クレバード株式会社 スタッフのWeb運用@トピック

大阪中央区にあるWebコンサルティング会社、クレバード株式会社スタッフが綴る、Web運用テクニックなどに関する備忘録のようなもの?

ミスリーディングソフト(詐欺まがいソフト)について

当社へのPCトラブル対応のご依頼として最近非常に多いのがミスリーディングソフト(詐欺まがいソフト)である事は以前にも記載させて頂いた通りなのですが・・・。

 

これが全く収まる傾向にありません。というか確実に増えています。

ウィルス対策のソフトウェアの中でもシマンテックの製品は比較的プログラム自体は駆除をしてくれるのですが、「全てのプログラム」から見ると、はっきりと残ってしまっています。

実行プログラムは削除され存在が無いのですが、リンクは残っているという状況です。また、駆除率もまだまだ半分以下で、ウイルスバスター等は駆除すらされていないという事が殆どです。

 

結局は1つ1つしらみつぶしに見つけては消すという作業以外に残された道は無いんですよね。。。。

 

そこで、弊社Webサイト内にミスリーディングソフト(詐欺まがいソフト)の一覧を作成してみました。

どのようなミスリーディングソフト(詐欺まがいソフト)があるか?

あくまでも弊社で発見した事のあるものですのでほんの一部分かもしれませんが、これらの文字が入っている様なプログラムを見つけたら・・・

 

Windows7の場合

「コントロールパネル」→「プログラムのアンインストール」より該当のソフトを削除

Windows8の場合

画面右端にマウスを持って行き「設定」→「コントロールパネル」→「プログラムのアンインストール」より該当のソフトを削除

 

してみて下さい。

但し、アンインストールでも削除できないソフトウェアがあります。それらに関しては個別対応させて頂きますのでご連絡下さい。

 

ドメイン契約更新を謳った詐欺メール

ドメイン管理に関して、弊社にお任せいただいている場合は関係ありませんが、ご自分でドメインの管理をなさっている場合、このような詐欺メールがやってくることがあります。

調査したところ、電話番号は違えどほぼ同じ内容の詐欺メールがあるようです。

ちなみに、更新しませんか?と届いたドメインは2か月前に契約更新していますので期限切れということはありません。

 

みなさまも、このようなメールが届いたら落ち着いて契約期間を思い出してください。もしくは弊社までご相談ください。

 -------以下詐欺メール------------------------------------------------------------------------------------

Sender: notices@domainnotices8320.com
From: Domain Services <notices@domainnotices8320.com>
To: (契約者のメールアドレス)
Subject: Domain Notification: (契約者名) This is your Final Notice of Domain Listing - (契約ドメイン名)

Attention: Important Notice , DOMAIN SERVICE NOTICE
Domain Name: (契約ドメイン名)


Complete and return by fax to:
1-716-650-4793

ATT: (契約者名)
ADMINISTRATIVE CONTACT
(契約者名)
(契約者のメールアドレス)
(契約者の住所)
JAPAN
WWW.(契約ドメイン名)
Please ensure that your contact information is correct or make the necessary changes above

Requested Reply
SEPTEMBER 15,2014


PART I: REVIEW SOLICITATION
 

Attn: (契約者名)
As a courtesy to domain name holders, we are sending you this notification for your business Domain name search engine registration. This letter is to inform you that it's time to send in your registration and save.

Failure to complete your Domain name search engine registration by the expiration date may result in cancellation of this offer making it difficult for your customers to locate you on the web.

Privatization allows the consumer a choice when registering. Search engine subscription includes domain name search engine submission. You are under no obligation to pay the amounts stated below unless you accept this offer. Do not discard, this notice is not an invoice it is a courtesy reminder to register your domain name search engine listing so your customers can locate you on the web.

This Notice for: WWW.(契約ドメイン名) will expire on SEPTEMBER 15,2014 Act today!


Select Term:
 

[ ] 1 year   09/15/2014 - 09/15/2015 $75.00
[ ] 2 year   09/15/2014 - 09/15/2016 $119.00
[ ] 5 year   09/15/2014 - 09/15/2019 $199.00
[ ] 10 year -Most Recommended- 09/15/2014 - 09/15/2024 $295.00
[ ] Lifetime (NEW!) Limited time offer - Best value! Lifetime $499.00
 
Today's Date: _____________________ Signature: _____________________

Payment by Credit Card
Select the term above, then return by fax: 1-716-650-4793

(契約ドメイン名)
 
 
 
-------------------------------------------------------------------------------------------
 
By accepting this offer, you agree not to hold DS liable for any part. Note that THIS IS NOT A BILL. This is a solicitation. You are under no obligation to pay the amounts stated unless you accept this offer. The information in this letter contains confidential and/or legally privileged information from the notification processing department of the DS 3501 Jack Northrop Ave. Suite #F9238 Hawthorne, CA 90250 USA, This information is intended only for the use of the individual(s) named above. There is no pre-existing relationship between DS and the domain mentioned above. This notice is not in any part associated with a continuation of services for domain registration. Search engine submission is an optional service that you can use as a part of your website optimization and alone may not increase the traffic to your site. If you do not wish to receive further updates from DS reply with Remove to unsubscribe. If you are not the intended recipient, you are hereby notified that disclosure, copying, distribution or the taking of any action in reliance on the contents for this letter is strictly prohibited.

Chromeアドオンが削除出来ない

 

東京のクライアント様から、勝手にゲームみたいな画面が開いている!?とお電話にて相談がございました。

聞けば、ランチに出かけ帰ってきたら勝手にゲームみたいな画面が出ていたとの事で、ランチタイムを狙った悪質な広告かなにかではと感じながら、リモートさせてもらったPCを見てみると、ゲームの宣伝広告があったんですがその下にまたこれ、、

f:id:cretbird:20140523134625p:plain

 

ミスリーディングアプリ(詐欺ソフト)です。

フリーソフトなどにまぎれてダウンロードされるものですが、セキュリティツールをダウンロードするよう注意喚起するものが流行りの様で…(したら駄目です!)

今回もやはり知らない間に紛れ込んでいたようです。

 

フリーソフトのダウンロード時には、よく分からないチェックボックスにチェックが入っていたりしないか、必ず一度画面全体を見渡してみる作業が必要です。

 

さて、大抵は該当するアプリをコントロールパネルから消せば解決しますので、今回もそれを消せばおしまいと思っていたのですが、、

Chromeのアドオンを確認した際「PngTToPPTConverte」??が…

f:id:cretbird:20140901171713j:plain

 

 

第2弾です。Chromeアドオンを装ったミスリーディングアプリです。

よくみると PNG to PPT convert とも読めますが、つづりも怪しい(ミスリーディングさせようとしている?)、普通のアドオンは消せるのにこれはどうしても消せません。とてもあやしい。

 

業務に支障が無いように、現在は説明の上このまま使ってもらっております。

ゲーム広告の主かどうかも今回は分かりませんでしたが、chromeの再インストールでも変わりない場合は、OS再インストールを含めて考える必要があるのかもしれません。

 

また、追ってご報告いたします。

 

 

 

 

 

ブラウザーアドオンが特定URLに反応して広告ページを表示させる

昨日、東京のお客様からリモートサポート依頼を受けました。

「グレーウェア=迷惑ソフト」が原因で特定のページにアクセスすると広告のページが表示される、ソフト自体はアンインストールしたがブラウザの症状が治らない、とのことでした。

表示される内容は例によって胡散臭い文字が並んでおります。

f:id:cretbird:20140523134625p:plain

アプリケーションの追加と削除でグレーウェアはきれいさっぱり消えていますが、GoogleChromeのアドオンでただ一つ、名前はメモを取り忘れましたが何やらGoogleからダウンロードしていないものが入っていました。

レジストリやスタートアップ、実行中のタスクなども一通りチェックし、怪しげなものはすべて削除したところ、その時は広告表示しなくなったのでアドオンはそのままにして様子見、ということにしておいたのですけど、日を改め本日朝一番から広告がまたまた表示されるようになったとのこと・・・

画面には昨日と同じ画面が表示されています。

GoogleChromeのみで症状が出ているようなので、じっくり詳細設定を見ているとやはり昨日気になったアドオンがあやしいです。あやしいアドオンを消し、キャッシュやクッキーなどをすべて消すと、症状は治まったようです。

 仕組みとしては、特定のURLをアドオンが検知すると、別ウィンドウで広告のページを表示するようです。

さらに、同じ場所にあるもう一台のPCも同じ症状が出ているとのことでこちらも拝見させていただきますと、こちら側はグレーウェアが除去されておらず、まるでグレーウェア見本市のような状態でした。

グレーウェアをすべて削除し、インストールされているブラウザのアドオンを見ていると、ChromeFirefoxで同じ名前のアドオンがありました。

  • Couponopeak
  • LucckyShopperr

f:id:cretbird:20140523134632p:plain

意図的に綴りミスをし、著名な単語のスペルミスのように見せることにより検索エンジンの単語データベースマッチから逃れようとしているようです。

いろいろ調べてはみたものの、この手のグレーなアドオンはまだあまり有名ではないようで、英語のページが2~3ページほど表示されるだけです。

おそらく、何かのグレーウェアと一緒に入ってきたのでしょうけど、新しい手法なのか情報に乏しく、まさに暗中模索しています。

何か新しいことが分かりましたら、このブログでお知らせします。

弥生14が「予期しないエラーが発生した為、処理を中止します」で起動しない

クライアント様の担当税理士さんよりSOSのご依頼です。


弥生14をインストールしたのだけど、起動しない・・・との事。

いつも通り、リモートサポートでアクセスして、チョチョイのチョイで治せるだろうと思っていたのですが。。。

リモートサポートでアクセスさせて頂き、再起動を何度か繰り返しながらアプリをアンインストール&再インストールするも、「予期しないエラーが発生した為、処理を中止します」の表示が出て全く起動しません。これは面倒な事になりそう(再起動等が何度も必要でかなり時間がかかりそう・・・)な気がしたので、とりあえあずクライアント様事務所に出向き再度チャレンジ。全く現象は変わりません。

金曜日の夕方(5時前)という事もあり、、弥生のカスタマーサポートセンターサポートに電話をしました。が、やはり調査をした上で回答は来週になるとの事。

厄介な問題です。

 

色々調べるうちになんとなく分かってきたのが・・・。

弥生14をインストールする際には、一部の帳票の印刷(要は弥生の様なソフト)が1ページ印刷するごとに数十秒から数分かかる現象についてのバグパッチ (KB2856676) (KB2856677) をインストールしていないと弥生14自体がインストール出来ない。

これがどうも曲者のようで、以前の同様のバグパッチ (KB2784152) (KB2784154) においても起動しない等の同様のエラーがあった模様。

気が付けば、Windowsの画面右下に弥生からのメッセージが・・・

フィールドが見つかりません
'MS.Win32.NativeMethods.GUID_MONITOR_POWER_ON'。

f:id:cretbird:20140520122730j:plain

結局、(KB2856677) をアンインストールすると無事起動する事が判明しました。

 

翌月曜日に弥生さんから電話が・・・

「コントロールパネル」から「プログラム」を選んで頂き・・・、「インストールされた更新プログラム」の中より「(KB2856677) 」をアンインストールして下さい。。。とのお話しを頂きました。(→解決方法は分かって、且つ既に解決出来ていたんだけどね)

インストールするときには必要なバグパッチなのに、インストール後は起動しないのでアンインストールする必要がある・・・何か訳のわからないバグパッチです。弥生さんに問い質すも、同様の現象が必ず起きる訳ではないので・・・と仕方がない様な回答です。バグパッチが余計なバグを引き起こす原因になっているんじゃぁ、それ自体がバグでしょ?ん?余計に話が訳わからなくなりましたね。

 

弥生さんを責めても仕方ないのですが、やはりWindowsPCはハードウェア+OS(Windows)+各種ソフトウェアが様々な絡み方をしているので、トラブルシュートはとても大変です。

 

以上の事を担当税理士さんに報告しようとすると・・・
「僕はよくわからないから、動いたらそれでいいんですよ~」的な回答だったので、該当される弥生利用者様・税理士さんご参考にして下さい。

パソコンからdocomo携帯にメールが届かない

先日、弊社クライアント様からこんなご質問を頂きました。

「ドコモのケータイにメールを転送したのだけど、何度送っても届かないんです。違うメールは届いているんだけどなぁ・・・」

「そういえばこんなメッセージが届いていました。ウィルスですか?読んでも分からないんですけど・・・」

 

良くある話として、

1.携帯電話からしかメールを受け付けない設定になっている

2.メールボックスがパンク

などが考えられますが、この2つではないことは確認しました。

 

原因が分からないので、お客様にそのエラーメールを頂きました。

そのメールは以下のような内容でした。

 

From: MAILER-DAEMON@[送信サーバー]
Sent: Saturday, March 1, 2014 12:31 PM
To: [送信元アドレス]
Subject: failure notice

Hi. This is the qmail-send program at [送信サーバー].
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<********@docomo.ne.jp>:
***.***.***.*** failed after I sent the message.
Remote host said: 500 Line Too Long

--- Below this line is a copy of the message.

Return-Path: [送信元アドレス]
Received: (qmail ***** invoked from network); 1 Mar 2014 12:00:00 +0900
Received: from [送信クライアント] (HELO VAIO) (***.***.***.***) by ***.***.***.*** with SMTP; 1 Mar 2014 12:00:00 +0900
Message-ID: <********>
From: ********
<********@domain.jp>
To: "********" <********@docomo.ne.jp>
Subject:タイトル
Date: Sat, 1 Mar 2014 12:00:00 +0900
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="UTF-8";
reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal

続く内容・・・・・・・

 

注意すべき文章は、「Remote host said: 500 Line Too Long」です。

直訳すると「リモートホストは、こう言っています:エラー番号500、一文が長すぎますよ。」と。送りたいメールをよく読んでみると、何文字かわかりませんがやたら長い文章があります。

 

この現象は、インターネットメールの約束事で半角で1000文字以下でなければならない、という決まりがあり、ドコモのメールサーバーはこの決まりを遵守しているためにメールを受け付けてくれなかった、ということになります。

これが原因で、地方自治体が送信した防災メールがドコモユーザーのみ届かなかった、という大きなトラブルもありました。

softbankAU携帯メールには問題なく配信されたようです。

 

さてと、原因は分かりましたので、前述のお客様に説明させていただき、長文の途中で改行を入れてもらうと、送信することが出来ました。

 

 

Baidu IMEがデータ送信を無効にしているにもかかわらず入力データを百度サーバーに送信してしまう

パソコン用の日本語入力ソフト「Baidu IME」、 Android用の日本語入力ソフト「Simeji」の二つのIMEが入力情報をサーバに送信しているという事実が明るみになりました。

ユーザーの同意のもと、情報を送信しているのならば大きく取り上げられることはなかったのでしょうけど、問題とされているのは変換精度向上のため、という大義のもと行われていた本人の承諾なしでのデータ収集です。
パソコン、Androidともに無断で送られていたのは変換対象の文字列、機種識別子、アプリ名、そしてソフトウェアのバージョンなどです。

これは、キーロガーというウィルスにきわめて近い性質があります。
キーロガーは、入力した文字列が全て記録し、悪意ある人間のもとにその情報を送信します。
つまり、クレジットカード番号や、オンラインバンキングのパスワードなども筒抜けになってしまいます。

この問題は、特にShimejiに関しては2013年3月リリースのバージョンからバグとしてずっと存在し、2013年12月26日のアップデートで改善された模様です。
仕様的にはカード番号やパスワードなどは保存していない、となっていますけど、選別ミスも十分にあり得ることなので、この説明だけでは安心できません。
特に便利とされているクラウド変換などは入力文字列をすべて百度サーバーに送っていますので、サーバーが悪意ある人間に攻撃されたら全ての入力情報が明るみになってしまいます。日本語変換ソフト大手のマイクロソフトジャストシステムではこのような裏機能は無いようです。

このようなことから、フリーソフトは使用しない、といった対策が望ましいと思います。

また、無料ソフトの中にはお目当てのソフト以外のものも同時にインストールされることがあり、このソフトがほとんどの場合、迷惑極まりない何の役にも立たないソフトです。
最もよく聞くソフトは、「Advanced System Protector」「Reg Clean Pro」「My Pc Backup」で、この3つのソフトは「パソコンの調子が悪い」だの「ウィルスが居る」だのユーザーの不安をあおり、効果も価値もないソフトを購入させるように仕向けるのです。
弊社でも、幾度となくこのソフトの駆除依頼を受けました。

ここにあげた名前は代表的なものですが、迷惑・詐欺まがいソフトは数え始めたらきりがないぐらいあります。
ウィルスバスターやノートンアンチウィルスが入っていても、この無料の迷惑詐欺まがいソフトはインストールされます。もちろんウィルスとしても検出されませんし、駆除されることはありません。迷惑ソフトが入ってしまったら自力でアンインストールするしかありません。
この迷惑詐欺まがいソフトはアンインストールしても情報がパソコンに残されたりすることがありますので、残骸も処分する必要があります。
IObit Uninstaller
Revo Uninstaller
等の強力アンインストーラーを用いれば削除できる場合もあります。
これらのソフトもフリーソフトですが、ソフトウェア会社の広告宣伝的な要素があり、無料で提供されています。


フリーソフトの場合は、「何かしら得るものが無い限り無料で提供されるはずがない」、つまり「タダより怖いものはない」と考え、無料ソフトを使うことは情報漏えい・情報損失などのリスクを自身で負うことになるとお考えください。