Microsoftアカウントの不審なサインイン・・という件名のフィッシングメールにご注意!
いまだに無くならない迷惑バナー・ソフト・点検ツール
●下図の表示は先日、あるユーザーの方のパソコンを診断している際にYouTubeの動画の中に表示されたものです。
●表示された場所は動画ウィンドウ内の広告欄。内容はあたかも何か警告を表示してくれているように見えますが、実はこの表示はマルウェア被害の誘導元なんです。
●絶対にクリックしてはいけません。
●でも、なぜYouTubeというメジャーなWebサイトで、このようなインチキソフトへの誘導が表示されるのか疑問ですね。「運営側は何をやっているんだ、責任者でてこーい!」と化石のような昭和ギャグ(齢がバレます)のひとつでも言いたくもなりますよね。
●広告表示欄で表示されてしまうと、ユーザーは「Webサイトが何かを言っている」、それか「PC自体が警告を発している」と勘違いするようです。ですからまさかそれがマルウェアへの誘因ということに気が付かないのです。本物の警告と思ってしまうユーザーは、警告通りに表示からソフトをインストールしてしまいます。
●その結果、マルウェアがパソコンにインストールされて何度もスキャンが立ち上がってきたり、ウィンドウ表示が消えなくなってようやく何かおかしいと気付くわけです。
原因はIT企業が陥る運営上のエアポケット
●このように動画閲覧中に出てきた広告表示には大きな疑念が生じることになるのですが、ユーザーは被害の報告の方法がわからなかったり、報告自体を面倒だと思ったりしてしまいます。そのため、運営者へは実際の被害件数としてカウントになかなか反映されないため、被害が矮小化される傾向にあります。実際の被害数が膨大な数になっていても、報告数が少ないために運営側は「対応の必要なし」という判断をしてしまうのです。
●さらに運営側の対応がスルーされる原因の一因として、被害が発生していること自体ではなく被害報告数の「絶対数が少ない」といったエビデンスだけを重視してしまうという企業の体質があります。
●このような現実を把握しようとしない、できていないというIT企業の体質はまさに企業運営上のエアポケットといえるでしょう。その手の広告が一向になくならないのはそのような一因があるからなのです。
●他の事象でもよくありますが、小さな問題や少ない被害ではほとんど動かなかった事柄でも、大問題に発展したり被害者が続出した途端に物事が大きく動き出すというこれまでの社会の風潮と同じことです。事故の回数が一定数超えないと信号や歩道橋ができない・・といったことと本質は変わりません。
●このように多数の被害が実際に確認されなければ、広告出稿が拒否されにくいということを突いて行われているのが特徴です。というよりも、そういうことをわかった上で確信犯的に行われる手法なんです。
●特にITは広告収入という点が最も重要視されていますので、運営側も薄々はわかっていても背に腹は変えられず、なんとなくスルーしているのかもしれません。要するにユーザーが迷惑する現実よりも広告収入という他の「現実」と向き合っているわけです。
以前のコラム
有料だから大丈夫?最近の悪徳商法、詐欺の手口とは
Microsoftに表記について問い合わせてみた
●では、企業側ではどのような認識でいるのか、実際に直接尋ねてみたことがあります。
以前、Microsoft Partnerという表記を伴った悪質なアドウェア被害が多発した際に、Microsoftのサポートへ電話で直接問い合わせました。
「Microsoft Partnerという表示を併記して、このようなインチキどころかウイルス相当のソフトが出回っていることについて把握をしているのか?」
という問いを投げかけてみました。すると
「その事実関係は日本マイクロソフトにも報告が上がってきているから、把握はしている」
と、事実自体があることは分かっているようでした。しかし、
「世界中で2万社以上あるPartner企業のどこがどんなソフトを世に出しているのか・・・ということは事実上調査のしようが無い」
とのこと。でも、あまりに報告数が多いものについては出来る限りの対応をしているとも言っていました。
●確かにMicrosoftのパートナー企業は子会社ではなく取扱い店に過ぎないので、その責任をMicrosoftが負わされるのは無理筋というのもわかります。けれども、少なくともロゴ使用を認めていることへの道義的責任はありますから、正直何らかの措置は取ってほしいところです。
※Microsoft Partner企業は世界で2万社以上。ネームバリューで信用させようとする手口に乗らないように。
ユーザー自身で自己防衛する必要がある
●その構図をわかりやすく説明してみましょう。「A」というメーカーの製品をメーカー直属ではなくあくまでも「取扱店、販売代理店」として販売している小売店があったとします。その店が「Aメーカー取扱い販売店」と書いてある営業車に乗ってやってきて、名刺にもAメーカーのロゴがあり、小さく他にB社、C社というロゴも併記していることもあるでしょう。
●そのようなセールスマンが製品の売り込みにやってきたとします。
●この販売店はB社やC社などの製品も取り扱っているし、自社ブランド品も取り扱ってるためユーザーには高額なA社の製品ではなく安い自社ブランドの製品を勧めてしまいます。
●ユーザーも、名刺にA社という信頼のあるメーカーの製品ロゴがあるので何となく信用し、よく確認しないまま製品を購入してしまいました。
●その製品がすぐに問題を起こしクレームになったとしても、当然その責任は自社ブランドを売った小売店にあって、営業車や看板や名刺、ステッカーに書いてあるA社というメーカーにはありません。小売店はあくまでもA社というのメーカー製品を取扱っているにすぎないので、A社には小売店が販売した他の製品の管理責任はなく、ユーザーもA社にはその責を問えません。
●ということはこのような問題はやはりメーカーや行政任せではなく、「お店選び」というユーザー側の正しい理解や選択次第ということになるのです。
●このように、ITについても一般の訪問販売やネット通販、振込め詐欺への対応のように、ユーザー一人一人が見る目を養い、知識や回避策を知っておく必要があります。
●何でもかんでも疑ってかかれとは言いませんが、目の前のものが確かなのかどうか自分で決められない場合は専門家という味方がいます。ネットの偽情報や偽対策ソフトで2次被害に遭う前に相談してください。
九州インターワークス 注目のページ
「ネットセキュリティー Net Prove」
http://www.kumin.ne.jp/kiw/security.html