Semplice - ランサムウェア（Ransomware）とFUD

ランサムウェア（Ransomware）とは？

　ランサムウェアはエンドユーザーに対して、何かのマルウェアに感染していると思い込ませてソフトウェアを購入させる業者が販売するソフトウェアである。これはFUD（恐怖(fear)不安(uncertainty)疑念(doubt)の頭文字をとった造語）による悪質な宣伝なのだ。
　（FUDについては以前書いた記事があるので、興味があるならば「2005年02月14日 - FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング（Semplice）を一読願いたい。）
　具体的な例としてはFTC、スパイウェア・アサシン（Spyware Assassin）を摘発（Semplice）を紹介する。

　なお誤解を招く可能性があるので、予め断っておくのだが。ランサムウェアがBogus wareとRogue ware、インチキソフト（Semplice）である場合も考えられるのだが。
　このランサムウェア（Ransomware）なる用語の用法は直接的には、そのソフトウェアの挙動・動作の安定性やそれに対する機能面への評価を指すのではなく、どのように配布・販売されているのかを指す点には注意してもらいたい。

　スペインのパンダ・ソフトウェア社は5月30日(現地時間)、パソコンに入り込んでソフトなどを売りつける『ランサムウェア』が増加していると警告した。データを勝手に暗号化し、復元ソフトを買わせようとするウイルスが最近見つかったほか、スパイウェアを口実にソフトを押し売りする事例が相次いでいる。
　ランサムは英語で身代金という意味。ウイルスの作者やハッカーが、パソコン・ユーザーを単に困らせるだけでなく、金銭を得ようとする例が目立ってきたという。
　最新のランサムウェアは、『スパイウェアノー』(SpywareNo)というソフトを売りつける。同社によると、アダルト・サイトにアクセスすると、勝手にパソコンに入り込み、「スパイウェアが潜んでいる」などと表示。月約15ドルの契約を結ぶまで、表示が消えなくなる。
「押売りウイルス」が増加（Wired News）

　Wired Newsの英語版の元記事を見ようとしたものの、見つからず（消去？）
　日本語版の記事中では、このソフトをウイルスと記載しているが、実はこれはウイルスではないのだな。

　Spyware Warriorに興味深い話が紹介されているのだが。

（注意：Spywarenoが怪しいソフトではないとの業者側の弁明に対して）
　これらの（CWS関連によりインストールされるアドウェアの）ファイルに感染したらば、Spywarenoの試用版を秘密裏にインストールされる。
Update on SpywareNo!(Spyware Warrior)

　このSpywarenoの販売元でPR Managerを努めている（と名乗る）Jessica Simmons氏のコメントが、信頼に足るものなのかは判別できないものの、これは大変示唆に富む。

　SymantecやMcAFEEなどのまともな企業の製品であったとしても、だ。悪意のあるAdware配布者がこれを通常ユーザーに許容されないような手法を用いて宣伝したり購入を強要したとしたらば、「まともな製品の製造・販売元」の社会的評価を貶められるだろう。そしてその製品はランサムウェアとなるのだろうか？

　とりあえずこの場では、ランサムウェアを一旦このように扱う事にする。

• ブラウザハイジャッカーやAd-ware経由でしつこく宣伝されそのサイトへリダイレクトされ、または脅迫的なサイトの表示・感染中に強制的に表示されるデスクトップの壁紙やポップアップ表示により、購入を強要される。
  

　以下はランサムウェアとしての条件に当てはまるのか否かが判断つかないため、この場では保留する。だがBogus wareであるのは事実だ。

• マルウェアに対しての検出力はインチキレベル
  

ランサムウェアと脅迫的マーケティングの現状（2006年5月2日追記事項）

虚偽の警告を表示し、ユーザーにいかがわしいソフトウェアを導入させる手口

　セキュリティホール memo経由で、コンピュータウイルス・不正アクセスの届出状況[4月分]について（IPA：独立行政法人 情報処理推進機構）なる記事を見つけた。
　これはまさにブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）の内容そのものだ（と言うかリンクを付け紹介してもらいたいものです）。
　ブラックウォームは悪名高いwinfixer.comが深く関わっており、WinFixer2005による脅迫は自作自演（Semplice）WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法（Semplice）にて紹介した悪質ソフトの導入を脅迫的に強要する。

　対策側として多少不満を覚える点として、IPAにては一点舌足らずな部分があるのだ。それは一過性のどこかのURIリンクやバナー広告を押して表示された場合と、アドウェア（広告表示プログラム）によるポップアップ広告やブラウザハイジャッカー（Internet Explorerなどのブラウザにて、ユーザーが意図しない動作・一例として強制的にどこかのサイトを表示する）を考慮していない部分。

　一過性のものでありそれ以後怪しい脅迫的サイトを表示されないならば、それほど深刻な問題ではないだろう。
　ですが何度も何度も勝手に表示されるならば、アドウェアやブラウザハイジャッカーの存在をまず疑うべきであり、既に「何か」に感染している可能性があるのだろう。

存在しないマルウェアを検出・または自作自演で検出対象を作成する

　PAL Spyware Removerはスパイウェアやマルウェアに感染していなくても警告する（Semplice）のように、いかなるウイルス・スパイウェア・アドウェア・マルウェアに感染していない場合でも、何かに感染していると警告する悪質なスパイウェア対策ソフトが存在する。
　またWinFixer2005による脅迫は自作自演（Semplice）のように、わざわざ検出対象ファイルを自作自演で作成し、これを検出し「感染しているぞ！」と騒ぐ悪質なソフトウェアもある。
　これらはインチキソフト（Bogus wareとRogue ware、インチキソフト（Semplice）なのだ、それは疑うべき部分は無い。

　そうは言っても、多少判断がしづらい場合もあるのだ。
　他のマルウェア（Malware）と協調し悪質なソフトウェアを導入させ、検出対象ファイル（一例として何かのアドウェア）を予め作成する場合はどうなんだろう？
　これらの「微妙なソフトウェア」を導入するように強要するアドウェアまたはダウンローダーは、予め検出対象となるファイルをダウンロードしておき、いかがわしい対策ソフトによる検出数を増やそうと試みる。これにより「ほら、やっぱり感染してた！このソフトを買いなさい！」と、その説得力を増そうとしているのだ。

　多少かけ離れた視点でこれらの実態を鑑みれば、「不審かつ不要なスパイウェア対策ソフト・ウイルス対策ソフト」を単体でダウンロードし運用したとしても、背景となる「カラクリ」がアンチウイルスソフトメーカーや対策側団体としては見出しづらいのだ。
　このような特殊な事例の場合、「いかがわしい対策側ソフトウェア」をBogus ware・Rogue ware・インチキソフトとしては判断しづらい事例もあるだろう。

ランサムウェア（Ransomware）と広告業界

　前述のSpywarenoの件のように「宣伝を依頼した広告代理店が勝手にやっただけだ！」と主張される可能性があります。
　このような場合は、どのように解釈すれば良いのかわからず。
（ランサムソフトの話ではありませんが。ブラウザハイジャッカーとしてのCWSは、悪意がある広告代理店が勝手にやってるだけだとの反論をしているようですが）

関連記事

　Bogus wareとRogue ware、インチキソフト
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
　マルウェア（Malware）の定義（ウイルス・スパイウェア・アドウェア）
　スパイウェア（Spyware）の解説と定義、概論
　FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-07-20 ランサムウェア（Ransomware）と悪質ソフト、そのボーダー（http://d.hatena.ne.jp/LucaLuca/20050720）を修正・加筆し移転したものです。