ex

なぜhao123に汚染されるのか

net pc

PC初心者が有名なマルウェアであるhao123を入れてしまうメカニズムがちょっと分かったので書き留めておく。
サンプルはセットアップしたばかりのWindows7パソコン。CPUはCore i5だがそれでもIEは重い。ブラウザをGoogle Chromeに入れ替えようとしてスタートページのMSN(検索エンジンはbing)から「chrome」を検索。

すると広告のトップに出てくるのは「www.download786.com」。いかにもなサイトだ。

ダウンロードのリンクは

fastdownloadsoftw.areserver18.s3-eu-west-1.amazonaws.com/softwares/binary/504405/810823cbb5f742196e7fa1a65d5853b4d2580195/google-chrome_setup.exe

一応chromeのセットアップexeのようだがダウンロードしようとすると・・・

自分のPCにはESET Endpoint Antivirusがインストールされていたので警告を受けた。嫌疑は「Win32/InstallCore.JE.genの亜種」。
しかし、サンプル機はマカフィーの試用版が入っていたが完全にスルー、まんまとインストールされてしまった。ブラウザのホームページはhao123に書き換えられ、偽アンチウイルスソフトで悪名高いSystweak RegClean Pro(Twitpicなんかで広告が激しく点滅しているアレ↓)を入れられ、なんだかよく分からないダウンローダーを入れられ、ついでに今どきRealPlayerまで入れられた。まぁ、ひどいもんだ。

Microsoft検索エンジンであるbingはSEO広告ツールとしてYahoo!プロモーションを採用しており、Googleは当然自社のGoogle AdwordsGoogleがライバル会社のYahoo!プロモーションをにChromeの広告を出さないのは当たり前とも言えるが、そこを付け込まれた格好だ。
もちろん広告をクリックしなければいいのだが、特にノートPCの液晶だと平均的な縦768pixelくらいの画面サイズでは肝心の検索結果は広告枠の下に隠れてしまい、かつbingの広告枠の薄い背景色は認識しづらくいため、初心者はうっかりクリックしてしまう。
ここでbingとGoogleの広告枠の背景色を比較してみよう。
Googleの広告枠の色(Photoshopでカラーを抽出)

bingの広告枠の色。こんなんほとんど白である。

という訳で、

  • デフォルトでインストールされているアンチウイルスソフトマルウェアに対して適切でない
  • Yahoo!プロモーションの広告主に対する適切な審査の不足*1
  • bingの広告枠と検索結果との差の分かりづらさ

以上の要因が絡んでPC初心者によるhao123汚染は広がっているものと推測される。
<追記>
今確認したらbingで「chrome」検索しても出てこなくなったね。でも「teamviewer」とか「skype」とか「dropbox」などの著名フリーソフト名で検索してみよう。まだまだ独自インストーラーを配布しているjpall.filewin.comやpc-file.comは残ってる。

*1:http://d.hatena.ne.jp/aniota/20140221/1392971086

ヤフー検索で偽ネットバンク

net money

http://www.nhk.or.jp/shutoken-news/20140221/5417731.html

インターネット検索大手のヤフーが、偽のネットバンキングの画面を、広告費の支払いを受けて検索結果の上の方に掲載し、利用者が預金を不正に送金される被害が相次いでいたことがわかりました。ヤフーは、広告審査の強化など再発防止策を検討しています。

実にタイムリーな話題。

ヤフーはこの偽のサイトを、広告費の支払いを受けて検索結果の上の方に掲載していて、こうした状態は、今月11日から18日まで続いていたとみられるということです。
ヤフーでは、広告掲載の申し込みをネット上で受けた場合、本人確認を行っていないということで、ヤフーは「このような被害が出たことは誠に遺憾です。金融に関する広告審査を強化するなど、再発防止につとめたい」と話しています。

Yahoo!プロモーションはマルウェア配布サイトの広告の審査も強化していただきたい。