2006年08月29日 - JWordが勝手に・無断でインストールされる理由と経路の謎
JWordについてはこれまでも何度もブログエントリを掲載したのだが、釈然としない点が一つ残るのだ。
それは「勝手にJWordがインストールされた」との質問掲示板などで散見される投稿を眺め、「どうやってインストール(または感染)したのだろうか」との疑問である。
自分は主たる理由は、Jword提携サイトによりインストールを促すポップアップが過剰に何度もしつこく表示され、ユーザーが誤操作によりインストールしてしまうのではないか、と。
しかしどうも、それだけとは言い切れない事例もネット上には散見される。
結城氏のブログエントリを見つけ、2005年1月にfreeml.com経由でJWordを導入してみたのだが。面白い現象として、Internet Explorerの「信頼済みサイト」にjwordが登録されるのだな、勝手に。この状態であるとJWordをアンインストールした後であっても、関連サイトを閲覧しただけでまたJWordが導入されるのだ。
(2006年8月29日の時点でfreeml.comよりは何故かJWordの導入を促す広告は表示されず。またJWord本家より導入してみたのだが、信頼済みサイトへの登録は確認できなかった)
結城氏のブログを眺めれば、この方は素人ではないし相応の知識と経験が備わっていると考えられる。
当時の自分としては、このように解釈した。
1)うっかりミスでたまたまインストールしてしまった。
2)アンインストールした
3)「信頼済みサイトに勝手に登録されたため、その後も信頼済みサイト特有の甘いセキュリティ設定により、意図せず導入されてしまう。
多くのソフトウェアはJWordをバンドルしており、これによりソフトウェア作者は副次的な収入 - JWordよりの報酬を得ている。
また店頭に並ぶパソコンにはJWordがプリインストールされているだろう。
最近ではYahoo!ツールバーだろうか。
これらの存在を知らない・気付かないエンドユーザーが、スパイウェア対策ソフトによりJWordのcnsminが検出され、慌てているのではないだろうか、と。
一応断っておく。
自分はフリーソフト・または代金を徴収しないソフトウェアを配布に当って、何かのアドウェアをバンドルするのは必ずしも悪い事とは言い切れないと考えている。
ある意味での代価、これはソフトウェア作者にとっては当然の権利ではあるのだろうと頭では納得はしているよ、はい。
(もちろん、あまりにも妙なものでなければの話ではある)
だが正直な気持ちの吐露としては、感情的には甘受できないのだ。特に店頭に並ぶようなパソコンにプリインストールされているような事例では。
あえてどこのメーカーとは書かないが。自社が出荷するパソコンにJWordをバンドルしているメーカーが、バンドルされているアンチウイルスソフト体験版によりJWordがマルウェアか何かとして検出される事例に対し、わざわざ「こうすればアンチウイルスソフトによりJWrodが検出されなくなりますよぉ!」とアナウンスするのは、口の悪い言い回しではなるが「マヌ」だと思う。
そこまでやるならば、JWordをバンドルしないか・もしくはそのアンチウイルスソフトをバンドルすべきではないだろう。提携しているウイルス対策メーカーの判断基準そのものを非難するのであれば、その製品を何故にプリインストールするのかと。
ついぞ先ほど、Windows2000 SP4にて設定激甘な状態(既定のレベルで低)にし、www.jword.comを閲覧した。
「無料!簡単5秒インストール」を押したらば、あっと言う間にJWordがインストールされたのだ。
なるほど。確かに簡単5秒だなぁ。
何かの理由にて、意図的にセキュリティタブより設定を操作し、安全とは言えない状況にしているユーザーが多数存在するんだろうか。
現在でも「JWordが勝手にインストールされた」との事例は、ネット上に多数見受けられるものの、感染経路が釈然としないのだ。
ひょっとしたらば、なのだが。信頼済みサイトゾーンにjwordが登録されているのに所有者が気付いていない、のかなぁ。。。。。。
もしくはInternet Explorerのセキュリティ設定が、極端に不適切な状態になっているのかと。
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
それは「勝手にJWordがインストールされた」との質問掲示板などで散見される投稿を眺め、「どうやってインストール(または感染)したのだろうか」との疑問である。
自分は主たる理由は、Jword提携サイトによりインストールを促すポップアップが過剰に何度もしつこく表示され、ユーザーが誤操作によりインストールしてしまうのではないか、と。
しかしどうも、それだけとは言い切れない事例もネット上には散見される。
信頼済みサイト登録問題
ついさっき、freeml.comでメーリングリスト管理の作業をしていたら、いつのまにか、JWordがインストールされていた。ちょっと「むっ」ときて、コントロールパネルを開いて、すぐアンインストール。
Windows XPの場合のアンインストール手順は:[設定]→[コントロールパネル]→[プログラムの追加と削除]→[JWord]→[変更と削除]
どこかで間違ってインストールするリンクをクリックしたのかなあ、と思って再度freeml.comにいってみた。なんと、トップページに行くだけでJWordがインストールされてしまう!
3回試して確認し、3回アンインストールした。やれやれ。
JWord(結城浩の日記)
結城氏のブログエントリを見つけ、2005年1月にfreeml.com経由でJWordを導入してみたのだが。面白い現象として、Internet Explorerの「信頼済みサイト」にjwordが登録されるのだな、勝手に。この状態であるとJWordをアンインストールした後であっても、関連サイトを閲覧しただけでまたJWordが導入されるのだ。
(2006年8月29日の時点でfreeml.comよりは何故かJWordの導入を促す広告は表示されず。またJWord本家より導入してみたのだが、信頼済みサイトへの登録は確認できなかった)
結城氏のブログを眺めれば、この方は素人ではないし相応の知識と経験が備わっていると考えられる。
当時の自分としては、このように解釈した。
1)うっかりミスでたまたまインストールしてしまった。
2)アンインストールした
3)「信頼済みサイトに勝手に登録されたため、その後も信頼済みサイト特有の甘いセキュリティ設定により、意図せず導入されてしまう。
ソフトウェアバンドル版・またはプリインストール版OSへのバンドル
多くのソフトウェアはJWordをバンドルしており、これによりソフトウェア作者は副次的な収入 - JWordよりの報酬を得ている。
また店頭に並ぶパソコンにはJWordがプリインストールされているだろう。
最近ではYahoo!ツールバーだろうか。
これらの存在を知らない・気付かないエンドユーザーが、スパイウェア対策ソフトによりJWordのcnsminが検出され、慌てているのではないだろうか、と。
一応断っておく。
自分はフリーソフト・または代金を徴収しないソフトウェアを配布に当って、何かのアドウェアをバンドルするのは必ずしも悪い事とは言い切れないと考えている。
ある意味での代価、これはソフトウェア作者にとっては当然の権利ではあるのだろうと頭では納得はしているよ、はい。
(もちろん、あまりにも妙なものでなければの話ではある)
だが正直な気持ちの吐露としては、感情的には甘受できないのだ。特に店頭に並ぶようなパソコンにプリインストールされているような事例では。
あえてどこのメーカーとは書かないが。自社が出荷するパソコンにJWordをバンドルしているメーカーが、バンドルされているアンチウイルスソフト体験版によりJWordがマルウェアか何かとして検出される事例に対し、わざわざ「こうすればアンチウイルスソフトによりJWrodが検出されなくなりますよぉ!」とアナウンスするのは、口の悪い言い回しではなるが「マヌ」だと思う。
そこまでやるならば、JWordをバンドルしないか・もしくはそのアンチウイルスソフトをバンドルすべきではないだろう。提携しているウイルス対策メーカーの判断基準そのものを非難するのであれば、その製品を何故にプリインストールするのかと。
Internet Explorerのセキュリティ設定が不適切なのだろうか
ついぞ先ほど、Windows2000 SP4にて設定激甘な状態(既定のレベルで低)にし、www.jword.comを閲覧した。
「無料!簡単5秒インストール」を押したらば、あっと言う間にJWordがインストールされたのだ。
なるほど。確かに簡単5秒だなぁ。
何かの理由にて、意図的にセキュリティタブより設定を操作し、安全とは言えない状況にしているユーザーが多数存在するんだろうか。
どうもわからないなぁ
現在でも「JWordが勝手にインストールされた」との事例は、ネット上に多数見受けられるものの、感染経路が釈然としないのだ。
ひょっとしたらば、なのだが。信頼済みサイトゾーンにjwordが登録されているのに所有者が気付いていない、のかなぁ。。。。。。
もしくはInternet Explorerのセキュリティ設定が、極端に不適切な状態になっているのかと。
関連記事
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
この記事へのコメント
こういうのは「バックドアを開けていった」って言うんですか?
Posted by itochan
at 2006年08月30日 22:56
うーん。この手のものはバックドアとは言いませんね。
Posted by Luca
at 2006年08月31日 07:16
またもやJWord再登場ですね。ちょっと実験してみたい気もしますが......ブルブル、やめておいた方がいいかも?
ところで、フリーのRegAuditorを何気に起動してチェックしてみたところ、ctor.dllへのエントリーが4つ検出されました。ctor.dllって何じゃらほいとググってみたら、Lucaさんの以前のページも出てきました。どうも、アンインストールに不具合がでるキーのようでした。これ自体を削除することとのページもありましたが、どうもよく分からないので、ファイル名を変更して、NSWのWinDoctorでキーのみ削除してみました。現在様子見ですが、ctor.dllを削除すべきかどうかが分かりません。
ところで、フリーのRegAuditorを何気に起動してチェックしてみたところ、ctor.dllへのエントリーが4つ検出されました。ctor.dllって何じゃらほいとググってみたら、Lucaさんの以前のページも出てきました。どうも、アンインストールに不具合がでるキーのようでした。これ自体を削除することとのページもありましたが、どうもよく分からないので、ファイル名を変更して、NSWのWinDoctorでキーのみ削除してみました。現在様子見ですが、ctor.dllを削除すべきかどうかが分かりません。
Posted by ベルモンツ
at 2006年09月01日 15:28
それは微妙な問題ですね、うーん。
以前このようなブログエントリを掲載しましたが。
http://blog.lucanian.net/archives/50698253.html
ファイルの名称はそれのみでは判断材料として不十分なような気がしますよ。
自分ならばMD5シグニチャを取得してgoogle検索するとか、virustotalを利用するとか、または関連プログラムを稼動させている最中にアンチウイルスソフトによりスキャンし結果を元に検索するとか。
>ファイル名を変更して
ファイルの名称を変更した上で十分試し不具合が起きないならば、削除してしまっても問題は無いような気がしますよ。
以前このようなブログエントリを掲載しましたが。
http://blog.lucanian.net/archives/50698253.html
ファイルの名称はそれのみでは判断材料として不十分なような気がしますよ。
自分ならばMD5シグニチャを取得してgoogle検索するとか、virustotalを利用するとか、または関連プログラムを稼動させている最中にアンチウイルスソフトによりスキャンし結果を元に検索するとか。
>ファイル名を変更して
ファイルの名称を変更した上で十分試し不具合が起きないならば、削除してしまっても問題は無いような気がしますよ。
Posted by Luca
at 2006年09月01日 19:13
回答ありがとうございます。
>自分ならばMD5シグニチャを取得してgoogle検索するとか、virustotalを利用するとか、または関連プログラムを稼動させている最中にアンチウイルスソフトによりスキャンし結果を元に検索するとか。
このような操作は高度すぎて、私にはできませんので、現状のまま様子を見ます。ctor.llが危険ものとの情報が少なすぎて、信頼に欠けることも事実ですし。
何か異常がありましたら報告または私のサイトorブログで記事にします。
>自分ならばMD5シグニチャを取得してgoogle検索するとか、virustotalを利用するとか、または関連プログラムを稼動させている最中にアンチウイルスソフトによりスキャンし結果を元に検索するとか。
このような操作は高度すぎて、私にはできませんので、現状のまま様子を見ます。ctor.llが危険ものとの情報が少なすぎて、信頼に欠けることも事実ですし。
何か異常がありましたら報告または私のサイトorブログで記事にします。
Posted by ベルモンツ
at 2006年09月01日 23:10
とあるセキュリティースイーツでは、標準インストールでJwordが入ってしまいます。
"上級者向け"と謳われているカスタムインストールで外せますが、関係のないアプリを標準でインストールする手法には納得いかないですね。
因みに、スイーツ中のアンチスパイではJwordには反応しません。
よく出来ています。
"上級者向け"と謳われているカスタムインストールで外せますが、関係のないアプリを標準でインストールする手法には納得いかないですね。
因みに、スイーツ中のアンチスパイではJwordには反応しません。
よく出来ています。
Posted by washi
at 2006年09月05日 13:22
>washi さん
「キングソフトインターネットセキュリティ2006」日本語版でしょうか、その製品は。
「キングソフトインターネットセキュリティ2006」日本語版でしょうか、その製品は。
Posted by Luca
at 2006年09月05日 19:20
Luca様>
です。
一応、使用承諾契約の一番最後にJwordプラグインインストールについて書かれてはいますので、「無断」となるとそうではないのですが...
です。
一応、使用承諾契約の一番最後にJwordプラグインインストールについて書かれてはいますので、「無断」となるとそうではないのですが...
Posted by washi
at 2006年09月06日 12:16
.hostsでjword関連を全弾きしていますが今のところ無問題のようです
Posted by ???
at 2006年09月06日 19:26
サポートページがあまりにも面白かった製品ですよね。
http://blog.lucanian.net/archives/50509397.html
ふと思いついたんですが。
3721.com版CnsMinはどうなのかと気になるので、後日検証してみます。
http://blog.lucanian.net/archives/50509397.html
ふと思いついたんですが。
3721.com版CnsMinはどうなのかと気になるので、後日検証してみます。
Posted by Luca
at 2006年09月06日 19:26
>??? さん
hostsファイルによる登録で、0.0.0.0でしょうか?
hostsファイルによる登録で、0.0.0.0でしょうか?
Posted by Luca
at 2006年09月06日 19:31
hostsの話が出ていたので…
127.0.0.1 www.jword.jp search.jword.jp www.j-word.jp download.jword.jp search.jword.jp
私は、(JWord関連では)こんな感じにしています。
で、実験用WEBサーバーを立てていたことを忘れて、JWordへのリンクを踏んでしまい、「なんで俺のページに行くねん」となったことは内緒ですw
127.0.0.1 www.jword.jp search.jword.jp www.j-word.jp download.jword.jp search.jword.jp
私は、(JWord関連では)こんな感じにしています。
で、実験用WEBサーバーを立てていたことを忘れて、JWordへのリンクを踏んでしまい、「なんで俺のページに行くねん」となったことは内緒ですw
Posted by 404
at 2006年09月06日 22:07
>実験用WEBサーバー
あら、それは注意しなければなりませんね。
言われてみればそうですね。
あら、それは注意しなければなりませんね。
言われてみればそうですね。
Posted by Luca
at 2006年09月07日 06:24
Luca様のブログを拝見させていただきました。
JWordはいったい何を考えているのか分かりませんね。
私も何回か某掲示板の回覧中にJWordが勝手にActive Xをインストールしようとしてきたことがありました。ほんとうに悪意があるのか無いのかは分かりませんね。
JWordはいったい何を考えているのか分かりませんね。
私も何回か某掲示板の回覧中にJWordが勝手にActive Xをインストールしようとしてきたことがありました。ほんとうに悪意があるのか無いのかは分かりませんね。
Posted by @7
at 2006年09月15日 21:20
詳しい経緯がわからないため、不十分な返信で申し訳ありません。
サイト閲覧時における挙動として、以下の3点に区分し説明しますが。
1)勝手にインストールされた
2)勝手にインストールしようとしたのを、何らかの対策手段で防止できた
3)インストールを促すダイアログ等を表示した
一見すると似ているように思われますが。
(1)(2)はさすがに問題ではあるものの。
(3)は、現在の国内法では違法行為ではありません。
もちろん(3)は、異常な回数のポップアップ表示で導入を促す場合は、違法行為か否かとは別の視点として、リスクが高い・かつ迷惑な行為と判別されるでしょう。
一例としてSiteAdvisorでは、エンドユーザーが許容できないような常識はずれの回数のポップアップ表示は、迷惑行為(Annoyances)として扱われます。
http://blog.lucanian.net/archives/50786928.html
サイト閲覧時における挙動として、以下の3点に区分し説明しますが。
1)勝手にインストールされた
2)勝手にインストールしようとしたのを、何らかの対策手段で防止できた
3)インストールを促すダイアログ等を表示した
一見すると似ているように思われますが。
(1)(2)はさすがに問題ではあるものの。
(3)は、現在の国内法では違法行為ではありません。
もちろん(3)は、異常な回数のポップアップ表示で導入を促す場合は、違法行為か否かとは別の視点として、リスクが高い・かつ迷惑な行為と判別されるでしょう。
一例としてSiteAdvisorでは、エンドユーザーが許容できないような常識はずれの回数のポップアップ表示は、迷惑行為(Annoyances)として扱われます。
http://blog.lucanian.net/archives/50786928.html
Posted by Luca
at 2006年09月16日 19:17
一点だけ付記させて下さい。
JWordそのもののと、成功報酬を得るためにJWordと契約しているサイトは、区別して考えねばなりません。
JWordそのもののと、成功報酬を得るためにJWordと契約しているサイトは、区別して考えねばなりません。
Posted by Luca
at 2006年09月16日 19:19
