WinAntiVirusとErrorSafeは「振り込め詐欺」だ

2007/10/7 日曜日

ネットサーフィンをしていて海外のサイト(おや、そこのアナタ。いまよからぬ想像をしましたね?)へ行ったところ、いきなりこういうポップアップの警告画面が登場した。

新しい脅威が検出されました
このブログにしては珍しく、この記事の画像はクリックすると大きく表示されます。以下同じ

うーむなになに...

「新しい脅威が検出されました:ウィルス名新しい脅威が検出されました:ウィルス名「Bloodhound Virus」感染を防ぐ為、セキュリティソリューションをダウンロードするのオススメします。感染を防ぐ為、セキュリティソリューションをダウンロードするのオススメします。」

さて、WEBサイトを訪問した程度で、はたして相手側のサーバーが僕のPCの脅威を検出できるものなのだろうか?少なくとも今までそういう経験はなかった。それに日本語が何かヘンだぞ
そこでウィンドウの「バツマーク」をクリックして消すと、お次はこんなポップアップが表示された。
パソコンを保護する為に案内します

貴方のパソコンは「ブラックウォーム」に感染される恐れがあります。ご覧のセキュリティソリューションをダウンロードするのお勧めします。
「ブラックウォーム」は危険性の高いウィルスであります、2006年2月に出現して、すでに多くのコンピューターの情報を破損しました。このウィルスはすでに百万のパソコンを感染して、インターネット上で色んな国で広がれています。

警報!セキュリティセンターは貴方のパソコンにセキュリティミッスを検出しました。そして貴方の個人情報違うコンピューターに伝送される恐れがあります。以下のプロセス(Win32res.exe)ご覧の情報を送信しました。(以下情報省略)
現在使用てるアンチウィルスは個人情報の伝送を防ぐ事ができません。貴方のコンピュータすべての脅威を防ぐ為、ご覧のプログラムをダウンロードして下さい

日本語が何かヘンなのはともかくとして、急に善意ではなく商売っ気を出してきたぞ。しかもIPアドレスやらブラウザやらOSやらとフツーにネットサーフィンしていれば、相手側にバレバレの僕の情報を、いかにも「個人情報ゲットだぜ!」と見せつけるのもヘンな話だ。そもそも「アナタのウィルスソフトでは駆除できないけど、アタシのソフトでは駆除できるよん」と断言できる根拠は何なのだろう?

しかもこのポップアップウィンドウだが、僕のブラウザでは立ち上がって5秒後に右へとスライドし、ウィンドウを消すためのバツマークがモニターから消えてしまったたのだ(対策はカンタンだ。「更新」ボタンでリロードすればいい)。無理やりでもダウンロードさせようという態度は、良心的なウィルスソフトメーカーのやることじゃない(ネット上で不特定多数に対し、その意志に反して一方的にアピール攻勢してくるビジネスにはマトモなモノはない)。
いや、こういう商売をする奴は、無理やりダウンロードさせたい理由があるのだ。

ではこの「WinAntiVirus」というソフトなのだが、一体どういうソフトなのだろう?
頼もしい味方のgoogle先生にお伺いを立ててみたところ、上位2件はこのソフトのメーカーである「Winsoftware」のサイトだった(2006年6月4日現在)。よく読むと日本語がヘンだが、それでも体裁は整っている。

ところが上位から3件目に注目あれ(検索時期によって変動する可能性あり)。スパイウェアのデータベースで有名な「SpywareGuide」ではこのソフト自体が「スパイウェア」であると定義されているのだ。
http://www.shareedge.com/spywareguide/product_show.php?id=2731

根拠のない「感染の恐れ」をしつこく警告した上、ソフトをダウンロードさせる。その後は支払いを要求してくる。
クレジットカードの番号でも書こうものなら....しかもこの「アンチウィルスソフト」自体がスパイウェアとして貴方の情報を送信し続ける可能性があるわけだ。

今ブームの振り込め詐欺と全く同じ手口なわけだが、おそらく被害者の率は遥かに高くなると思われる。このblogを読まれた方は注意されたし。

さて、僕がこのポップアップ広告を見たサイト(後で紹介する)だが、この記事を書くにあたって再度訪れてみたところ、これまた違った現象が発生した。

この警告ウィンドウを消すと、自動的にこんなウィンドウが立ち上がった。そして勝手にヒトサマのパソコンの中をスキャンし始めた。その時間は約10秒というすばやいもの。その結果がコレだ。
ErrorSafe
結論から言うと明らかにインチキである。
僕のPCはたしかに自作であるが、たかが10秒の「急速なスキャン」で53ケ所ものシステムエラーが出てくるほどヤワではないし、10秒で何をスキャンしようというのだ(スパイウェア駆除ソフトのSpybotでCドライブだけスキャンしても5分以上ははかかるぞ!)。そしてスキャン中に見えた「僕のPC内のファイル名」を見ている限りでは、明らかにインチキであった(後でよく調べてみると、単にFlashのアニメーションだった。スキャンなんかしていない)。
ちなみにこのウザい広告のプライバシーポリシーはこんな感じだ。
プライバシーポリシー1
プライバシーポリシー

更に次。この画面を消すと、自動的にこんな画面が立ち上がる。

えっ?スキャンが未完了?おいおい、さっきのウィンドウで君は結論を出したろうに,.,

んでもってこのウィンドウを消すと、お次はこれが立ち上がる。

前者のウィンドウにはキャンセルボタンがあったが、今度のウィンドウにはキャンセルボタンがないことに注目。
有無を言わさずに何かを実行しようとしているのだ、コイツは。
さすがにこの選択肢のなさには、僕も驚いた。今までにない手法と言っていいだろう。

そしてとどめの一発がこの次だった。ウィンドウを消した瞬間に、このウザイ広告はアヤシゲな「何か」のダウンロードを始めようとしたのだ。

この画面には説明が必要かもしれない。僕は普段デフォルトのブラウザとしてInternet ExplorerではなくてFirefoxというブラウザを使用している。しかし、こういうネタを拾う際には、あえてInternet Explorerを使用する。その方が「引っかかりやすい」からだ。

ところがどっこいで、上の選択肢のないウィンドウを消した瞬間にFirefoxが起動し、そのダウンロードマネージャーがこの様にアクティブな状態になったのだ。キャンセルすればいい話なのだが、この一連の流れを見ていると、前者に比べると遥かに悪質で半強制的であることがわかる。

しかも御丁寧にも、ダウンロードマネージャーのバックグランドではFirefoxがこのような表示をしていた。

このError Safeの「SpywareGuide」におけるレポートはこんな感じだ。
http://www.shareedge.com/spywareguide/product_show.php?id=2740

「振り込め詐欺」に引っかかる人が、統計的にどの程度の割合なのかは知らないが、コチラの手法に引っかかってしまう人の率は、はるかに多いのではないだろうか?
今までにない悪意のテクニシャン集団の存在を感じた。
こうやってblogに晒すことで、何かの助けになればいいなと思う。

さて、最後になるが僕がこの広告に遭遇したサイトを紹介しておこう。
ビートルズのジョージ・ハリスンのかつての妻、パティ・ボイドを紹介したサイトだ。
A Pattie Boyd Site
http://members.fortunecity.com/pattiboyd
(直リンはしません。自己責任で行って下さい)

彼女は1960年代の「スィンギン・ロンドン」を代表的する美しいモデルだったが、映画の撮影でジョージと出会い、やがて結婚する。ところがジョージの大親友であるエリック・クラプトンが彼女の事を好きになってしまったのだ。クラプトンはその禁断の愛に鬱々とし、やがて薬物中毒にまでなってしまう。そんなクラプトンが彼女への想いを捧げた有名な歌が「いとしのレイラ(Layla)」だった。

綴りこそ違うものの、例の「NANA」に登場したレイラ(REILA)と、どうしてもオーバーラップしてしまうため、ネタになるかなと、そのサイトを久々に覗いたのが運のツキだった。

正直いって、このサイトは以前からブックマークを付けていたし、以前はこういうウザイ広告が立ち上がることはなかった。それが今回このようになったという背景には、もしかしたら管理人も把握できていない何かが起きている可能性はある。たとえば管理人のPCがすでに感染しているとか、WEBスペースを提供しているサーバーの会社がそういう広告に対するモラルがないとかだ。

この広告の特徴は、ブラウザのCookieやキャッシュをこまめに消去しているような人間でない限り、再度このサイトに訪れても、あのウザイ広告は二度と出てこない、という点だ。そりゃそうだ。一応「アンチウィルスソフト」なんだから、ダウンロードしてインストールしてしまった後も、そのサイトに訪れる度に、ポップアップが出ていたら、即座に「インチキ」だとバレてしまうからね。

したがって二~三度目から出てくる広告はこんなヤツだ。
激代
激代って.....そんな日本語あるのか?

6月18日追記:Internet ExplorerのおけるError Safeの自衛策については、「nJoy – ErrorSafe に気をつけて」に詳しいので参照されたし。

なお、私よりもずっと以前から、このスパイウェアの存在を警告されていた方を紹介しておきます。
ミズタマのチチ:ピヨピヨ  – 悪質なスパイウェア、WinAntiVirusとWinAntiSpyware。

また、Lucaさんの記事は科学的に検証されており、またwinfixer.comの関与とWhoisのチェック結果も掲載されているので、是非ごらん下さい。
「Semplice – ブラックウォームの警告・WinAntiSpywareとWinAntiVirusProはwinfixer.comの新商法

さらに追記
Lucaさんの方で、広告を表示させた主体についての分析をされています。必読です。
「Semplice – ErrorSafeによる詐欺的ダイアログ表示 – 誰が広告を表示させたのか