ルートラボ利用者は注意?! 勝手に広告を開くアドウェアはアレを騙ったプラグインっぽい

ルートラボをChromeブラウザで見ようとしているサイクリストは要注意!　勝手に広告ページを開くアドウェアに感染するかもよ?!　結論から言うとChrome用プラグインのSilverlight for Chromeがアヤシイですよ!

感染はある日突然やってきた

先日からMacのChromeブラウザで、勝手に胡散臭い広告ページが開かれて困ってました。具体的にはChromeを使ってると定期的(30分? 1時間?)に新規タブが２つ開き、見に覚えのないサイトが表示されます。

内容はそのときどきでバラバラで、動画のプラグイン導入を勧めるもの、ウイルス感染を示唆するもの、果ては不倫SNSなど明らかに怪しいものばかりでした。半分以上は日本語のサイトでしたが、いかにも機械翻訳した感じの不自然さ。URLも20文字くらいあって堂々と教える気がなさそうです。

いかがわしいサイトを見た記憶もなく(みなさんそうおっしゃいます)、さっぱり原因が分かりませんでした。

Boot CampのWindows上にも現れた!

ウチのMacbook AirはSSDのパーティションを切ってWindows 8.1を入れてあります。確定申告のためにそのWindowsを起動すると、そっちのChromeでも広告ページを開きやがるのな!　どういうことだ! 久々にこっちのWindowsを起動したんだが。

ちなみに会社のWindows 7機のChromeでは発症してません。各マシンにはSafari、IE、Sleipnirなどいくつかのブラウザを入れてますが、広告ページが現れるのは「Macbook Air上のChrome」だけのようです。

まず広告サイトをブロック

どうもChromeで勝手に広告サイトを開く、アドウェアの類に感染したようです・・・　対策を調べる間にも広告を開くので、まずはSiteBlockというChromeのプラグインで勝手なアクセスをブロックしました。とは言ってもアクセス先が次々に変わるのでイタチごっこなんですが・・・

アドウェア駆除を順次実施

「Mac Chrome アドウェア削除」とかで検索して対策を調べて１つずつ試してみました。

(1) ノートン先生でスキャン

Macにはノートン・インターネットセキュリティを入れてるんですが、スキャンしても何も出て来ません。

(2) Chromeの不要なプラグインを削除

Chromeのみでの発症なのでプラグインを疑ってみましたが、この時は「有名なものばかりだから大丈夫だろう」と思ってました。結果から言うとそこに落とし穴があったわけですが(後述)。使ってないものもあったので削除しましたが駆除できず。
ちなみにインストールしたプラグインは、下記の方法で見られます。
Chromeのアドレスバー右の「三」みたいなアイコン　→　「設定」　→　左上の「拡張機能」

(3) ChromeのキャッシュとCookieを削除

これも効果なし。ちなみに削除の方法は下記のとおりです。
Chromeのアドレスバー右の「三」みたいなアイコン　→　「履歴」　→　中央の「閲覧履歴データの消去…」ボタン　→　すべてにチェックを入れて「閲覧履歴データを消去する」

(4) Mac用アドウェア駆除ツールでスキャン

駆除ツールを検索するといくつか無料アドウェア削除ツールが出ますが、中には駆除ツールを騙ったアドウェア、スパイウェアもあるので注意してください。
神ツールなどと複数ブログで定評があり、ダウンロード先もまともそうなAdwareMedicとMagicanをビクビクしながら導入・・・でもそれらでスキャンしても何も出てこないんだよなー。

(5) あやしいアプリを検索

ノートンのサイトに悪意のあるアプリケーションの検索方法が載っていたので、これもヒットせず。

悪意のあるアプリケーション例:
VSearch、Conduit、Genieo、GoPhoto、Jollywallet、Savekeep、MacShop、Yontoo、Shopper Helper Pro、Slick Savings、PallMall、Awesome Screenshot

ここに至るまでに「あの日の土曜日かな?」という感染日が特定出来ました。Finder→アプリケーションで感染日に入れたアプリを調べると、ドライブの速度測定に使うBlackmagic Disk Speed Testを入れてました。有名なソフトだけど非公式サイトからダウンロードしてしまったのかも???   でもこれも消したけどダメなんだよなー

主犯はお前か!

ところで広告サイトを開く前に、一瞬違うURLが表示されるのに気づきました。それがyouradexchange.ｃｏｍ(あえて全角)で、そこから毎回違うサイトにリダイレクトされているようです。ようやく犯人の姿が見えたぞ!というところでググったら有力情報をキャッチ!!

おっとその前に「youradexchange 　削除」で検索すると、これまた出処不明な自称削除ツール無料ダウンロードがいっぱい出てくるので気をつけてくだされ。

ブラウザが勝手に開く？ youradexchange には気をつけろ。 (10 million bugs in my code. @nanoris)

こちらのブログで怪しいと指摘されてたのがSilverlight for Chrome という
プラグイン。ちょっと待て、うちも感染日にそれ入れたぞ!　ビンゴじゃねえか?!　どうやら下記のような感染経路だったようです。

• 翌日のサイクリングのためにルートラボでルートを物色
• ルートラボ閲覧にはMicrosoft　Silverlightが必要
• microsoft.comからSilverlightをインストール
• それでもルート閲覧ができない。(後にChromeではSilverlightは動作しないらしいと知る)
• ChromeウエブストアでSilverlight for Chromeを発見、「これも要るのか?」とインストール

このSilverlight for Chromeは作成者がMicrosoftでなくPlugNetという聞きなれないもの。概要説明にはMicrosoftとは一言も書いてありません。

トレードマークこそMicrosoftのものですが、アイコンもロゴフォントも違います。なんだよこれ、改めて見ると怪しすぎるじゃないか。でも翌日のルートを早く入れなきゃって思ってたので、よく確認してませんでした。

即効でChromeから削除しましたが、今のところ広告ページは表示されてませんねぇ。こいつが犯人かどうかは断定できませんが、少なくとも人様の画像を勝手に使ってるプラグインは入れないほうがよいでしょう。

Boot CampのWindowsに入ってた理由は分かりません。わざわざ再起動してWindows側でルートラボを見ようとしたっけ??

[追記] Chromeでは拡張機能(プラグイン)も異なる端末同士で同期できるそうです。@w3mさん、ありがとうございます。

@orange_utsuki chromeでgoogleアカウントにログインしていると、拡張機能が自動で同期します。http://t.co/tdr8tJKlT5

— 渡邊真起 Watanabe Maki (@w3m) 2015, 3月 7

さっそく拡張機能の同期をオフにしました。

とにかく足掛け2週間ほど悩まされましたが、ようやくこれで一安心ですな。ウイルス対策を入れてるからと、正直油断していました。みなさんもお気をつけて!　あとこの記事で紹介したツール、プラグインなどもよく調べてから自己責任で導入してね!