2006年11月02日 - ErrorSafeによる詐欺的ダイアログ表示 - 誰が広告を表示させたのか
ErrorSafeとWinFixer Family
ErrorSafeはいかがわしいソフトウェアとして大変著名であり、Bogus ware(インチキソフト)・Rogue Ware(悪党ソフト)・またはスパイウェアとしての評価をネット上で受けている。一例としてSymantec社はErrorSafe(Symantec)にて「ErrorSafe は、コンピューター上で誇張した脅威の報告を提示する可能性がある、セキュリティリスクです。このプログラムは次に、報告された脅威を駆除するためにソフトウェアの登録されたバージョンを購入するようにユーザーに促します。」と掲載している。
このようなソフトウェアは海外では一般に機能面の至らなさをもって、Bogus wareもしくはRogue wareと称される(Bogus wareとRogue ware、インチキソフト(Sempkice)。または詐欺的な販売をもとにランサムウェアとされる。
日本国内での表記なり扱いはかなりバラバラで、メーカーサイトにて用語の誤用が含まれるほどでありまして。まだまだ周知されていない問題なのだろうか。
ErrorSafeとWinFixer Familyにおける広告の謎
ErrorSafeは幾つかの評判が悪いスパイウェア対策ソフトウェア・ウイルス対策ソフトウェアとの関連を指摘されている。著名なものとしてWinFixer2005、また感染してもいないにも関わらず脅迫される詐欺的行為で著名なブラックウォーム関連としてのWinAntiVirusPro2006とWinAntiSpyware2006である。便宜上これらを「WinFixer系」「WinFixer Family」と呼称するが、自分はこれらの関わりを100%の確度で検証できていない点は断りを入れておく。
(WinFixer2005による脅迫は自作自演(Semplice)とブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法(Semplice)参照のこと)
WinFixer 2005・WinAntiSpyware 2006・WinAntiVirusPro 2006の3つは、ErrorSafeの導入を強要する詐欺的バナー広告・ポップアップダイアログ・これらを押した際に表示される画面が、ほとんど同一なのだな。
何故に彼らはここまであからさまに、いずれ問題が論じられるとすぐにバレるような手口、それもほぼ同一のデザインのバナーやサイトを利用するんだろうか?
自分は全く理解できない。
感染もしていないのに不安を煽る虚偽の詐欺広告と、責任の所在
「消費者を騙し感染もしていないのに自社サイトへ誘導する広告は詐欺だ!」そうですね、確かに。
だが断りを入れておく。多くのマルウェア対策サイトは、誤解を重ねている。
「非難するべき相手を間違えてはならない」のだ。
1)詐欺バナーが掲載されたサイト
2)サイトをホスティングしているフリースペース等の運営者
3)サイト運営者・もしくはホスティング業者が契約している、バナー広告を表示する広告代理店
4)バナーのリンク先の、ドアページ的一次誘導サイト
5)インチキなソフトウェア販売業者による、二次的誘導サイト
6)インチキなソフトウェア販売業者のサイト
(上記の運営母体が同一である場合も想定される)
あるサイトで君が詐欺的バナー広告にギョッとし、クリック。騙されて開いた一次誘導サイト・または直接二次誘導サイトへ辿りつき、詐欺であると気付かずにいかがわしいソフトウェアをダウンロードしたとする。
君は誰の責任を最も追及すべきなのか?
(騙された消費者、とのアンサーは無しだ)
一次誘導サイトと二次誘導サイトの運営者が同一とは限らない。
また広告代理店は、詐欺行為に加担したとは思いもよらなかった可能性もある。
サイト運営者が詐欺行為であると知っててアフィリエイト広告を掲載していたのでなければ、責めるべきではない。
更には、サイト運営者がこれまで何ヶ月にも渡ってサイトに掲載していたアフィリエイト広告が、ある日突然知らぬ間に危険な詐欺的広告が表示されるようになってしまった事例もある。
ErrorSafe関連広告を表示させる仕組み
WinAntiVirusとErrorSafeは「振り込め詐欺」だ(上大岡的音楽生活)さんにてWinFixer Familyにつきものの詐欺的広告を紹介していたのを発見。サイト運営者に許諾を得た上で再検証する。テストに当って準備したのは、WindowsXP SP2日本語版である。JavaScriptを有効に設定し、http://members.fortunecity.com/pattiboydを閲覧した。
実施したのは2006年8月6日である。
members.fortunecity.comを閲覧した後に何がどうなるのか、じっくりと検証してみよう。
なおパケットキャプチャソフトはVigilを利用した。
members.fortunecity.comにて
301(Moved Permanently:恒久的移動)のステータスコードは、httpでは恒久的移動(もう移転したよの意味)なのだが、移動先が同じ。
(後になって気付いたが、まさかスラッシュの有無じゃないだろうな。。。。。)
fcadunitをmiscに変換
www.fortunecity.com上のadscript.global.jsを開かせる
www.fortunecity.comへ
www.fortunecity.comにて
adscript.global.jsを開く「adscript.global.js」に関してはかなり冗長な内容となるので、以下に分割して記載する。
「adscript.global.js」の内容 - 1
詳細不明「adscript.global.js」の内容 - 2(「警告-スパイウェア」のバナー)
「警告-スパイウェア」のバナーを開かせるための手順である。oascentral.fortunecity.comへ。なおfcadunitはmiscへ変換される。
oascentral.fortunecity.comにて - 2-1
http.edge.vru4.comへ。
http.edge.vru4.comにて - 2-2
302(Moved Temporarily:一時的移動)のステータスコードによりlocator1.cdn.imagesrvr.comへ転送
locator1.cdn.imagesrvr.comにて - 2-3
「警告-スパイウェア」のバナーが表示される
「adscript.global.js」の内容 - 3(「注意:レジストリデータベース、システムファイルにあるエラー」なるダイアログ)
oascentral.fortunecity.comにて - 3-1www.errorsafe.comへ
www.errorsafe.comにて - 3-2
302(Moved Temporarily:一時的移動)のステータスコードにより、www.errorsafe.com内部へ転送
302(Moved Temporarily:一時的移動)のステータスコードにより、www.errorsafe.com内部へ転送
jp.errorsafe.comにて - 3-3
「注意:レジストリデータベース、システムファイルにあるエラーによってコンピュータは機能が正しくなくて、フリーズ、クラッシュの恐れもあります。エラーを修正するとコンピュータパフォーマンスが向上してデータ損失ができなくなります。無料でコンピュータをスキャンするようにErrorSafeをインストールしますか?(推奨)」のダイアログが表示される。
なおhttp://jp.errorsafe.com/download/2006/index.php?aid=oepamp_rdt_jp_ja_lng&lid=os&ed=2&ax=0 をブラウザのアドレス欄に入力し直接開くと、このダイアログが表示されるだろう。
errorsafe.comのwhois結果
所謂「いかがわしいソフトウェア」関連のブログなどではよく見かける、ドメインをwhoisした結果なのだが。errorsafe.comをWhois検索した結果は、このようなものである。
Registrant:
Web Advertising, Corp. (ERROSAFE-COM-DOM)
Kings Court, Bay Street
P.O. Box N-3944
Nassau,
BS
Web Advertising, Corp. (ERROSAFE-COM-DOM)
Kings Court, Bay Street
P.O. Box N-3944
Nassau,
BS
BSと言えば、バハマ(Bahamas)か?
ウクライナなどを期待したんだけどなぁ。
後書き
幾つかの事例にて、不審バナーとサイト閲覧時に表示されたポップアップ広告の「犯人」は混同され、時にはサイト運営者個人までが「悪者」として誤解され非難されている。冷静さを持ち対処していただきたい。
なお今回紹介したサイトは、「誰が悪者なのか」問題とは直接の関わりが無い点には断りを入れておく。テーマのためにやたらと込み入った例を一つ持ち出したに過ぎない。
Appendix
普通ならば相応の内容を備えるブログの記事を再検証したいと申し入れても、断られたり無視されるのが常なのだが(失礼な要望であるのは承知はしている)。上大岡的音楽生活さんより快諾を得られ、掲載いたしました。
原稿とログのファイルを紛失し、昨日やっと当初ブログの原稿を発掘し掲載する次第であります。
こちらより申し入れたものの掲載が遅れた点を、この場にてお詫び申し上げます。
関連記事
ランサムウェア(Ransomware)とFUD外観を変えただけのインチキソフトは、インチキソフトなのか
WinFixer2005による脅迫は自作自演
ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法
この記事へのトラックバック
ネットサーフィンをしていて海外のサイト(おや、そこのアナタ。いまよからぬ想像をし...
WinAntiVirusとErrorSafeは「振り込め詐欺」だ【上大岡的音楽生活】at 2007年07月01日 00:46
この記事へのコメント
わたしもWinFixer Familyに遭遇したことがあります。
マカフィーサイトアドバイザーでerrorsafe.comと検索すると本拠地はカナダと表示されますが本当でしょうか?
それと話は変わりますが、「バイドクター」「PC-Clean」も怪しいソフトだと私は思います。
「PC-Clean」HPとベクターHPでは、「PC-Clean」の開発元は”アメリカ”であると記載されていましたが、AVAST!!のパートナーリンクであるアルテックHPでは、”韓国”が開発元になっていますし、JAddressという他社プラグインをインストールしてきたりするのです。
それに「バイドクター」と「PC-Clean」のホームページは非常ににています。同じ企業なのでしょうか?
PC-Clean HP
ttp://www.pc-clean.jp/
バイドクターHP
ttp://www.vidr.jp/
マカフィーサイトアドバイザーでerrorsafe.comと検索すると本拠地はカナダと表示されますが本当でしょうか?
それと話は変わりますが、「バイドクター」「PC-Clean」も怪しいソフトだと私は思います。
「PC-Clean」HPとベクターHPでは、「PC-Clean」の開発元は”アメリカ”であると記載されていましたが、AVAST!!のパートナーリンクであるアルテックHPでは、”韓国”が開発元になっていますし、JAddressという他社プラグインをインストールしてきたりするのです。
それに「バイドクター」と「PC-Clean」のホームページは非常ににています。同じ企業なのでしょうか?
PC-Clean HP
ttp://www.pc-clean.jp/
バイドクターHP
ttp://www.vidr.jp/
Posted by e-boy
at 2006年11月13日 21:23
カナダのアドレスブロックのIPアドレスにて運用されている類似ソフトウェアもありますが、本当の「本拠地」はどこなんでしょうね。
>バイドクター
http://blog.lucanian.net/archives/50611932.html
>PC-Clean
http://blog.lucanian.net/archives/50445929.html
何をもって信頼できるソフトウェアとするのかは、大変難しい問題です。
機能面の充実さや高い検出力、価格、企業の評価、マーケティングの様態などなど。
いずれにしても上記2製品は、私は知人には推奨できませんね。
>バイドクター
http://blog.lucanian.net/archives/50611932.html
>PC-Clean
http://blog.lucanian.net/archives/50445929.html
何をもって信頼できるソフトウェアとするのかは、大変難しい問題です。
機能面の充実さや高い検出力、価格、企業の評価、マーケティングの様態などなど。
いずれにしても上記2製品は、私は知人には推奨できませんね。
Posted by Luca
at 2006年11月13日 22:30
