ウィルスソフトも過敏で鈍感

06/15　　　　　ウィルスソフトも過敏で鈍感




　　　　　　　　　　　これまでの『生活・法律』

　　　　　　　　　　　　　　　　関連記事

　　　　　　　　　　　　　 ウィルスソフトも過敏で鈍感
　　　　　　　　　　　　　　　 　お引き取りください
　　　　　　　　　　　　　　　 昨日の友は今日の敵

　　　　　　　　　 アクセスがブロックされました。

　　　　　 要求された Web サイトを表示できません。

　　　　　　　　 URL : http://www.********.***

　　　　 検知した脅威 : オブジェクトは感染しています

　　　　　　　　　　HEUR:Trojan.Script.Generic.

 

---

　私は、あるホームページを自分で持っています。　このブログ
のことではありません。

　それが今、危険な状態かもしれない…という連絡が入りました。
この６月に入って、すぐのことです。

　友人の Ｎ.さんからのメールには、次のように書かれていました。

　「自宅で使っている “ウイルス対策ソフトＡ” では、警告が出て
アクセスできないのです。

　サイト内のスクリプトにウイルスと似たような動きをするものが
存在している場合に表示される警告のようです。

　会社のPC （別の “ウイルス-ソフトＢ” 使用） ではアクセス
できたので、Ａ の誤検出とも考えられますが、HPが Google
で検索結果に表れないのが不自然で、わざと検索結果から
除かれているとも受け取れるため、状況を確認した方が良い
のでは、と思いました。

　（エラーの状況は添付のExcelファイルに貼り付けました。）」

　そのエラーの内容が、最初にご覧いただいた表示です。
ウィルスか、ウィルスと似たようなものが居るなんて…！

　私は慌てて自分の Web サイトを見てみました。　更新
はそれほど頻繁ではありませんが、まさか、そんな…。

　こういうときは、スクリーンに現われた文字を追っても駄目です
ね。　ページ上をどこでも右クリックしたりすると、“HTMLソース”
を見ることが出来ます。

　すると何箇所かに、見覚えのない URL が書かれているのです。
閲覧者を、他の無関係なサイトに誘導しようとしているのか？

　“hidden” の文字も見られる、隠しリンク…。　ただし実際には、
リンクが無効になっています。

　その URL の前後には、【!--/f298c1--】という不思議な字句が
見られました。　【!--b925c5--】や【!--feb9f5--】などもあります。
Ａ社のソフトは、これに挟まれた不自然な URL を検知し、危険
と判断してアクセスを禁止したのでしょう。

　　　　　　　　私の Web サイトは、商用のこんなものですが、
　　　　　　　　今は完全に修復されていて安全です。

 

---

　精査した結果、その時点でも危険性はありませんでした。
悪意のある試みは、幸いにも失敗していたのです。

　しかし、何者かが改竄したのは事実です。　「誰が？　一体
何のために…？　私のような零細自営業者を虐めなくたって
いいじゃないか…。」

　でも危険が無いとはいえ、早く何とかしなければいけません。
私は、ネット上に転送した手元のファイルを、隅から隅まで見て
みました。　もちろん、苦手な HTML ソースで…です。

　しかし手元のファイルには、何度見ても異常がありません。
犯人は、Web サイト上から HTML ソースをコピーし、改竄
してアップしたのか？　そうなると、プロヴァイダへ転送する
際の、パスワードが漏れた疑いが濃い。

　パスワードの変更…。　これには一週間近くかかりました。

書類の往復が必要だから、しょうがないかもしれないけど…。

　その間にも、私は手元のファイルを何度も転送しました。

改竄した犯人と、根くらべするつもりで。

　ところが不思議なことに、何度転送しても、直後から怪しげ

な文字列が現われるのです。　「古いキャッシュが残っている

ためか？」

　しかし、ほかに施した微修正は、ちゃんと直っている…。

だから最新の情報なのです。

　「どうも原因は別にありそうだな…。」　現に、パスワード

の変更後も、同じ現象が続きました。

---

　プロヴァイダの次は、ウイルス-ソフト社です。　私は Ａ社

に問い合せ、原因の調査と対策を依頼しました。　私自身

もユーザーの一人だからです。　皮肉なことに。 

　「調査の上、必ず回答します。」　しかし、二日経っても

三日経っても、返事はありません。　パスワードが変更

されてからも。　（こんな緊急時だというのにさ…！）

　私は再びプロヴァイダに相談しました。　「パスワードを

変えても、転送直後に “改竄されている” 状況は同じです。

原因として、何が考えられるのでしょうか？」

　すると数時間後に、プロヴァイダさんから連絡がありました。

私がメールで問い合わせたにもかかわらず、わざわざ電話で。

　係の Ｔ.さんで、このかたのお蔭もあって、今回乗り切ること

が出来たのです。

　「…色々状況を考え併せると、お手元のＰＣが汚染されている

疑いが強いと思います。　転送のたびごとに、特定の文字列が

追加、送信されるのです。　おそらく未知のウィルスでしょう。」

　なるほど、そう考えれば自然です。　あるいは、転送ソフトの

欠陥を突かれたのでしょうか？　そこで今度は、別のＰＣから

送信してみました。　すると、怪しげな文字列はどこにも現われ

なくなりました。

　これで良し！　二度も電話してくれた Ｔ.さん、本当にありがとう

ございました。

---

 

　次は Google です。　“ウィルス” のせいで検索から除外され

たのを、復活させなければ…。　これには再審査が必要です。

　「メールか何かで依頼するのかな？」　そう思っていた私は、

まったくの素人ですね。　Web 上で、ほぼ自動化されている

のです。

 

　私が選んだ方法は、ダウンロードで入手した HTML ファイル

を、自分のサイトのサーバー上にアップし、確認してもらう方式

でした。　私の Web サイトであることを、まず証明する必要が

あるからです。　しかしこれが、素人の私には難しい…。　うまく

行くまでに、まる二日もかかりました…。

　つまり “ファイル転送”。　私はホームページビルダーという

ソフトを使っていますが、それには、この項目が見当たらない

のです。　あるにはあったが、よく内部を検索してみない限り、

どうしても見つからなかった。

　目に付きやすい手段は、いつも使っている “サイト転送”、それ

に “ページ転送” です。　そこで前者を利用して “ファイルも転送”

を試みたが、自分のミスもあり、なかなかうまく行かない…。

　結局は、“ファイルだけの転送” も出来ることに気付き、今度は

一発で成功しました。　思えば当然出来るはずですよね。　失敗

の原因を、寝ても醒めても考え続け、試行錯誤の末に、やっと…。

 

　ところで Ａ社からは、一週間近く経ってから回答がありました。

　「弊社担当部署にてお調べしたところ、一時的な誤検知で
あることが判明したため、最新の定義データベースの情報
にて、すでに修正済の状況でございます。

　そのため、お手数ですが、下記手順にて、最新の定義データ
ベースへ更新していただき、現象に改善がみられるかご確認
くださいますようお願いいたします。」

　…な～んだ…。　お蔭でこちらはエラーい目に遭ったんだぞ！

実質的な危険が無いのに遮断され、Google からは完全に

削除されてさ…。　確かに改竄はされていたんだけどね…。

　何だかんだで、今日まで10日余りが過ぎました。　Google

の再審査手続きは、まだ始まったばかり。　検索の何ページ

目かに顔を出すまで、あと数週間はかかるでしょう。　以前は

ページのトップにあったのに、大損害。

---

　今回の教訓です。　ウイルス対策ソフトで “保護” されている

からといっても、安全ではありえない。　いつ、どうやってＰＣに

侵入されたのか、私にも解らないんですから。

　ホームページビルダーという “ソフト” がやられただけなのか、

それとも、ＰＣの中枢部まで侵されたのか？　いずれにせよ、

ホームページの更新は、今のＰＣではもう出来ない…。

　専門家ではないから、ネット犯罪の対処には限界があります。

だから、せめて “ウィルスに限らず何でも危険だ” という意識を

持ち続ける必要がありますね。　お互いに。

　ソフトの更新通知だって、本物かどうか、疑えばキリがありま

せん。　アップデート自体が他者によって改竄されている例や、

悪意のあるソフトが一緒にインストールされる例も、すでに有名

です。　「某国Ａや某国Ｂが絡んでいる」…という説さえある。

　折も折、昨日は怪しげなメールが私に届きました。

　「預金残高をインターネットで手軽に確認できるサービスを

始めました。　初回の登録時に限り、キャッシュカードの暗証

番号を入力してください。」

　差出人は “みずほ銀行” で、13日の金曜日。　“本物” の

銀行が対処にくい “週末” に送られてきた…のも怪しい。

　似たようなメールは、“三菱東京UFJ” や “三井住友” から

も、過去に何度もあった。　「自分は絶対に被害に遭わない」

…という保証はないから、気を付けねば。　振り込め詐欺など

の犯罪と同じように。

---

 

　ところで、最初に情報をくれた Ｎ.さんは、次のように忠告

してくれました。

　「デスクトップPCはもう使用しないでください。　できれば、

ネットワーク接続を切断してください。　犯人が家の中に

潜んでいると思ってください。　何をされるか分かりません。

　Ａ社の調査？？？も終わりましたし、デスクトップPCは、

初期化（完全フォーマット）して、まずは買った時の状態

に戻す必要があります。　ウィルス対策ソフトでは除去

できないと思われます。」

　そうかもしれないね…。　それとも、そろそろ買い換え

ようかな。　ああ、また出費が…。

　ここまで来れたのも、Ｎ.さんが事細かく情報を与え続け

てくれたからです。　私一人だったら、今になっても異変

に気付いていないかもしれません。

　なぜなら、同じＡ社の対策ソフトを使っていても、私の

場合は異常を検知してくれなかったからです。

　それも、PCが攻撃された影響かな？　あれから何度も

“完全スキャン” したんだけどね。

　人間が駄目なんだから、PC君ぐらいはしっかり頼むよ。

---

 

　　　　　　　　　HPの改ざんについての関連記事

［2013年５月から多発している HP 改ざんインシデントの概要イメージ］

 

 

　［外見上変化のないウェブサイト改ざん事案多発について （警察庁）］

 

 

 

　　　　　 ［KASPERSKY 関係者による注意喚起のブログ］

　「何段階かを経て、徐々に他のサイトへ誘導され、最終的には
パスワードを盗まれます。　Webサイトの管理者が一刻も早く
気付き、対応してくれるように。」…と書かれています。

　最初に誘導されるサイトが怪しいもの…とは限りません。　私の
場合もこのタイプで、幸い不発に終わりました。　他のかたがたに
迷惑をかけなくて、本当によかったと思います。

 ［“平等院” HP 書き換え被害、無料作成ツール サポート切れ］

　　　　　　　　　　　　　50万サイトに危機