Semplice - PC-Cleanなるスパイウェア対策ソフト

PC-Cleanとは

　Bottom Dead Centerさんのフォーラムにて以前、PC-Cleanについて…（Bottom Dead Center）のスレッドを読み、大変深い感慨を感じたんですが。最近あぴ♪からお題をいただき改めて読み返してみれば、何と言ったらば良いのかわからず。
　雄輝さんにより紹介された「PC-Cleanの利用約款（http://nwww3.netpia.com/pccleanjp/sub_03.asp）」はkoniさんが指摘したように、大変ユニークなものだ。この部分を多少長いものの引用してみよう。

　本ソフトウェアには日本語インターネットアドレスヘルパー機能が内蔵されております。
　本機能はアドレスバーに日本語が入力された場合にマッチングするサイトやマッチングするサイトが存在しない場合、検索サイトに自動的に誘導する機能、及び、（株）netpia.comがサービスする日本語eメールアドレスの機能を有するもので、同種の機能を有するソフトウェアがお客様のパソコンに既にインストールされている場合にはかかるソフトウェアを自動的に機能停止及び削除する場合がありますのでご注意ください。
　「利用者約款（http://nwww3.netpia.com/pccleanjp/sub_03.asp）」

　これではまともなソフトウェアなのか否か、どうも自分には判断が付きづらい。
　まずPC-Cleanには、そのスパイウェア対策機能とはまるでかけ離れた機能が備わっている。そのような「余計な」、そしてセキュリティなりに敏感な層に対し刺激的な機能を内蔵する理由は何なんだろうか。
　言葉狩りではないのだが、「検索サイトに自動的に誘導する機能」なるものは、一般にサーチハイジャッカー(Search Hijacker）と呼ばれるマルウェアが持つ機能である。もちろん安全なブラウザヘルパーオブジェクトもこのような機能を備えている場合もあるのだが。
　そしてこのPC-Cleanにバンドルされている「検索機能」なるものと競合する他社製品を、（それが悪質なマルウェアか否かを問わず）アンインストールすると明言している。
　有りうるのかどうかはともかく、JWordを自ら希望してインストールし活用しているユーザーが存在すると仮定する。そのユーザーがPC-Cleanを導入したらば、無断でJWordをアンインストールされるのだろうか。またJWordに限らず他のブラウザヘルパーオブジェクトではどうなんだろう。

　またOK Webにてdoki2さんが「「PC-Clean は、スパイウエア対策に有効ですか？」（http://pcsoft.okwave.jp/kotaeru.php3?q=1639363）」に回答しているのを発見。
　問題の無いファイル・レジストリエントリに対する誤検出や、またアンインストールが正常にできない点を指摘なされており、いい勉強になりました。

　また検出されたものを問答無用でいきなり削除するとの意見をいただきましたが、自分の環境では再現せず。一応このようなガイドが公開されているようでした。

PC-Cleanは、ユーザーのコンピューターにスパイウェア、アドウェアと疑われるプログラムを検出しますが、除去するかどうかをユーザーが選択できるようにしています。ですから特定のプログラムを削除するかどうかはユーザーの決定によります。

　「PC-Cleanはスパイウェアやアドウェアを無条件で削除するのですか？（http://www.pc-clean.jp/sub_07.asp#3）」

PC-Cleanをインストール

WindowsXP SP2にPC-Cleanを導入、したのだが

　何だか他の方に既に検証し尽されている感があるんだけど。とりあえず試してみますか。
　WindowsXP HomeEdition SP2（SP無しのGoldより、統合アップデートCDを作成して利用）をセットアップし、チョコチョコと設定。今回はVirtual PCにてテストし、必要に応じてこのバーチャルディスクを他のゲストマシンのスレーブ接続にて調査しました。
　HijackThisにてスキャンしログファイルを保存、レジストリを丸ごとreg形式にて保存。
　この時点ではInternet Explorerのホームページは「http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome」である。
　「PC-Clean スパイウェア・アドウェア対策（Netpia：ネッピア社）（http://www.pc-clean.jp/index.asp）」よりPC-CleanInst.exeを他のパソコンにてダウンロードし保存。Size=3333029byte、MD5=807bfe03edf06b7e17b656cfdf30ab49であった。
　LAN上にて一応、Vigil Ver2.6.1にてネットワークキャプチャ。

　PC-CleanInst.exeをダブルクリックし、インストール。
　「PC-Cleanの新しいバージョンが出ました。新しいバージョンにアップグレードしますか？」と、アップデートを促すダイアログが出現。

　Vigilのログではplugin.netpia.comにバージョン情報を送信し、より新しいバージョンがあるのかを確認しているようだった。
　素直に「OK」を押して、アップデート。
しかしどうもVigilのログではアップデートは行われない。63.105.207.150宛へこのようなログが残っていたので、この時点ではバージョンを確認するだけなのだろう。
　20050926|PC-Clean.exe|1757184
　20050926|nReport.exe|602112
　IPアドレスからホスト名は逆引きできなかったが、plugin.netpia.comでnslookupしてみたらこのIPアドレスが引けた。なので63.105.207.150はplugin.netpia.comのIP addressなのだろう。
　またwhoisではこのような結果となった。
　Enterprise Networks UU-63-105-192-D4 (NET-63-105-192-0-1)
　63.105.192.0 - 63.105.207.255

　さて、デスクトップ上のPC-Cleanのアイコンをダブルクリックして起動する。
　「PC-CleanのDBがアップデートされダウンロード中です・・・暫くお待ちください。」

　キャプチャしたログでは、この時点になって初めてアップデートが行われているのを確認した。それでは先ほど出た表示は何なんだい？
　最終的に、エンジンバージョン：1.2.20051111、DBバージョン：2005112401
　検査/治療タブには「スタートページに設定したいURL」なる項目があるが、とりあえず無視し「検査」。

　結果として「問題となるアドウエア・スパイウエアは見付かりませんでした。」となった。

　存在しないレジストリエントリなりファイルでも表示してくれれば、相応に盛り上がるんだが。

　さて、Internet Explorerを起動し、アドレス欄に「スパイウェア」と入力した。これでどのような検索結果になるのか、と楽しみにしたのだが。
　PC-Cleanによるブラウザヘルパーオブジェクトではなく、普通にMSN Searchの検索結果が表示されただけだった。
　（これは正常な、インストール前と同じ動作である）
　ここでOSを再起動。
　またまたInternet Explorerを起動し、アドレス欄に「スパイウェア」と入力しEnterキーを押したものの、MSNサーチになっただけである。
　つまらんな、これは。JWordか何かのようなものを期待してたもののツールバーなども作成されず。またアドレスバーからの検索も実際には行われないんだろか。
　またC:\WINDOWS\Downloaded Program Filesフォルダは空なので、JWordのようにInternet Explorerのプラグインをインストールするタイプではないのだろう。

　コントロールパネルの「プログラムの追加と削除」よりアンインストールを試み、OSを再起動。
　しかし一部のレジストリエントリが残ったままの状態である。一例としてこれ。

PC-Cleanを導入し、アップデートさせずに運用

　ネットワークから隔離した状況にて、予めダウンロードしておいたPC-CleanInst.exeを実行しインストール。
　デスクトップ上のアイコンをダブルクリックして開くと、エンジンバージョン：1.2、DBバージョンは空欄である。
　これでスキャンしたものの、誤検出は確認できなかった。

Googleツールバー導入時の挙動

　まずGoogle ツールバーを他のパソコンにてダウンロードし、これを導入しておいた。
　「検索に使用するGoogleサイトを選択してください。」の項目は、「日本（google.co.jp）」を選択。また「Googleを初期設定のサーチエンジンに設定して、Internet Explorerのアドレスバーで日本語ナビを有効にする」を有効とした。また「拡張機能を有効にする」を選択。
　更には、アドレスバーより一旦検索操作を行い、Googleツールバーの日本語ナビを有効とした。
　ちなみにGoogleツールバーの機能よりアドレスバー検索にてSempliceにて検索すれば「リストランテ センプリチェ」なる店が表示される。まぁ、それは置いておいて。

　PC-Cleanをインストール。インストール後にアップデートを促すダイアログにはOK。ネットワークキャプチャより実際にはアップデートは行われていないのを確認。
　Internet Explorerを起動。アドレスバーより検索すれば、スパイウェアにて先ほどの「Enchanting Sky」が表示されるので、デフォルトのMSNではなくGoogleツールバーが有効になっているのだろう。
　ここでPC-Cleanを起動する。アップデート開始。
　「検査/治療」より「スタートページに設定したいURL」の欄を操作せず、検査。

　「検査/治療」タブでは「131683個の検索DBで総3個のアドウェアが発見されました。」との表示が出た。

　まぁ、Googleツールバーも変な噂があったりするものなんだけどな。

PC-Cleanのテスト結果に不満足

　WindowsXP SP2にて散々試したのだが、どうにもこうにもPC-Cleanにより追加されるはずのキーワード検索機能（？）が追加されないのだ。
　おかしい。

　またWindows2000 SP4にてPC-Cleanを試したのだが。
　インストール後に実行ファイルを直接開けば、「Program FilesCommon FilesInstallShieldProfessionalRunTime0701Intel32DotNetInstaller.exe が必（http://oshiete1.goo.ne.jp/kotaeru.php3?qid=1511957）」と同様のエラーが出る場合・また出ない場合がある。しかし11月25日までではこのようなエラーは表示されたものの、翌11月26日以後は、このようなエラーは表示されないのだ。

　とりあえずは、WindowsXP SP2にて作成されたファイルを見直してみよう。


C:\Program Files\NLIA\Update.exeを実行してみよう。
plugin.netpia.com（63.105.207.150）宛にリクエストが送信される。レスポンスのステータスコードが404なので、失敗している。
大体これは、何なんだろうね。Program Filesフォルダ中にわざわざPC-Cleanと別フォルダを作成しているし。



　現時点でのまとめは、このようになる。

1. この時点で不審な動作は確認できなかった。
   
2. アンインストールは失敗した。
   
3. 他所様の話を眺め、日本語検索ツールバーでも作成されるのか・もしくはIEのアドレスバーより検索できるようになるのだろうと思い込んでいたのだが、そのような機能は無かった。
   
4. Googleツールバーは削除対象となるのだが、その理由がわからない。
   
5. パソコンなりOSの違いにより、導入に成功・失敗する例があるのだが、その法則性のようなものが見出せない。
   　
6. Windows2000 SP4にてOKWebでの相談例と同様のエラー表示は11月25日までには出現したが、11月26日以降には出現しなかった。
   　
7. NLIAが何なのかが不明。
   

　かなり時間をかけてOSを変え何度もテストしたものの。不具合なりが起きる原因が見出せず。
　無念ではありますが、利用するテスト機ごとに挙動なりが微妙に異なる理由がわからない現状にては、これ以上のテストは現時点では中止せざるおえません。
　何か見落としがあるとは思えど、見当つかずで。後日ある程度日数を置いてから再度挑戦する予定。