reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 昨日のこのエントリがYahoo砲のおかげもあり、結構な人気となったのですが、実はこのエントリを書く少し前に、私の知人のPCにいつの間にか「Baidu IME」がインストールされていたことが発覚しました。
 
Androidユーザ愕然! 百度に買収されていたSimejiが入力情報無断送信 PC向けBaidu IMEも : I believe in technology
クラウド連携型のIMEで中国百度が提供しているBaidu IMEとshimejiが入力情報を利用者に無断で送信していることがわかりました。


 私の知人のケースでは、百度の「Baidu IME」を含め、複数のスパイウェアもどきなグレイウェア(個人的には真っ黒だと思ってますが)がインストールされていました。その経緯や駆除方法についていずれ書こうと思っていたのですが、ちょうど「Baidu IME」がやらかしてくれたので、昨日の関連エントリとして書きたいと思います。
 
 
 発覚のきっかけは、知人からの「何やら変なソフトが警告を出しているので見てほしい」という相談でした。
 
 昔からこの手の相談はよく受けるので、話を少し聞いたところで「偽セキュリティソフト」だということがわかりました。念のためネットワークから切断するよう伝え、彼の元へ行きPCを見てみると一見セキュリティソフトのように見えるソフトの画面が表示されていました。
 
regclean-pro-01.png

 
 名称は「RegClean Pro」。案の定、「偽セキュリティソフト」でした。
 
 特徴的なのは、膨大な数の警告です。
 

regclean-pro-02.png

  
 この警告はデタラメです。デタラメな警告で利用者の不安を煽り、有償ソフトを購入させるのが目的です。いわゆるスケアウェアと呼ばれるタイプです。スケアには「怖がらせる」という意味があります。
 
 さて、問題はこの「RegClean Pro」という「偽セキュリティソフト」がどのようにして入ってしまったのかということなのですが、彼には心当たりがありました。
 
 何やら子どもの勉強のために白地図を用意してあげようと、白地図配布サイトでソフトをインストールしたところ、いきなりこの警告が表示されるようになったというのです。
 
 ダウンロードファイルが残っていたので見てみると「FileOpenerSetup.exe」とあります。地図とはあまり関係なさそうな名前です。
 
fileopener00.png

 
 そこで、この怪しげなセットアップファイルを「VirusTotal」というオンラインマルウェアスキャナーにかけてみました。すると……。

VirusTotal-output-01.png
 
 
 ビンゴです。検出数自体は少ないもののマルウェアでした。しかも、「Dr.Web」の結果を見ると名称に「Packed」とあります。
 
VirusTotal-output-02.png
 
 
 「Packed」という名称の場合、そのファイルに含まれているマルウェアは通常複数あります。そこで、PCを調べてみるとスタートメニューに何やら新しく追加されたと思しきアプリが多数……。
 
spywares-01.png

 
 コントロールパネルの「プログラムと機能」で確認すると……。

spywares-02.png 

 結局、この日(2013/12/18)の日付でインストールされた「日本hao123ショートカット」、「Aff Packages」、「FileOpener」、「RegClean Pro」、「MyPC Backup」、「Mobogenie」、「Baidu IME3.5」、「Advanced System Protector」はいずれも検索するとヒットしますが、怪しげなものばかりでした。 

  
 ということで、「FileOpenerSetup.exe」はマルウェアの詰め合わせキットであることが判明しました。そして、その中には「Baidu IME」の名前も……。確認したところ、クラウド変換がオンになっており、「FileOpenerSetup.exe」インストール後に入力したデータが百度のサーバに送られていた可能性がありました。また、調べたところによると、端末固有のIDも送信しているようでした。
 
 困ったことに、私に相談する前にいくつかのサイトにログインしたというので、「FileOpenerSetup.exe」インストール後にログインしたサイトのパスワードを念のためすべて変えさせました。あくまでも用心のためですが。


 その後、スパイウェアどもを個別に駆除し、複数のウイルス対策ソフトで完全スキャンを行いました。問題は発見されませんでしたが、一度汚染されたシステムは信用できないので可能なら再セットアップを行うように指示しました。


 それにしても、なぜ「Baidu IME」は明らかに悪質なスケアウェアである「RegClean Pro」やその他の怪しげなスパイウェアたちと同梱されているのでしょうか?これらのマルウェア詰め合わせキットを作っている連中と百度には何の関係もないのでしょうか?よくわかりませんが昨日発覚した件と合わせて考えるとなかなか怖いものがあります。
 
  

 百度は昨日発覚した「Simeji」が外部に無断で打鍵記録を送信していたのはあくまでもバグだとしています。
 

報道を受けて弊社で調査させていただいた結果、SimejiについてログセッションがOFFの場合でも一部のログデータが送信されていた事実を確認しました。このデータは、変換精度をあげるためのデータとして活用しているものですが、バージョンアップ時に起こった実装バグということが判明しました。
Baidu(バイドゥ)ニュース - Baidu.jp に関するニュース



 バグさえ修正すれば安心して使えますよと言うことなのでしょうが、果たして本当に安心できるのでしょうか?
 
 
 実は、昨日のエントリを書いた後、私も実際に「Simeji」を入れてその挙動を確認してみました。
 
 すると、報じられている通り、入力したデータとともに端末固有のIDが送られていることがわかりました。送信データがエンコードされているのでわかりづらいですが、「%E3%82%8C%E3%81%84%E3%81%AE%E3%81%A3%E3%81%A1」は「姓」の欄に入力した「れいのっち」という文字列です。

input-02.jpg  
 
 
 このデータは以下の会員登録画面で「Simeji」を使って入力した際に送られていたデータですが、会員登録時の情報が端末固有のIDと一緒に送られると簡単に個人を特定することができます。
 
input-01.jpg 
 
 
 百度がバグだとしているのは「ログセッションがOFFの場合でも一部のログデータが送信されていた」という点なので、一緒に端末固有のIDを送るのはバグではなく仕様なのでしょう。実際、百度のガイドラインには以下のような記述があります。 
 

利用記録の保存 ユーザーがBaiduのサービスを利用した際、サーバーが自動的にURL、IPアドレス、ウェブブラウザのタイプ、使用言語、アクセス日時、携帯端末の個体識別情報等のログ情報を記録します。
Baidu(バイドゥ) サービス利用規約


 
 仮にバグが修正されても、利用者がクラウド変換を使えば(デフォルトでオンです)端末固有のIDはこれまで通り、入力データとともに自動的に送信されそうですね。 

 
 クラウド型のIMEはこのように情報がその運営元に送られる可能性があります。百度は日本にあるサーバに送ってると言ってますが、送り先が日本だから安心だなんて誰が思うのでしょう?そこから中国のサーバに送ることは容易に可能だし、それに関しては誰もチェックできません。使うにあたってはサービス利用規約を確認するとともに、果たしてその運営元を信用していいものかどうか、よく考えてからにしましょう。
 
 また、知らない間にクラウド型IMEを仕込まれると、サービス利用規約も何もあったものではないので、そんな罠に引っかからないように気をつけましょう。

 中国のことわざにもありますよね。

「君子危うきに近寄らず」ってね。



(※「君子危うきに近寄らず」は中国のことわざではないという説もあるのですがオチのためなので許してw)


関連記事


あなたがいつ、どこにいたのか、Googleは逐一知っている : I believe in technology


Posted by
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。