ウイルス対策ソフトの登場以来,多くの人たちがある「陰謀説」を信じていた。それは「ウイルス対策ソフト・ベンダーはウイルスの作者に報酬を払ってウイルスを開発させており,それを広めることによって自らの市場を形成した」という説である。筆者はその説には賛成しないし,大手セキュリティ・ベンダーを信用している。しかし最近の傾向では,二流のスパイウエア対策ソフト・ベンダーとその製品が消去するマルウエア(悪意のあるソフトウエア)との境界線が,非常にあいまいになっているようだ。

 注:本記事は,筆者であるMark Russinovich氏が運営する「Mark's Sysinternals Blog」 で人気があった記事の要約であり,原文は米Windows ITPro Magazineの2006年5月号に掲載された。ブログの書き込みの全文は「The Antispyware Conspiracy」で読める。

 「マルウエア的なマルウエア対策ソフト」の振る舞いでまだ害がないのは,Webサイト上にバナーやポップアップで広告を出し,ユーザーに「マルウエアに感染しているのではないか」と誤解させるような行為である。そういったバナー広告のほとんどは,Windowsのエラー・メッセージのような外観をしており,「Yes」と「No」のボタンがあって,その画像のどこかをクリックすると(たとえ「No」のボタンをクリックしたとしても),意図しないページに飛ばされるようになっている。

 筆者は最近,こういった振る舞いをするWebサイトに出くわした。広告画像をクリックすると「http://www.myspwarecleaner.com/」というページに飛んだ。このページには,Internet Explorerのエラー・メッセージに似せた画像で,ユーザーに対して「Spyware Cleaner」という名前のスパイウエア対策ユーティリティをダウンロードしてインストールするように案内する広告が掲載されていた。

スパイウエアがないのに「感染」を警告

 筆者がこの「Spyware Cleaner」を,新規にインストールしたばかりのWindows XP(訳注:スパイウエアが感染しているはずのないWindows XP)上で動かしてみたところ,Spyware Cleanerは「非常に高いリスク」と「高いリスク」に分類されるスパイウエアが10個も感染していると報告した。しかし筆者が確認したところ,Spyware Cleanerが報告したスパイウエアのリストには,MSN.comの残したCookieや,OSに標準で組み込まれているWindows COMコンポーネントなど無害な項目も含まれていた。もちろん,Spyware Cleanerが警告した「リスク」を取り除くためには,ユーザーは金を払ってソフトの登録をしなければならない。

 いったい誰が,Spyware Cleanerを作っているのだろうか。それはmyspywarecleanerのサイトを見ても分からなかった。ドメイン名をWhoisで検索したところ,そのサイトは「Gary Preston of Secure Computer LLC」のものであった。

 数日後,筆者は別のサイトで似たようなバナーに出くわし,再度クリックした。今度は「http://www.spywarestormer.com」に連れて行かれた。筆者はここで配布されている「Spyware Stormer」をダウンロードし,再度クリーンなWindows XPで動かしてみた。するとSpyware Stormerは,7個のスパイウエア感染を報告した。またもや,報告された感染は偽物だった。spywarestormer.comをWhoisで検索したところ,このドメインは「GoDaddy.com」という業者経由で登録されていることが分かった。つまり,Spyware Stormerの背後に誰がいるかは分からないが,このサイトが匿名で運営されているということだけは明らかである。

 非常に不幸なことだが,悪徳スパイウエア対策ソフト・ベンダーは,ユーザーを誤解させて誘導するようなバナーや,ウソのスパイウエア感染報告を止めようとしない。それどころではない。彼の中には実際にマシンをマルウエアに感染させて,ユーザーに対して製品の購入を強いる者までいる。

 例えば,筆者が運営する「Sysinternals Forums」で最も読まれているスレッドは,「SpyAxe」と呼ばれるマルウエア感染に関するものである。このマルウエアは「システムがマルウエアに感染した」というバルーン表示を連続して出す。そしてバルーンをクリックするとSpyAxeのサイト(http://www.spyaxe.com)に誘導される。SpyAxeはこの不正な広告との一切の関係を否定しているが,経済的な見返りなしにSpyAxeを宣伝する人がいるとは信じがたい。

IEのぜい弱性をついて「偽スパイウエア対策ソフト」をインストール

 「SpySheriff」(http://www.spysheriff.com)は,SpyAxeと同じ手口で宣伝をしている別のスパイウエア対策ソフト・ベンダーである。最近,見知らぬ人が筆者に対して,あるWebページへのリンクが含まれる電子メールを送りつけてきた。しかしこのWebサイトを,2005年12月にリリースされたセキュリティ修正プログラムを適用していないInternet Explorerで閲覧すると,システムをマルウエアの洪水にしてしまう。このWebサイトはInternet Explorerのセキュリティぜい弱性をついて,8個のウイルスと8個のスパイウエア,7個のアドウエアをインストールするのだ。これらに感染すると,常時ポップアップが表示されるようになって,インターネットのブラウズは事実上不可能になる。さらにリモートにあるSMTPサーバー(メール・サーバー)とWebページに対して連続的に接続するプロセスが起動する。

 このWebサイトでマルウエアに感染したときの時系列順の記述と,その過程を描いた動画は,筆者のブログで閲覧できる(訳注:このWebサイトに行くと,ウイルスと合わせてSpySheriffが勝手にインストールされるようになっていた)。

 当然のことながら,SpySheriffのWebサイトでは,彼らの背後にいる会社についてほとんど明らかにしていない。ドメイン名をWhoisで検索したところ,ギリシャの「Popandopulos Ltd.」が所有者だと分かったが,登録されていた電子メール・アドレスはロシアのドメインの「crystaljones@list.ru」であった。list.ruはプロバイダらしいので,spysheriffのドメイン登録が正確かどうかは疑わしい。

 この一連の騒動とSpySheriffとの関係ははっきりしていない。単にSpySheriffのファンが作ったものかもしれないし,スパイウエア対策ソフト・ベンダーがたくらむ陰謀の動かぬ証拠であるかもしれない。もっとも,前者であるとは信じがたい。そして後者であるのなら,2004年に「myspywarecleaner.com」のドメインを登録した「Secure Computer」という会社や,2005年5月に「spysheriff.com」ドメインを登録した「Popandopulos」といった会社は,彼らのようなビジネス・モデル(詐欺行為)が上手くいくことを示すのに十分な期間,ビジネスを続けられたといえるだろう。しかし,彼らのビジネスが上手く行っていた期間はあまりに長すぎた。筆者は,ある州の司法機関がSpyAxeの件を調査しているということを知っている。またこの記事やブログの書き込みが,司法機関の動きを後押しすることを願っている。スパイウエア対策ソフトがやっている誤解を招くような広告や悪意のある広告は,セキュリティ産業全体に暗い影を落としている。