Semplice

　MalwareWipedはMalwareWipeのクローン製品であり、日本語ページも準備されている。
　「知らないうちにインストールされていた！」との報告例もあり、今後注意が必要な製品だ。
　多少長いので、お急ぎの方は最後のConclusionを読んでいただきたい。

Malware Wipedは手抜き

　Bogus ware・偽ソフトウェア・インチキソフト類は、名称や外観を変えただけのクローン製品が存在する事例が多い。
　以前MalwareWipeなる不審ソフトウェアを以前紹介した（Malware Wipeを導入させる不審サイト（2006年3月25日）（Semplice））。

　昨年12月Rogue Monday! Another one -- Malwarewiped（SunbeltBLOG）にて、限りなく類似のソフトウェア、MalwareWipedなる不審製品が紹介されているのに気付き、大変驚く。
　外観を変えただけの不審な製品が、別の名前で異なる製品として配布されているのを過去に何度も目にしたのだが。
　ここまで手抜きな事例も珍しい。

　MalwareWipeのプライバシーポリシーは http://malwarewipe.com/privacy.php?lang=jp
　MalwareWipedのプライバシーポリシーは http://malwarewiped.com/privacy.php?lang=jp
　サイトの構成も限りなく同じではないか。

Malware WipeとMalware Wipedの感染源

　MalwareWipeなる製品そのものは、存在しない脅威を検出し詐欺的に購入を強要したりはせず、セキュリティ対策ソフトウェアとしては最低レベルの機能を備えていた。

　だがMalware Wipedを宣伝する手法は悪質だ。
　幾つかの不審なサイトにより存在しないウイルスへの感染を警告され、騙されてMalware Wipeを導入した方の相談例が頻発している。
　ブラウザハイジャッカーによりホームページを書き換えられ、Internet Explorerを起動するたびに、MalwareWipedの導入を迫る不審サイトが表示されるようになったとの報告もある。
　（具体例としてW32.Myzor.FK＠yf ウイルスに感染していると脅迫する、不審サイト群（2007年2月13日）（Semplice）など）

MalwareWipedをテストする

テスト機の概要

　テストに用いたのはWindows XP SP2英語版で、PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（2006年3月21日）（Semplice）にて用いたのと同じものだ。
　余計なソフトウェアはインストールせず、レジストリ内AlexaやCookie、temp・tmpフォルダを空にし、一時ファイル類も全て削除し、IEのキャッシュも削除したものだ。
　この環境でスパイウェアやマルウェアが検出されるのは、ありえないだろう。

　FileMonによる監視に際しては、Netscapeをインストールし、またCドライブ中にtoolという名称のフォルダを作成して幾つかの安全なソフトウェアの解凍済みフォルダを保存しておいた。

　Virtual PCのゲストドライブであるため、実機でなければ動作しない機能は見逃しの可能性はある。
　隔離した環境ではなくネットワークに接続してテストしたが、他所を攻撃するような挙動はないだろうと想定しているためである。

MalwareWipedの導入

　http://malwarewiped.com/よりダウンロードしたMalware Wipedのインストーラーは、ファイルの名称やアイコンがMalwareWipeと同一であった。

　インストーラーファイルのプロパティよりバージョン情報タブを開く。


　「Completing the MalwaresWipeds 5.3 Setup Wizard」の画面を見て、「MalwareWipedでは？」と首を捻る。
　

　C:\Program Files\MalwaresWipeds にインストールされたファイルは少なく、かなりシンプルである。
　折角なので、MalwareWipeとMalwareWiped（ディレクトリ名はMalwaresWipeds）を並べてみよう。
　

MalwareWipedは存在しない脅威を検出するのか

　Quick ScanとFull System Scanを実行したが、何も検出されなかった。
　MalwareWipedは自作自演で検出対象ファイルを作成したり、存在しないファイルを検出したりはしないようだ。

MalwareWipedはアドウェアを検出できるのか？

　既存のアドウェア類を全く検出できないのであれば、製品には致命的な問題があったり、単にインチキ製品であるとされるだろう。
　ここでは単純に「最低レベルの検出力の有無」を検討する目的でテストし、検出力全般を推察するような定量的評価ではない。
　だからどれか1つでも検出できれば、この場での目的は達成されるだろう。

　Alexa Toolbar（http://www.alexa.com/）とHotBar（http://www.hotbar.com/）、CnsMin（http://www.3721.com/）。
　現在では配布停止されているが、Claria Corporation（旧称：Gator Corporation）のGain入りである、Precision TimeのAd-Support無料版（http://www.precision-time.com/）を準備した。
　4つの検体は、2006年3月に入手し保存したインストーラーを用いた。
　またeicorを準備。

　Full System Scanにより、インストーラーファイルとeicor.comを含むフォルダを指定してスキャンしたが、AlexaInstaller.exe、hbtools.exe、3721setup.exe、installprecisiontime.exeを検出できなかった。

アドウェア類をインストールしてスキャンする

　Alexa Toolbarをインストール後にスキャンしたが、MalwareWipedは検出できなかった。

　HotbarをFree ad-supported versionにてインストール、ShopperReportsは導入していない。これも検出できなかった。

　3721（cns.min）をインストール。MalwareWipedにより一応は検出できたが、MalwareWipedを購入しなければ削除（Remove）も無視リスト追加（Ignore）もできないようだ。

　Precision TimeのAd-Support無料版をインストール。Claria Corporation（旧称：Gator Corporation）のGainは導入されなかった。
　MalwareWipedはPrecisionTimeを検出できた、のだが。
　実行ファイルのPrecisionTime.exeなどは検出しないので、どうも何かがおかしいのだ。

新規テキストをリネームした、空ファイルによる検出テスト

　過去にテストした不審なスパイウェア対策ソフトの中には、ファイルの名称のみをチェックしている製品があった。
　TeslaPlus社とPSGuard・WorldAntiSpy、及びこれを狙い撃ちするアドワーズ広告の謎（2005年12月25日）（Semplice）に掲載したPSGuardなどだ。

　新規に作成した空のテキストファイルを、MalwareWipedが検出できたファイル名にリネームして設置し、スキャンしてみよう。
　MalwareWipedが検出するならば、ファイルの中身をチェックせずに名称のみで判断していると明らかになるだろう。

　

　C:\Program Files\3721フォルダを作成し、その中にCnsMin関連ファイルと同じ名称の空ファイル - cns01.dat、cns03.dat、Helper.dll - を作成した。
　次にC:\Program Files\PrecisionTimeフォルダを作成し、空ファイルのPrecisionTime.ini、PTUninstaller.exeをフォルダ中に作成した。



　空ファイルをMalwareWipedにてスキャン。結果は判断に悩むものとなった。
　3721関連ファイルと同じ名称の空ファイルは検出できたが、PrecisionTime関連ファイルと同じ名称の空ファイルは検出しないのだ。
　

　PrecisionTimeを実際にインストールした時のスキャン結果では、PrecisionTime.exeを検出しないなど元々おかしかったのだが。

FileMonによる監視結果 - MalwareWipedのスキャンが数秒で終了する本当の理由

　ウイルス対策ソフトやスパイウェア対策ソフトによるスキャンをFileMonにて監視すれば、スキャン対象ファイルにQUERY INFORMATIONとREADが行われているのをログ中に見るだろう。「ファイルの中身を見る」操作みたいなものだ。
　（QUERY INFROMATIONだけのものもあるが、話は本筋とずれるのでこの場では置いておく）

　Quick Scanを選択しFileMonのログでは、MalwareWipedが活動するために必要と思われる数ファイルへのPathを除けば、既存ファイルの中身をスキャンしている形跡が全く無いのだ。
　また対象ドライブ等を指定しない状態でのFull System Scanでも同様だ。

　「Select folders you want to scan」にCドライブを設定し、Full System Scanでスキャンしてみよう。
　。。。。。それでも既存ファイルに対する詳細なスキャンは、ほとんど行われていないようなのだ。
　スキャン中の実在するファイルに対するQuery Informationは（exeファイル69とdllファイル13を含めた）わずか87ファイル、READは73ファイルのみである。
　（手作業で集計したため多少の数え間違いがあるかもしれない）

　ちなみに気になって導入したサードパーティ製品（Netscapeやその他）の実行ファイルは、FileMonのログには出てこないのだ。
　例としてC:\Program Files\Netscape\Netscape BrowserフォルダなどのディレクトリはOPENされている、だがフォルダ中に含まれるファイルは個別にスキャンされないのだ。

　Full System Scanと表記するからには、全てのスキャン対象ファイルとなるべき形式のファイルに対して下の画像のようなログがFilemonにて観察されなければならない。だがわずか数十ファイルしか精査されていないためにおかしさを感じるのだ。
　

　MalwareWipedはわずか数十ファイルのみを精査し、後は「ある名称のファイルが存在するか否か」のみをチェックしているのだ。
　前述の「空ファイルによる検出テスト」が成功したのも頷ける。
　これでは既存のファイルがマルウェアにより置き換えられたり汚染されても、または名称を変えた危険ファイルが存在したとしても、わからないのでは？

ファイルの置換テスト（2007年2月18日追記）

　MalwareWipedがスキャン中に開いた既存のexeファイルを、MalwareWipedが検出対象としたマルウェアのexeファイルに置き換えてリネームすれば、「ファイルの中身を見ているのか否か」についてより詳しい知見が得られただろう。
　今回は準備不足のためにそのようなテストは行わなかった。

関連記事

　Malware Wipeを導入させる不審サイト
　W32.Myzor.FK＠yf ウイルスに感染していると脅迫する、不審サイト群
　Bogus wareとRogue ware、インチキソフト
　偽ソフトウェア （はてな）

Conclusion

　MalwareWiperdはMalwareWipeのクローン製品で、名称を変更しただけの同一製品である。それぞれに日本語ページが準備されており、今後被害例が拡大する可能性がある。
　MalwareWiperdはインストールフォルダがMalwaresWipes、実行ファイルがMalwareWipes.exeなど、インストール後に表記ゆれがあった。

　存在しない脅威を自作自演で作成したりはせず、完全にクリーンな状態でのWindowsでは何も検出されなかったため、インチキとは言いづらい。
　2つのアドウェア類を検出できたが、肝心の実行ファイルを取り逃がすなど挙動はおかしい。

　新規テキストファイルを作成し、MalwareWipedが検出したファイルと同じ名称にリネームしてスキャンさせた結果、3721関連ファイルと同名の空ファイルは検出できたが、PrecisionTime関連ファイルと同名の空ファイルは検出できなかった。
　ファイルの中身をチェックせずに、名称のみで検出対象としているようだ。

　Full System ScanでCドライブを指定しても限られた一部のファイルのみを精査対象としており、多くのexeファイルやdllファイルが実際にはスキャンされなかった。
　スキャンに要する時間が極端に短い（数秒！）理由は、ファイルスキャンが不十分だからだ。

　なお今回は、既存のexeファイルを、リネームしたマルウェアのexeファイルに置換した上でのスキャンテストは行っていない。  

　アンチウイルスソフトメーカーなどが検出対象とするか否かの区分には、多少の疑問があり。
　ソフトウェア作者による「悪意の有無」とは別に、「実際に設置する者の悪意」を考えなければならないのではと、ふと悩む事例がある。

商業的ソフトウェアは検出対象外 - 本当に安全なのか

　この手の議論は何年も前からあって。
　まともな企業より販売・もしくは無償で提供されているツールは検出対象とされるべきではない。だが同等の機能を持つ裏ツールは検出対象とするべきだ、との話である。

　簡単に説明すると、こんな感じ（断りを入れておくけど、Lucaさんの見解ではない）。
　1）普通のネットワーク管理者は、所謂裏ツールと呼ばれるようなものは使わないはずだ
　2）所謂「表ツール」は悪用されるはずがなかろう
　3）管理者向けソリューションとして販売されているようなツールは、ウイルス対策ソフトにより検出されるべきではない

「まともな商業的製品やソリューション」の使われ方は、本当に安全なものばかりなのか？

　マルウェアに詳しい方ならば、ドロップされるリモートアクセスツールが「まともな企業よりの製品」であるために、検出対象とされない事例を見た経験があるだろう。
　一例として、相応に著名で権威がある企業が無料でリリースしている某リモートアクセスツールは、ウイルス対策ソフトウェアによっては危険なものとして検出されない。
　（特定企業への揶揄と誤解されたくないために、この場では名称を掲載しない。ご容赦下さい）

　悪意がある従業員が無断で設置した、ある種のソフトウェア。
　「まともな企業の製品」であり検出対象より外されていたならば、なおかつ悪質な目的で犯罪のために設置されているならば、検出されないのは困るよね。

メーカーは、全てのリモートアクセスツールとキーロガーを検出対象とすべきだ

　これまで幾つかの議論を重ねた上で自分らが得た結論は、「リモートアクセスツールやキーロガーは全て検出するようにすべき」である。
　後はアンチウイルスソフトを運用する社内の管理者が、個別に除外リストに加えればいいじゃないか。

　では企業向けではなくエンドユーザー向けのウイルス・スパイウェア対策製品ではどうだろうか。
　大多数のユーザーは、自分が使っているパソコンにそんなツールがインストールされていると知ってたならば、許容できるのだろうか。
　驚き、恐れ。怖がるよね。
　利用者に判断材料を十分に与えるためには、メーカーは定義ファイルより予め除外したりはせず、全てのリモートアクセスツールやキーロガー、その他の監視ツール類を検出対象とするべきである。
　後は個別の利用者が考えるべき事柄であり、メーカーが「これは安全、あれは危険」と一方的に安易に判断すべきではない。

誤解が根底にあるのでは

　「ソフトウェア製作者の悪意」は無いから、検出対象から外したとしてもだ。
　「悪意ある使い方」を想定した上で、ウイルス対策・スパイウェア対策ソフトメーカーは検出対象から外しているのかな。

　社内の派閥争いの渦中にて、常務派が専務派の動向を探る目的で利用したとする。社内でのネットワーク管理規程に反するならばどうなのよと。
　自分ならば社内に導入されている製品が検出対象より外しているツールを導入しちゃうよ、当たり前だけど。

　くどくなってしまうんだけど。
　「リモートアクセスツールもキーロガーも、ある種の従業員統制用ソリューションも、全て一旦検出対象とすべき」だ。
　対策側メーカーが個別に予め検出対象より除外するべきではない。

　ついでに書くと、ある種の（使われ方によってはリスクが高い）ソフトウェアを検出してしまうのを一概に「誤検出」と騒ぐべきでもない。
　「メーカーは個別のソフトウェアに対して事情を考慮すべきだ」との議論も、おかしなもので。
　検出できない方が怖いじゃないかと。
  

　「W32.Myzor.FK@yf」はウイルスに感染していると騙すサイトが表示する、嘘目的の警告に含まれる名称である。
　New new security scam hijacker sites（Sunbelt Blog）にて、幾つかの不審サイト例が報告されている。
　85.255.117.51、85.255.118.36、204.13.161.33のipアドレスと幾つかのサイトが掲載されているが、詳細はよくわからない。

　同種の脅迫するサイトに毎回強制接続させられるような事例の修復方法としては、W32.Myzor.FK@yf（Precise Security）などが著名である。
　虚偽レポート表示サイトとしてRemoval of http://asecureboard.com（NoSnoopWare.com）が報告しているasecureboard.comなどの被害がよく報告されているようだ。
　（NoSnoopWare.comは「asecureboard.com」をサイトの名称と、zlobなどのダウンローダーやハイジャッカーによる複合感染の事例への名称としての、2つの意味で用いている。）

W32.Myzor.F@yf の警告を表示する atrueprotection.com

　先日「W32.Myzor.F@yf」で検索したらば、不審な警告が出たとの相談例を海外で発見したので、試してみたのだ。
　Windows XP（SP無し、インストール直後）にてテスト。Adobe Flash Playerのみをインストールしておいた。

　http://atrueprotection.com/　を閲覧、W32.Myzor.F@yfの警告ダイアログが出る。
　「Warning! W32.Myzor.FK@yf is a virus that infects file with exe extension. It attempts to steal passwords and private information from the infected computer.」
　「キャンセル」を押すと何も起きないようだ（他の環境でどうなのか保証はしない）。
　
　（*クリックで拡大）

　サイトも「System Security Status; Warning」や「Attention! Your system is currently vulnerable to computer attacks. Remote intruders can gain access to following files and folders on your PC:」などとかなり脅迫的な内容だ。
　

　全体はこんな感じ。
　
　（*クリックで拡大）

　リロードして「OK」を押すと、http://malwarewiped.com/?aid=239へリダイレクトされる。
　
　（*クリックで拡大）

瓜二つな詐欺サイトの数々

　サイト全体を良く見てみれば、今回試したatrueprotection.comと、Removal of http://asecureboard.com（NoSnoopWare.com）が報告しているasecureboard.comと、New new security scam hijacker sites（Sunbelt Blog）が掲載したサイトは、ほぼ同一である。
　表示されるダイアログは、同一のものである。
　悪質サイト中のMalware Wipeの広告が、Malware Wipedになっただけの違いだ。
　

atrueprotection.com

　画面右下の表示はMalware Wipeで、リンク先はhttp://malwarewiped.com/?aid=239
　ダイアログの「OK」を押すと、http://malwarewiped.com/?aid=239へ。

asecureboard.com

　画面右下の表示はMalware Wipedで、リンク先はhttp://malwarewiped.com/?aid=246
　ダイアログの「OK」を押すと、http://malwarewiped.com/?aid=246へ。

INHOSTERと不審サイト群との謎

　http://whois.domaintools.com/atrueprotection.com　によればドメインのレジストラはESTDOMAINS INC。
　WebサーバーはINHOSTER.COMの85.255.117.51にて運用されている

　http://whois.domaintools.com/asecureboard.com　によればドメインのレジストラはESTDOMAINS INC。
　WebサーバーはINHOSTER.COMの85.255.116.213にて運用されている

　New new security scam hijacker sites（Sunbelt Blog）は85.255.117.51、85.255.118.36、204.13.161.33で運営されている複数のドメインを紹介した。

　今回紹介した不審サイト群は、一つの例外を除けばいずれもINHOSTER.COMがホスティングしている。
　ウクライナのハルキフ州ハルキフ（Kharkivs'ka Oblast' - Kharkiv）のINHOSTER.COM（http://www.inhoster.com/）は、スパムや詐欺サイト報告が妙に多いホスティング業者だ。
　アドレスブロックは85.255.112.0 - 85.255.127.255。

　不審サイトにて宣伝されている、怪しいソフトウェア類のメーカーサイトはどうだろうか。
　Spy Healのspyheal.comは85.255.118.58で、ドメインはESTDOMAIN
　Antivirus Goldenのantivirusgolden.comは85.255.119.251で、ドメインはESTDOMAIN
　Malware Wipeのmalwarewipe.comは85.255.114.202で、ドメインのレジストラは違う
　Malware Wipedのmalwarewiped.comは85.255.120.18で、ドメインのレジストラは違う
　Pest Captureのpestcapture.comはホスティング業者もレジストラも違う。
　Brave Sentryのbravesentry.comはホスティング業者もレジストラも違う。

　どんな繋がりがあるんだろうか。

関連記事

　Malware Wipeを導入させる不審サイト（2006年03月25日）（Semplice）

Appendix

　今回紹介したようなサイトがブラウザを起動するたびに表示されるならば、ブラウザハイジャッカー（ホームページハイジャッカー）と呼ばれるタイプの悪質なソフトウェアに感染している可能性がある。
　アンチウイルスソフトやスパウェア対策ソフトを導入してスキャンしてもらいたい。
  

　クライムウェアは、犯罪に利用され金銭を得るためのソフトウェアとして解説される用語である。
　わずかな期間の間に広まった背景は、使いやすさと分かりやすさによるものなのか。

クライムウェアとは何だ？犯罪行為に用いられるソフトウェア

　クライムウェアとは「金銭的な目的にて配布・利用されるソフトウェアであり、犯罪行為の手段となるもの」である。クライム（Crime）は犯罪の意味だ。
　機能面による区分なりカテゴライズではないし、技術的な区分に基づく概念でもない。
　悪質なソフトウェアへの注意を呼びかけ啓蒙的な活動を行うために使われる、社会学的な区分にて利用される用語である。

　わかりやすく説明しよう。
　プロバイダーが提供するダイヤルアップ接続支援ツールはクライムウェアではないが、金銭的な目的で接続先を変更するダイヤラーはクライムウェアとなる。
　登録料金の振込みを強要するワンクリウェアは機能面ではアドウェアであり、なおかつクライムウェアとなる。
　商業的なリモートアクセスツールやキーロガーであっても、クレジットカードの番号や何かのパスワードを取得する目的で利用されればクライムウェアとなる。

　マルウェア（悪意があるプログラム）とかなりの部分で重複するだろう、だが区分は異なる概念に基づく。
　まかり間違っても「マルウェアは危険ではないがクライムウェアは犯罪だから危険で」のような、意味の無い比較は避けていただきたい（どこ宛？）。

クライムウェアの変遷

　3年ほど前の時点では、犯罪に関わるのか否かとは無関係に「ユーザーにとって頭にくる嫌なもの」として、個人による突発的な投稿にて用いられていた用語であった。
　それが何故かある時期を境とし、いきなり利用例が急増した。

　クライムウェア（Crimeware）：犯罪を引き起こすようなソフトウェアの意味らしいのだが、Googleにて全言語検索にて400件のみなマイナー用語。2005年12月12日、74200件にまで急増していたのだが、それだけこの用語が「便利」で使いやすく、かつこのような悪質なソフトウェアによる被害が顕在化している現状を反映しているのだろう。
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）（Semplice）

　クライムウェアなる用語を一部のメーカーや団体などが利用するようになった一番の理由は「わかりやすさ」なのだろうか。
　クライム = 犯罪であるので、耳にしたらば即座に犯罪に関連するものなのだとイメージできるだろう。
　（最も理解しづらい用語の一つは「マルウェア」である）

　次に、機能面を指す用語以外の、社会学的タームが求められていたからなのでは。
　アドウェア・スパイウェア・ボット・トロイの木馬・ルートキット・キーロガーなどを総称し、なおかつメッセージ性を込めるようなものをだ。

　先日RSA Conference 2007なるイベントにて、カペルスキーアンチウイルスの創業者であるユージン・カスペルスキー氏が、クライムウェアについて熱く語っていたようだ。

　一口にクライムウェアと言っても種類はさまざまだ。しかし、共通している点が1つある。金銭を盗み取ることだ。そのために作者は、あの手この手と新しい方法を考え出し、犯罪活動を行っていると同氏は述べた。
　（中略）
　カスペルスキー氏は最後に、こうしたクライムウェアに対抗していくには、技術的な新機軸やOSなどプラットフォームの革新もさることながら、それだけでは不十分だと指摘。
　「悪意ある業界に対抗していくには、テクノロジだけでは不十分で、単純な解決策はない。警察／司法当局も含めた業界全体の取り組みが必要だ」と述べ、特に国境をまたいで被害が発生する場合には、捜査当局の国際的協調が不可欠であるとした。
　伝統的ウイルスからクライムウェアの時代に（ITmedia）

クライムウェアは技術的上での分類ではない

　Googleにてクライムウェアを検索すると、フィッシング対策協議会（AGWP）なる団体が上位表示される。
　APWG が定義する「クライムウェア」に一言注文をつけるとしたらば、クライムウェアは技術上の分類ではない。

　「クライムウェア分類詳細」
　ここでAPWG が定義する「クライムウェア」とは、アドウェア、スパイウェアやマルウェアとは区別される技術上の分類であり、これはそのプログラムの設計上、金融（または企業）犯罪を活性化させるという唯一の目的のために開発されたものを指します。
　「クライムウェア」分類詳細 （AGWP）

マーケティング用語たるスパイウェアとクライムウェア

　昨年10月カペルスキー氏は、スパイウェアなる用語は単なるマーケティング目的であると非難した（推測混じりになるが、氏が言及したのは狭義ではなく「広義のスパイウェア」だろう）。

　「『スパイウェア』はマーケティング用語に過ぎない。定義を語ること自体ナンセンスだ」――ロシアKaspersky Labs Internationalの創業社長で、セキュリティの専門家としても著名なユージン・カスペルスキー氏は10月4日、同社製品の国内販売を担当するジャストシステム社内で会見し、スパイウェアという言葉の定義を統一しようという動きについてこんな見解を述べた。
　カスペルスキー氏は「スパイウェアとウイルスは90％同じ。『スパイウェア対策』『ウイルス対策』と2つの製品を別々に売りたいソフトベンダーのマーケティング用語に過ぎない」と一蹴。
　「マーケティングとしてできた言葉に、技術的な見解を与えるのはナンセンス」と語る。
　「スパイウェアの定義」はナンセンス──カスペルスキー氏（ITmedia）

　カペルスキー氏の言及は、新興のマルウェア対策ソフトメーカー（一部のスパイウェア対策ソフトメーカー）に対するものなのだろう、商売敵への皮肉を込めた。
　少しばかり詳しく書いておくと、個人情報を抜き取るスパイウェア（狭義のスパイウェア）とは別に、何でもかんでもスパイウェアとして呼称するような企業があり。Lucaさんは以前より多少の反感を感じている。

　そこで引っ掛かりを感じてしまうんですが。
　カペルスキー氏が熱く語ったクライムウェアもまた、啓蒙目的で利用される（ある意味で）マーケティング目的の用語であるし、技術的な区分でもない。

Appendix - ランサムウェアなる用語の変遷

用語の定義や用法などは、時代によりかなり変わるものである。
　以前ランサムウェア（Ransomware）と用語の変遷（2006年12月26日）（Lucablog）なる記事を掲載した。
　ランサムウェアなる単語の用法が極めて短期間にどれだけ変化したのかと、大変興味深い事例である。

　「ファイルを暗号化し、回復に代金を請求するソフトウェア」などを含む、あるタイプのソフトウェア　=　ランサムウェアである。
　ファイル暗号化身代金請求ソフト以外のランサムソフトは幾らでもあるではないか。

　「ランサムウェアはファイル暗号化身代金請求ソフトである」との解説は、間違ってるのだよ。
　おわかり？

　話はクライムウェアに戻る。
　商業的な一般に市販されているリモートアクセスツールや、従業員のネットワーク利用を管理する目的のソフトウェアなどは幾らでも販売されている。
　もちろん犯罪目的で作成されたのではない（犯罪目的で利用される場合もあるやもしれませんが）。
　少数であるが、「全てのリモートアクセスツールやキーロガーはクライムウェアである」と勘違いしている方が存在する。
　だがそんな思い込みは間違いだ。

関連記事

　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）

Acknowledge

　このブログエントリーを掲載するに当っては、Sakaiさんより多くのアドバイスをいただきました。
　ご好意に深く感謝致します。
  

　ソフトウェアの不正コピーを利用する方々はアップデートが行えず、結果としてある種のマルウェアやネットワークワームの被害が生じるのではとの議論がある。
　多くの場合、ソフトウェアは極めて高額であるし、心情的には秋葉原の路上や怪しいネットオークションにていかがわしいものを購入する方の気持ちがわからないでもない。

価格とリスク - 言い訳と背徳感

　近年漠然と不安を抱いている事として、データファイルで感染する・もしくはデータファイル中に含まれるスクリプトで被害を受け得るケースの増大である。
　Microsoft Officeでは、幾つかのゼロデイアタックが話題になっている。
　だが使用するマシンのスペックや他のソフトウェアとの「相性」などとは無縁の理由で、最新の状態にアップデートできない事例もある。
　そう、所謂違法コピー利用者だ。

　Windows OSでも大規模感染ネットワークワームの発信元（感染し被害を拡大させているノード）数は、韓国など一部アジア諸国がずば抜けて多いとのレポートは、目にした経験は無いだろうか。
　幾つかの記事にては、要因として「不正コピー」「違法コピー」などが日常化しており、そのためにメーカーに接続しなければならないアップデートに躊躇する層が多いのではと示唆されている。

　ただし多くのソフトウェアは、かなり高額である。10万円とか超えちゃうのも稀ではない。
　「原価が極めて安いのに不当に高い金額を要求されるのはおかしい！」などと唱える方も居るが、心情的に一定の理解を示すものの同調できない。
　だってさ。
　所謂違法コピーの蔓延が、ソフトウェア製品の価格を押し上げる要因の一つになっているのは否定できないからだ。

　また「ソフトウェアには著作権なんて設定できるはずがない、法律がおかしい！」と唱える方々も存在する。
　そのような意見に対しては、かなり違和感を感じる。論ずるまでも無いよね。

怯えるより、買えば良い - 安価なアカデミック版・アカデミックパッケージの存在

　不正コピー製品を利用するよりは、多少のお金はかかるものの合法的に購入したらばどうかと思うんだ。
　日頃より怯えたり後ろめたい感覚も無く、堂々と使えるのではと。

　そこでふっと思いついたアイディアなんですが。
　通常の製品版と比較し数分の一程度で購入できるパッケージまたはライセンスとして、アカデミック版や教育機関向けパッケージなるものが存在する。
　製品によって異なるが、指定された教育機関に従業・もしくは所属する学生が、安価で購入できるバージョンだ。
　金銭的な負担は低減されるし、合法的なのではなかろうか。

　誤解されてしまいそうなんだけど、全てのアカデミック版製品がいつまでも利用できるのではないだろう。卒業後には利用する資格を喪失するのではと。
　だが（ここで具体的な製品の名称を挙げないが）、幾つかの製品は「卒業後に利用したとしても咎めない」とメーカーがお墨付きを与えているのだ。
　学生であれば卒業前に、近い将来に使いうるソフトウェアを大学生協やネット通販にて購入してしまえばどうだろうか。
　卒業したか否かをメーカーが確認できないとの事情によるのだろうか。
　（念のために各自でメーカーに問い合わせてもらいたい。全てのアカデミック版にてそうだとここで断言するつもりは無い）

放送大学学園は、社会人でも容易に勉学できるチャンスである

　放送大学をご存知だろうか。学ぶ意思が入学資格とのキャッチコピーで著名な教育機関である。
　放送大学には特定の科目のみを受講したいと希望する方向けに、科目履修生なるものがある。経費もさほど高いものではない。

科目履修生
希望する1科目ないし数科目の授業科目を選択して履修する学生です。在学期間は、1学期間（6か月間）です。
　学生の種類と専攻（放送大学学園）

科目履修生
　入学料　6000円
　授業料　1単位当たり5,500円
　学費（放送大学学園）

　幾つかのソフトウェアを調べれば、アカデミック版製品の購入資格者として、放送大学学園の学生が含まれているものが存在する。
　10万円の製品が4万円で購入できるならば、金額的には放送大学学園の科目履修生はお得？
　（実際に科目履修生で購入できるのか否かを自分は問い合わせていないと、断りを入れておきます）

　と、ここで放送大学の科目履修生がアカデミック版の購入資格を得るための安価な方法であると紹介してしまうものの。
　倫理的な問題として、ソフトウェアを安価に購入する目的のみで放送大学の学生になってしまうのはどうなのかと考え込むと、自分の目としては多くの課題が存在するような。

　更には、アカデミック版を提供するメーカーの意図として「将来社会人になっても使ってね！」的な理由のみではなく、企業が社会奉仕の一貫として提供している場合もあるだろう。彼らの善意を汚してしまったりしなのかと。
　本来は就学後の教育や研究目的に提供されている製品を、全く無関係の目的で入手するのはどうなのかとか。

　議論すべき論点は自分の中ではうまく解決できそうな気がしないので、ご意見を伺いたいのですが。
　お気軽にコメントにて返信いただければ幸いです。

売り上げのために身分証明書の提示を求めない小売店の存在

　先日知人と家電量販店やショップを幾つか渡り歩いて、違和感を感じた出来事。
　大学生の知人のためにあれこれと相談に乗って、店頭でアカデミック版パッケージを購入する際に、店員は学生証やIDカードの提示を求めないのだよね。
　商品陳列棚には「身分証明書の提示が必要」と書いているのに。
  

　RootkitRevealerは著名なルートキット検出ツールである。昨年リリースされたver1.71では、いかなるマルウェアにも感染していないのに2つのレジストリエントリが検出されるようになった。
　検出されたレジストリはいずれも通常は非表示扱いなのでレジストリエディタよりは確認できず、「Rootkitに感染しているから表示されないんだ！」と誤解されそうな気がする。

RootkitRevealerの検出にルートキット発見か？と驚く

　テストしたパソコンはWindowsXP SP2で、VirtualPCのゲストドライブである。インストール後にほとんど設定をいじっておらず、いかなるマルウェアにもルートキットにも感染していない。

　旧バージョンのRootkitRevealer ver1.7をまずは試す。
　RootkitRevealer.zipをダウンロードして解凍。RootkitRevealer.exeを実行。
　Optionの「Hide standard NTFS Metadata files」と「Scan Registry」などは変更せず、デフォルトの状態でスキャンを開始する。
　何も検出されず「Scan complete: no discrepancies found.」と表示された。
　

　次に現在配布されているバージョンのRootkitRevealer ver1.71にて、先ほどのver1.7と同様にスキャン開始。
　直後に2つのレジストリエントリ - HKLM\SECURITY\Policy\Secrets\SAC と
HKLM\SECURITY\Policy\Secrets\SAI が表示されるだろう。
　
　結果は「Scan complete: 2 discrepancies found.」
　Descriptionは「Key name contains embedded nulls (*)」である。
　
　（*クリックで拡大）

　説明書たるRootkitRevealer.chmを読んでも、このレジストリエントリを検出した理由については全く記載されていない。
　Sysinternals Forumsにて、ver 1.71よりSecurityハイブもスキャンするようになったので検出されてしまうが正常な動作だ、と説明されているのが唯一の情報だろうか。

Before posting, please note that RKR 1.71 now scans the HKLM\Security security hive. As a consequence it finds keys with trailing nulls such as

HKLM\Security\Policy\Secrets\SAC*
HKLM\Security\Policy\Secrets\SAI*

This is normal behaviour and need not be cause for alarm.
　Topic: RKR 1.71 and HKLM\Security\Policy\Secrets (Sysinternals Forums)

　2つのレジストリエントリは、レジストリエディタより探しても表示されないだろう。SECURITYキーの情報は通常は非表示となっているからだ。
　これではRootkitRevealerを試し驚いたユーザーは、実際にレジストリを開いても表示されないので余計に焦るだろう。
　「表示されない！やっぱりルートキットに感染しているんだ！」と。
　

関連記事

　Rootkit（ルートキット）とWindows（2005年10月20日）（Semplice）
  

　巷ではよく、第三者にパスワードを取得されてWebサイト（ホムペ）を書き換えられたとの事件を目にする。
　もしくは「誰かが私のメールを勝手に読んでる！」とか。


　ブログやWebサイトの場合、密かにわずかながらの「変更」を加えたとしても、管理者はそうそう気付くものではない。
　またアクセスログ情報を第三者が密かに閲覧していたとしても、わからないよね。


　電子メールではどうだろうか。
　多くのフリーメールやプロバイダーのサービスでは、POPメールにては「メールを受信しても削除しない」と設定し、Webメールでは開いたメールを「未読にする」処理にて、第三者が覗き見したと正当なアカウント所有者へ気付かせないよう偽装できるだろう。
　このような事例では、長期間第三者にメールを読まれ、なおかつメールアカウント所有者が気付かない可能性もある。


　対策として「頻繁にパスワードを変更して下さい」などとアナウンスされているが（また一定期間経過後にはパスワードを変更しないと利用させないようなサービスもある）。
　だけどもさ。
　パスワードを変更するまでの期間に色々といじくられたらば、あまり意味無いよね。
　それに密かに改変されたとしても、サイトなりメールアカウントの正当な所有者が長期間気付かなかったらばどうなのかと。


　前々から漠然と考えているアイディア（と言うほどのものではない）ですが。
　Yahoo!やHotmailなどへのログオン、ブログサービスの管理画面へのログオン、WebサイトへのFTPアップロード。
　これらを1日1回程度の頻度で、メールでお知らせしてくれるサービスがあったらばと。


　具体的には、1日1回（もしくは指定した期間で）「あなたのアカウントに接続されましたよ」と、サービス提供者よりメールで連絡が来るとしたらばと。
　接続した時間、IPアドレスや接続者のホスト名などを含めてだ。
　「あれ？こんな時間に利用した記憶は無いぞ？？？」などと、第三者によるパスワード盗難に気付く機会を幾らか増やせるし。
　オプションサービスとして提供したとしても、サービス提供者にとってはさほどの負担は無いだろう。


　どうでしょうか？
　（一般的消費者向けサービスにて、自分が知らないまでも広く行われているならば、すいませんが）

Yahoo!のログイン履歴確認サービス（2007年2月17日追記事項）

　2007年2月7日より、Yahoo! Japanにてログイン履歴を閲覧できるサービスが開始された。

　「ログイン履歴」とは、お客様のYahoo! JAPAN IDで、Yahoo! JAPANにログインを試みた日時やサービス名等を表示する機能です。ログインを試みた履歴が、成功、失敗に関わらず残り、第三者による不正な操作がないかを確認できます。
　ログイン履歴とは（Yahoo! JAPAN IDに関するヘルプ）

　トップページに表示される「前回のログイン」の日時は、最新のログイン日時ではなく、その前回ログインに成功した日時が表示されます。
　モバイルやクライアントアプリケーション（メッセンジャー、ウィジェットなど）からのログイン履歴は表示されません。ご注意ください。
　ログイン履歴（Yahoo! JAPAN）

　Yahoo!メールをPOPメールとして受信したログが掲載されないのは不満なんだけど。
　同様のサービスはどんどん導入してもらいたいものです。
  

　ソフトウェアをアンインストールする際に、他のファイルやプログラムまでドボンと消去される事例は幾つかあるものだ。
　以前より興味を持ち色々と取り纏めているのだが、Program Filesフォルダごと削除との事例もあった。アンインストールに伴う「被害」なり「不具合」なのだろう。
　（以前アンインストールによる不具合情報を集めましたが、自分なりの考えがうまくまとまらないため、長期間放置しております。情報を提供していただいた方には申し訳ありませんが、自身が納得できる段階でブログエントリーにしたいため、当面の間ご甘受下さい）

　どうもよくわからないVISTA関連レビュー記事を見つけ、解釈に苦しむ。

　試作機に載っていたVistaは、ソフトをアンインストールしても、それを格納していたフォルダーが空の状態かつロックがかかった状態で残り、インストール時に作成したデスクトップ上のショートカットアイコンも表示されたままという不具合があった。
　（中略）
　それが、30日のアップデートでどうなったかというと、まず、アンインストール後にフォルダーはきれいさっぱり消えるようになった。
　アンインストールのときは、あらかじめ指定されたファイルまたはフォルダーのみが消えなければならない。そのソフトで利用者が作成したデータファイルなどがプログラムフォルダー内に保存されている場合でも、一緒に削除せずに残すのが正しい動きである。
　ところが、なんとVistaは、残すべき重要なデータファイルもろとも、指定に反してごっそり消し去ってしまったのだ。
　（中略）
　アップデート後のVistaはプログラムがあるフォルダー全体を消去してしまったようなのだ。
　（中略）
　いくらなんでもそこまでひどい動きはしないだろうと信じていた私は、おかげで、本来なら前日（１月31日）に掲載する予定であった本コラムの原稿そのほかを消失してしまった。
　Vistaパソコン総点検（３）ファイルがいきなり消えた！ 早々の不具合にがく然 PC＆デジタルカメラ-最新ニュースIT-PLUS

更新履歴 - 2

　2007年2月13日、本文の大部分を非表示と致しました。
　（ソースを表示すれば閲覧できます）

　多くの方よりコメントにてお叱りを受け、このブログエントリーを掲載すべきではなかったと反省しております。
　諸氏には大変ご迷惑をおかけしたと、この場にてお詫び申し上げます。  

　本日livedoor Blogにログインし管理画面に接続したらば、思わず固まってしまった。ブログプレスなる外部サービスの宣伝がいきなり中央部にドドーンと表示され、お前は何をしたいのだと。
　これはさすがに許容できる範疇ではない。ライブドアによる宣伝行為は常軌を逸しつつあり、過剰過ぎるのではなかろうか。
　Active Xコントロールを有効にしなければならない状況では、かなり心理的に圧迫感がある。

　
　（*クリックで拡大）

livedoor Blogの管理画面は、元々それほど安全な状態ではない

　以前livedoor Blogを利用して最も気にかかる点として、管理画面にやたらと広告が多いと言及した（livedoor Blogの広告（2006年1月8日）（Semplice）
　自分の感覚では、ブログの管理画面は神聖とまでは言わないけど、他者より侵害されるとかなりセンシティブな気分になる。
　ましてやブラウザの設定にてやや甘い設定が求められる現状では。

　2007年2月1日、テストページにて瑣末な項目を追記し、記事更新に求められるInternet Explorerの設定の現況について調査した。
　テスト機はWindows XP SP2、ブラウザはInternet Explorer 6 SP2 XP で最新の状態に更新している。
　（Semplice閲覧者では最も多い環境だ）
　今回は「有効にする」を選択したが、2005年7月29日と全く同じ状況であった。


　（1年半前 = 現在の状況を紹介する）

　とりあえず投稿時や「ブログに設定を反映（再構築）」時に[object Error]と表示されるのは、解決。
1）Internet Explorerのセキュリティ設定を「高」に。
2）「ActiveXコントロールとプラグインの実行」を「ダイアログを表示する」
3）「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」を「ダイアログを表示する」
4）「アクティブスクリプト」を「有効にする」

　これでやってみると、この[object Error]が出なくなったのだが。
　ActiveXコントロールを利用するのって、嫌だなぁ。正直言って。
　大体誰がこれを「安全だとマーク」するんだろうか、信頼できない人物がやってる可能性もあるんだから、そんなの信用しないのが常道なような。
　livedoor Blogの使い方がよくわからない。object errorとは？（2005年7月29日）（Semplice）

　上記の条件を満たさないと、ブログエントリーの投稿ができないのだ。また再構築でも下記の画面で固まったままとなる。
　

　このような状況だと、怖くてうかつに外部へのリンクを踏めないではないか。
　管理画面では激甘な設定でなければ利用できず、そこから外部へのリスキーな場所へ接続したらば。。。。。。。。うわぁ。
　嫌ぢゃ。。。。。
　この状態でもかなり許容範囲を超えつつある。

livedoorは広告配信へのマナーなり許容範囲を超えた

　以前も書いたのだが、繰り返す。
　Lucaさんは有料サービスを利用している。だから「無償サービスならば広告を受け入れるべきだ！」との議論とは無縁だ。

　「安全か否か」とは異なる視点で考えたとしてもだ、いきなり管理画面の真ん中にここまで大きい広告を表示したりするのは、どうしたものかと。
　livedoor Blogユーザーをあまりにも軽視してませんか。

doubleclick.netはさすがに嫌ぢゃ。。。。。。。。止めてくれ本当に

　一番上に「http://ad.jp.doubleclick.net/」が提供するバナー広告が、かなり無駄に大きいスペースで表示される。
　（doubleclick.netがどのような企業なのかは、Semplice読者ならば皆さん理解していると思う）
　これはhostsファイルで潰せるだろう、とりあえず。

ブログプレスって何なのよ

　それで冒頭に記載した、ブログプレスの広告だ。
　当該部分はlivedoorにより挿入されているので、消しようがない。
　またブログプレスなるサービスを運用している企業がlivedoorとどのような繋がりがあるのかとか、信頼できる企業なのかが全くわからない。
　http://www.pressblog.jp/を開き、会社概要（http://www.pressblog.jp/static/company.aspx）を眺めても、一体livedoor Blogとどのような関係があるのかが全くわからない。

　これが管理画面のど真ん中にドドンと表示されるのだ、何を考えているんだと。
　邪魔なことこの上無い。
　ブログプレスなる企業のサービスが不審かつ危険なものでなかったとしてもだ、これは幾ら何でもやり過ぎだ。
　サードパーティ企業の広告をよりによって「甘々設定強要な管理画面中に含める」のは、あまりにも意識がなってないのではと。

Appendix - ActiveXコントロールを誰が安全とマークするのだ？

　以前セキュリティホール memo運営者の小島氏の記事を読み、「あっ！」と声を上げた。
　当時いかがわしい複数のサイトを巡回してネタを練っていた自分にとって、「そうだよ、その通りだよ！」と。
　ありていに書いてしまえば、不審な悪意があるサイト運営者であっても「スクリプトを実行しても安全だとマーク」なんてできるのだから。そんなのは信頼するに値しない。
　現に、幾つかの危険なエロサイトはActiveXコントロールに「スクリプトを実行しても安全だよん」としていたのだ。

　前述の通り、livedoor Blogの管理画面ではかなり「甘々な設定」が強要され、でなければブログの記事投稿も更新もままならない。
　そこにドドンと妙な広告だよ？
　リンク先がどれだけ信頼できかつ安心なのかなんてわからない現況では、間違って踏んだりしたらばとかなり不安だ。

　dobleclick.netやブログプレスの次は何だ？
　リスキーな妙な広告が表示され、リンク先が信頼に値しない企業が運営するサービスであったらばどうなのよと。

Appendix 2 - 了解も事前のアナウンスも無しですか？

　2006年12月13日記事を書いて掲載料をゲット！「プレスブログ」（livedoor Blog 開発日誌）にブログプレスについて言及があったものの、その他いかなるlivedoorよりの公的アナウンスにてもこの広告についての言及を見出せなかったのだが。
　本日20:06になってからやっと、【重要】「プレスブログ」最新リリース掲載に関するお知らせ （livedoor Blog 開発日誌）にてブログプレスへの説明らしきものが掲載された。

　本日、「ブログ管理画面トップページ」に、株式会社エニグモが提供する「プレスブログ」の最新リリースをRSS配信する項目が追加されました。
　【重要】「プレスブログ」最新リリース掲載に関するお知らせ （livedoor Blog 開発日誌）

　もしもlivedoor側がこの管理画面中における宣伝を「ユーザーが当然許諾し許容すべきだ」と考えているならば、それは勘違い。
　ユーザーによってはいかなるメリットもベネフィットも存在せず、単にブログプレスよりの広告掲載料をlivedoorが受け取るだけの話だ。

　繰り返しになるが、livedoor Blogの管理画面はそれほど安全ではないし。そこより直接外部のサードパーティコンテンツへリンクされても、リンク先が信頼できるサイトであるのか否かの判別は難しいために「ユーザーに顔を向けた運営」ではない。


　なおトラックバックは送信したが、ログイン後に下記の内容でコメントを投稿しようとしたものの、何故か成功しませんでした。