secure（セキュリティ／ウィルス対策）: マックんのブログ

TOP＞カテゴリ「secure（セキュリティ／ウィルス対策）」

TOP / secure（セキュリティ／ウィルス対策）

- 1 2 3 4 5.. >>

2014年12月21日

スポンサーリンク

Microsoft Partnerの詐欺広告 #spam

2014年の年末のPC大掃除はまだです。
昨年の年末はconduit退治でPCの大掃除が大変でしたが、今年はPCの大掃除しなくてもいい気がしてます。
conduitで痛い目にあったので、2014年はWindows 7にavast!＋Kingsoftのタッグを組んで臨んでいるからです。
Kingsoftは既出ウィルスに強く、avast!は新種ウィルスやマルウェアに対して強力にブロックしてくれました。
お互いの弱点を補完している無料の最強タッグという気がします。

ChromeやFirefoxについても評価の低いアドオンを無視するようになり大変丈夫になってくれました。
ieは・・・ちょっとおいときます。

さて、YouTubeなんかを見ていると「Microsoft Partner」という広告が出ている時があります。
その「Microsoft Partner」の広告に関する記事です。

Microsoft Partnerの広告について

YouTubeなんかを見ていると、このような広告が出る時があります。

「あなたのPCは故障する寸前です」とありますが、もちのろん詐欺広告です。
他に、
「PCのパフォーマンスが低下しています」
「あなたのPCはクラッシュする寸前です」
というものもあります。
ConduitなどのSearchProtectで痛い目にあっている人はアドウェアが入ったかと敏感になってしまいますが、違いとして頻繁に出るわけでもなく、右肩に「AdChoices」とか「スポンサーリンク」「Ads by Google」がでていればGoogle ディスプレイネットワークークで表示されているので心配ありません。
新品のPCでも表示される広告です。

但し、明らかに異常な頻度でこのような広告が出現する場合はブラウザがハイジャックされています。
その場合は、こちらの記事を参照してみてください。
関連記事「conduit hao うざすぎ　完全削除で消えてもらう方法」

AdChoicesについて

AdSense 日本版公式ブログより

Google では主に英語のサイトに表示される広告について、新しく「AdChoices」というラベルの表示を開始いたしました。このラベルはオンライン広告業界の Self-Regulatory Program for Online Behavioral Advertising（英語: オンライン行動ターゲティング広告に関する自主的行動規範）に基づいて、ユーザー自身が表示された広告に関する認知と選択ができるよう作成されました。

http://adsense-ja.blogspot.jp/2011/07/blog-post.htmlより引用

「AdChoices」と表示されていれば大丈夫か

英語サイトは量が半端じゃないのでこのような詐欺広告はほぼ、AdChoicesと表示されていると思われます。
この「AdChoices」の表示までも偽装している可能性は少ないと思いますが、心配であればこの「AdChoices」をクリックして見て下さい。

microsoft_partnerがGoogle ディスプレイネットワークで表示されている広告

上記のように「About Google Ads」と表示されれば、Google ディスプレイネットワークで表示されている広告ということが確定します。大丈夫な状態といえますが、後は広告の出現頻度で判断しましょう。
例えば、ブラウザハイジャッカーにハイジャックされるとGoogle検索トップ画面でも複数の同様な広告が表示されたり明らかに異常であることは誰でも分かります。

詐欺広告となぜいえるのか

たかが広告の分際で、PCにアクセス出来る権限ないだろ！
なんでPCアクセスも出来ない広告が、PC故障する寸前って分かるのか？
と考えれば詐欺広告というのはすぐに分かりますよね。

なぜGoogleさまの広告ネットワークに詐欺広告が表示されるのか

Google ディスプレイネットワークは、Google の広告掲載パートナーとして百万件を超えるウェブサイト、動画、アプリが集まったネットワークです。Googleさまとしては広告主の広告の中身まで全部見切れるわけないので、表示されてしまうのだと思われます。
しかし、そこは天下のGoogleさまで画像解析する技術を研究中だとか、
Google ディスプレイネットワークでは、このような広告が表示されなくなる日も近いかもしれません。

Microsoft PartnerってMicrosoftと関係あるの？

下記の通りで、本当のパートナーであることもあります。但し、パートナーなどのロゴは所定の要件を満たした企業に与えられますが、パートナー企業の製品の品質を保証するものではないとのことです。
何それって感じですよね。製品の品質を保証してパートナーとすべきでしょう。
少なくともこのようなケースが分かり次第パートナーのロゴをはく奪すべきです。
Appleでは製品の品質を保証したものしかダウンロードできない徹底ぶりなのにポリシー違いすぎです。

また、パートナーでもないのに名前を悪用するケースも有るようです。

Microsoftコミニュティー　MVP（Most Valuable Professional）の回答

＞本当にマイクロソフトのパートナーですか?
パートナーの文字はマイクロソフトにお金（登録料）を支払うだけで使う事ができます
インチキソフト業者はマイクロソフトの名前を悪用しているだけです。

http://answers.microsoft.com/ja-jp/windows/forum/windows_xp-security/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD/77df02d3-a09c-4389-aecb-d979c559d6cb
より引用

詐欺広告だから無視すればいいわけですね

無視するでいいんですが、マックんは右肩の「AdChoices」から不適切な広告として報告＆詐欺広告主が誰かを確認する意味も込めてクリックする時があります。（←推奨はしません、クリック先のWebページを開いただけでマルウェアに感染する危険性は0ではありません。これは、無料のアンチウィルス最強タッグを組んでいることによりできることです）
クリックすることにより、この詐欺広告主はGoogleさまに広告料を支払うことになります。
で、開いた結果こいつが詐欺広告主かぁ

WinZipか、Microsoft Partner Silverと表示していますが実際にそうなんでしょうね。
でも、マイクロソフトのパートナーなんて何の価値もないんです。

XPの時代では活躍している時もあった悪いやつという印象ないですが、Windows 7以降はZipなんてOSに組み込まれているわけで出番があるはずもなくこのような広告でクリックとインストールをさせたいわけね。
というようなことを思いつつ、もちろん何もせずにとじてしまいます。
（インストールしてしまうとかは最悪なアクションです。）

Microsoft Partner 広告に関するツイート

Microsoft Partner 詐欺に関するツイート

タグ：secure（セキュリティ／ウィルス対策）

スポンサーリンク

【人気ブログランキング】

【SNS　Bookmarkサービス】

posted by マックん at 2014年12月21日06:17 | Comment(0) | TrackBack(0) | secure（セキュリティ／ウィルス対策） |

2014年01月25日

スポンサーリンク

【スクランブル情報】GOM Playerのアップデートで不正なプログラムが実行される事案

株式会社ラックの緊急対応チーム『サイバー救急センター』は、標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる事案を確認したとのことです。

【注意喚起】正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について ▼詳細は次のURLからご確認ください。... http://t.co/izao8zbIeJ
— 情報セキュリティのラック (@lac_security) 2014, 1月 23

GOM Playerアップデートサービスに不正アクセスを確認

GOM Playerを起動すると「NOTICE　報道に対する弊社からのお詫びとお知らせ」が上部にものすごく小さく表示されています。広告と比較してお詫びが小さすぎて気がつきません。
数百万のPCをウィルス汚染させたといわれているのに、こういうところで企業の体質がみえるのではないでしょうか('～`；)

リンク先をたどるとGOM Playerアップデートサーバー（app.gomlab.com）に対し不正アクセスがあったことと、GOM Player日本語版のインストールプログラム（GOMPLAYERJPSETUP.EXE）を装ったマルウェアがダウンロード、実行される可能性があったことがHPに掲載されています。

報道に対する弊社からのお詫びとお知らせ

No : 掲載日 : 2014-01-24
2014年1月23日の株式会社ラックＩＲ広報部からの「正規のソフトウェアのアップデートで、不正なプログラムが実行される事案について」という報道およびマスコミ各社によるGOM Playerについての報道により、GOM Playerユーザーのみなさまにはご心配とご迷惑をおかけしておりますことをあらためてお詫び申し上げます。

詳細につきましては、現在も調査中ですが、1月24日21時時点で判明している内容についてご案内申し上げます。

(1)GOM Playerアップデートサーバーの攻撃について
2013年12月27日から2014年1月16日にかけて、断続的に米国ニューヨーク所在のGOM Playerアップデートサーバー（app.gomlab.com）に対し、不正アクセスがあったことを確認いたしました。

(2)マルウェアへの感染について
(1)の不正アクセスにより、GOM Playerのアップデートの際、本来のアップデートサーバー（app.gomlab.com）から意図しない外部の第三者サイトに誘導され、GOM Player日本語版のインストールプログラム（GOMPLAYERJPSETUP.EXE）を装ったマルウェアがダウンロード、実行される可能性があったことが明らかになりました。

(3)マルウェアへの感染のおそれのある期間
2013年12月27日（金）から2014年1月16日（木）の間

(4)すでに行った対策
2014年1月16日に、サーバー設定の修正、セキュリティの強化を実行しました。
2014年1月23日に、GOM Playerを含むすべてのGOMソフトウェアのアップデートサービスを中止しました。

(5)GOM Playerユーザーのみなさまへのお願い
(3)の期間中に、GOM Player日本語版のアップデートをされた可能性があるユーザーのみなさまにおかれましては、セキュリティソフトを最新の状態にアップデートしたうえで、ウイルスチェックと駆除を実行してくださいますようお願い申し上げます。ご利用のPCの安全が確認されましたら、GOM Playerを公式サイトよりインストールしてご利用ください。

(6)GOM Playerインストールプログラム（GOMPLAYERJPSETUP.EXE）が安全であるかの確認方法
GOM Player日本語版のインストールプログラム（GOMPLAYERJPSETUP.EXE）にはデジタル署名がございます。ダウンロードしたGOM Player日本語版のインストールプログラム（GOMPLAYERJPSETUP.EXE）を右クリックし、[プロパティ]から[デジタル署名]タブがあることを確認してから実行してください。署名者名がGRETECH、タイムスタンプが‎2013‎年‎12‎月‎19‎日 11:11:52と表示されていれば、弊社が公式に提供している安全なインストールプログラムです。

(7)アップデートサービスの再開予定
(3)の通り、被害があった期間の特定は完了しており、現在はGOM Player日本語版アップデートサーバーが安全であることを確認しております。全容が解明し、みなさまにご説明したあとで、GOM Playerアップデートサービスを再開いたします。

GOM Playerをご利用のみなさまに、ご心配とご迷惑をおかけし申し訳ございません。重ねてお詫び申し上げます。一日も早い全容解明、サービス再開に向けて誠心誠意努めてまいります。

http://www.gomplayer.jp/player/notice/view.html?intSeq=284&page=#　より引用

GOM Playerのアップデートの仕組み

　環境設定の「アップデート」で下記の設定がデフォルトでチェックされています。
　■最新バージョンの自動チェック
　　■重要なバージョンアップ時に通知する。
　　■マイナーバージョンアップデート時にアップデートを通知する。

チェックをしていても通知だけで、自動でアップデートされることはありません。
通知はGOM Playerの起動とともに表示されアップデート実行を許可するとアップデートされます。

GOM Playerを2013年12月27日（金）から2014年1月16日（木）の間にアップデートもしくは新規でダウンロードしてインストールした場合

マルウェアやウィルスがPCにダウンロードされた可能性があります。さらにラックの情報によると遠隔操作可能な状態になるということです。その場合はすみやかにネットを遮断して「GOM Playerの設定ファイル」を確認する必要があります。また、この期間にインストーラーをダウンロードした場合はGOM Playerインストールプログラム（GOMPLAYERJPSETUP.EXE）が安全であるかの検証が必要です。
問題がある場合かつ余裕が有る場合は、原因の追求および被害拡大防止のため関係機関もしくはラックに連絡したほうがよいでしょう。GOM Playerの削除及びウイルスチェックと駆除は指示を待ったほうがよいと思われます。余裕が無い場合は、セキュリティソフトを最新の状態にしてウィルスを駆除することですが、ネットへの接続が必要なため遠隔操作されるリスクが有ります。ノーリスクはOSからリカバリすることです。
GOM Playerの削除だけではなく、ウイルスの駆除が重要です。
私はアップデートのチェックをしていたものの、アップデートの実行をしていないためセーフでしたが、念のため下記の確認を実施しました。

GOM Playerインストールプログラム（GOMPLAYERJPSETUP.EXE）が安全であるかの検証方法
　　　　　　　　　　　　　　　　　　　　　　　　　　　　－Windows7の場合－　　

1.エクスプローラを起動します。

2.GOMPLAERで検索します。
→GOM Playerインストールプログラム（GOMPLAYERJPSETUP.EXE）をダウンロードしたと思われるフォルダで検索を実施するとスピーディに検索できます。

3.GOMPLAYERJPSETUP.EXEを右クリックしてプロパティを表示します。

4.デジタル署名をクリックします。

5.署名者名が「GRETECH」であることを確認します。
→タイムスタンプが‎2013‎年‎12‎月‎19‎日 11:11:52であることを確認とありますが、おそらくこれは最新版のタイムスタンプです。2013年12月27日（金）から2014年1月16日（木）の間にダウンロードしていなければ、‎2013‎年‎12‎月‎19‎日 11:11:52以前でも問題ないと思われます。

2013年12月27日（金）から2014年1月16日（木）の間にダウンロードしている場合　かつ
タイムスタンプが‎2013‎年‎12‎月‎19‎日 11:11:52と不一致の場合は不正なダウンローダープログラムの可能性があります。

6.署名の箇所をクリックして詳細をクリックします。

7.デジタル署名の詳細で、「このデジタル署名は問題ありません」が表示されればOKです。

【検証イメージ】

GOM Playerの設定ファイルを確認する方法
　　　　　　　　　　　　　　　　　　　　　　　　　　　　－Windows7の場合－　　

下記のファイルを確認します。

■GrLauncher.ini
【システムドライブのPATH】\Program Files (x86)\GRETECH\GomPlayer

VERSION_FILE_URL=http://app.gomlab.com/jpn/gom/GrVersionJP.ini
以外になっていないか確認する。

■GrVersion.ini
【システムドライブのPATH】\Users\【ユーザー名】\AppData\Roaming\GRETECH\GomPlayer

DOWN_URL=http://app.gomlab.com/jpn/gom/GOMPLAYERJPSETUP.EXE
以外になっていないか確認する。

上記に隠し属性のファイルが有りますので、念のため隠し属性の表示方法を書いときます。

隠し属性になっている場合のファイル表示方法
エクスプローラ起動＞整理＞フォルダと検索のオプション＞表示＞ファイルとフォルダの表示
にて、「隠しファイル、隠しフォルダ、隠しドライブ」を表示しない→表示するに変更します。

さいごに

中国百度のBaidu IME（バイドゥIME）やモバイルタブレットのSimejiの件といい、今回の件といい、いい加減にしてくれという感じです。hao123という悪名高いマルウェアはバイドゥのソフト。本ブログにも掲載してますが年末にPCの大掃除をしてます。
Baidu IMEやSimejiはPCやモバイルタブレットに入ってないですか？
打ち込んだ文字列すべて百度のサーバーに送信されてしまいます。
もし企業でBaiduやSimejiのアンインストール指示がでていないとなると、企業として問題となるレベルです。
今回、この韓国製フリーのメディアプレーヤであるGOM PlayerはBaiduの件と比較すると少しかわいそうな気もしますが、セキュリティレベルが低いことが露見した以上怖くて使えたものではないです。
GOM Playerをメインに使用していた場合は、WMP、WMCもしくは最強動画プレイヤーをおすすめします。