precision Timeのインストール時に、バンドルされているGAINを検出した。CyberDefender AntiSpywareの「A threat program has been detected in memory. Do you approve?」との警告ポップアップが表示されたのだ。
(*クリックで拡大)
BLOCKを押す、しかしスタートメニューにPrecision Timeのメニューが作成され、これよりPrecision Timeを起動すれば警告が出る。
(*クリックで拡大)
その後手動検索したらば、一応は検出されるのだが。
Claria.Precision Timeの検出名で表示されるprecisiontime.exeはインストール時には警告されず、インストール後になってから検出されるのだが。これは常駐スキャン機能を備えるスパイウェア対策ソフトウェアとしては、あまり意味が無いような気がする。
(Precision Timeがスパイウェアか否かの議論はこの場では意味が無いため論じない)
何かこのCyber Defender AntiSpywareの挙動は、おかしいような気がする。
Gatorは現在は配布中止になっているようなので新規感染者も出ないだろうし、どうでもいいんだが。
HotBarはブロックできない
HotBarはインストール時にNAME: HbToolsとして、「A new startup program has been added. Do you approve?」とのダイアログが表示される。これはアドウェアか何かとして検出したのではなく、自動的に起動しようと登録するあらゆるものに対して自動的に警告するだけのようだ。BLOCKを押すがhttp://www.hotbar.com/NextUrl/Hotbar/Index.htmの「Thank you for installing Hotbar.」は表示される。
(*クリックで拡大)
同様にWeatherOnTray、bnzftzlqもBLOCK。
手動スキャンで幾つかが検出された。
HotBar (1)はC:\Program Files\HbTools\Bin\4.7.5.0\dBenderC.dll、Hotbar virus (2)はC:\Program Files\HbTools\Bin\4.7.5.0\ShopperReports.exeなどらしい。
これらを「Remove Selected Items」より削除
OSの再起動を求められたので、「はい(Y)」を押す。
再起動後に「A new Browser Helper Object program has been added. Do you approve?」と表示はされるのだが、ここでBLOCKを選択しても改善しない。どうやらBHO関連は対応が不十分らしい。
(何故か7月7日にはFileの項目が空白であったため、7月1日にキャプチャした画像を貼り付けるが、CLSIDは同じ)
(*クリックで拡大)
(*クリックで拡大)
(*クリックで拡大)
インストール後にCyberDefemder AntiSpyware 2006でスキャンし検出されたものを削除したものの、症状は改善しない。
HijackThisのログではしっかりと残っている。
どうしょうもない事にブラックウォームまで出てきた、しかしCyberDefender AntiSpywareは何もしてはくれないのだ。
(*クリックで拡大)
Alexa Toolbarには未対応
インストール時にいかなる警告も出なかった、大丈夫か?Alexa Toolbarインストール後に手動スキャンした結果は、凄まじい数の検出数となったのだが、検出されたものは全て削除した。
今回はOSの再起動は求められなかったのだが、一応再起動。
HijackThisのログには、かなり多くのゴミが残っている。
この状態でInternet Explorerで表示したアンカー(リンク)上にてマウスを右クリックすると、このようになる。
Discussion - 結局、CyberDefender AntiSpyware 2006はインチキソフト(Bogus ware or Rogue ware)なのか?
誤検出のみではインチキソフトとは扱いづらい、しかし不審
極めて好意的に解釈してしまえば、単なるファイルの検索履歴(File search history)を検出対象としたのは製品の瑕疵ではなく「瑣末な脅威であってもユーザー保護の観点より見過ごさない」との企業の姿勢によるものと、考えられなくもない。そしてBrilliant Digital関連として表示されるのは単なる製品のミスであり、検出されたものの解説が偶然何かのミスで他のものに入れ替わったのだと。
以前マルウェア対策ソフトウェアの瑕疵について、マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか (Semplice)なるブログエントリを掲載したのだが。
CyberDefender AntiSpyware 2006はインチキソフトではなく単なる「技術的に未熟な製品」に過ぎないのだろうか?
あまりにもおかしな話として、検出対象は001のみであり、000と002は検出対象ではない。つまり「ファイルの検索履歴全てを検出対象とするのではない」点に注目した。
これは通常、有り得ないのではなかろうか。
普通の・極めて「感度が良い」対策ソフトウェアならば、000と002も検出対象とするはずである。だから「単なるクッキーを危険なものとして表示し不安を煽るようなソフトウェア」とは別の次元なのだ。
(注意:検索履歴が何を検索したものであっても、001のみが検出対象となる)
更に・過剰に・無意味に、この製品について好意的見解を示すとして。
こちらは5月より何度も何度もテストしているが、全く同様の結果となっている。
まともな製品ならば通常社内テストは行うだろうし、このような問題が長期に渡って見過ごされるとは考えづらい
アンチスパイウェアソフトやアンチスパイウェアソフトメーカーでは、社内にて検体をテストするに当っては、インストール直後・またはサービスパックやパッチを導入した最新の状態でのマシン(もしくはそのようなバーチャルマシン)にて検証を行うらしい。
またこのような「感染テスト」を行うに当っては、多くの研究者やネット上のブロガーもまた、そのような環境で行うようだ。
かなり偏見に満ちた考えでは、実際に運用しなければ作成されないレジストリエントリを検出対象とするインチキソフトは、このような「感染テスト避け」の効果を期待できる。
上記の「感染テスト」なり「誤検出対策の見逃し」について、じっくりと考えてみる。
製造元であるならば当然ある程度こなした複数の環境でテストを行うだろう。そして当然社内の幾つかのパソコンやまた関係者・知人にも利用させているはずである。だからCyberDefender Corp.がこの「誤検出問題」に気付かなかったとは考えづらい。
SpyBlocsと外観を入れ替えただけなのは何故なのか
普通ならば、あまりにも評判の悪いソフトウェアをそのまま転用し、新たなソフトウェアとするなど考えづらい。大手ソフトウェアメーカーであれば、そのような場当たり的な販売は行わないし、消費者よりのネガティブな反応に対して最後まで踏みとどまり改善し、信頼を得ようとするはずである。
SpywareQuake・SpywareStrike・SpyFalcon - SpyAxeファミリーのスパイウェア対策ソフト(Semplice)で紹介したように、ほぼ同一の不審ソフトウェアが多数存在する事例も存在する。これらは悪質なマルウェアに感染させたパソコンに無理矢理(もしくは勝手に)インストールする手法で有名になったソフトウェアである。
だがこのCyberDefender社は現在、一応裏家業ではなく表にて堂々と活動している企業である。だからこそ自分としては、彼らが何をしたいのかが理解できない。
謎のID送信は、スパイウェア(Spyware)活動なのか?
送信されるIDはインストールする度にランダムな値が作成されるのだが、復号化されると複数のIDが同じ値になるのか否かが判明しなかった。そうは言っても当然の事実として、インストールしたユーザーが何らかのフィードバックや購入を行うならば、メールアドレスやその他の情報とこのTrack IDが結び付けられる可能性は否定できない。また何かのイベントにより活動する可能性も否定はできない。
本来ならば個人情報や漏洩が許容されないような情報の送信を確認できれば、スパイウェアであると判別できたのであるが。今回試した限りでは確認できなかったし、どのようにして検証すべきなのかアイディアが浮かばなかった。
さすがに個人レベルではこれ以上の追求は難しいため、大変残念ではあるが、検証作業はやや中途半端な段階で中断した。だから今回はCyberDefender AntiSpywareは(狭義の)スパイウェアの範疇には含めない事とした。
次の日のブログ、CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!へ続く
Story continued on next page "CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!! with English Summary".
Posted by Luca at 18:32
│
│
