こんにちは。お盆休みは少しずらしてお休みを取っていたケーです。
台風も近づいているので、外出予定を変更して家でボケーっとしていたところ・・・
「ケーさんのブログを見ていたら Chrome ユーザー調査って出たけど」的なことを教えてもらったので注意勧告の意味で記事を書いたところ・・・そもそも出る原因がわかったので、対処方法も書いておきます。
Chromeユーザー調査って?
こんな画面でGoogle公式っぽい感じで表示されるものですが、「おめでとうございます!」とかめちゃくちゃ怪しい空気を醸し出しています。
もちろんこんなのはGoogleが公式で出しているものではありません。(結構前からありますよね。)
しかし、騙されている人がいたので(笑)一応まとめておきます。
騙されポイント1「特別感を出している」
おめでとうございます!
あなたは、2016年年次訪問者調査の参加者に特別に選ばれました!
いきなりの祝福と「特別に選ばれました!」とそのまんま書いてあります。
甘い言葉には注意ですよね。
騙されポイント2「プレゼント獲得のチャンス」
是非、Chromeについてのご意見をお聞かせください。感謝の印として、HD Streaming Moviesを獲得するチャンスが与えられます!
この画面は見たことがあったのですが、細かいところまで見たことはありませんでした。ところでHD Streaming Moviesってなんなんでしょ。
なんかくれると言われるとホイホイ・・・。ついていってはダメですね。
騙されポイント3「簡単なアンケート」
アンケートは全4問。Chromeの利用頻度、満足度を設問から選ぶだけで非常に敷居が低いところもポイント。
アンケートに全て答えると出ました。HD Streaming Movies。通常価格9000円が、なんと本日限り0円!
しかもよく見ると在庫数1というのも訴求ポイント。
最後は謎のサービスへ誘導
無料でアカウントを作成〜クレジットカード情報などを登録させ情報を盗み取るフィッシングサイト。くれぐれも登録しないでくださいね。
何故こんなのが出るのか?
後日、Chromeユーザー調査以外にもこんなのも出ると言われました。
しかもリダイレクトされるといいます。こんな広告が毎回出るんじゃ迷惑ですし、わたしも困ります。
ちなみにわたしの環境だとまったく再現しないので、固有の問題なんじゃないかとは思っていましたが、確信はなかったのでチェックさせてもらうことに。
AdwCleanerでPCをチェック
挙動がマルウェアっぽいのでAdwCleanerという検出ソフトでチェック。
AdwCleanerの詳細情報 : Vector ソフトを探す!
チェック方法は簡単。インストール〜起動後「スキャン」ボタンを押すだけでチェック開始します。
スキャンをして何かを検出すると結果に表示されます。種類別にタブで分かれているのでチェックしていきます。
Chrome
まずChromeで広告が表示されるのでChromeタブをチェック。何かのExtension(拡張)が表示されています。最近拡張は入れてないとのことだったのでとりあえず飛ばす。
※勝手に拡張がインストールされている場合もあるので、不要な拡張は削除しましょう。
Chromium pref Found: [C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 3\Secure Preferences ] - bopakagnckmlgajfccecajhnimjiiedh
Chromium pref Found: [C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 7\Secure Preferences ] - chklaanhfefbnpoihckbnefhakgolnmc
レジストリ
以前までアドウエアやツールバーなどのインストールを促すサイトとして評判の悪かったSoftonicという文字があります。protector.dllも検索結果を改ざんする可能性があるらしいので削除しておきたいですね。
ファイル
他にも怪しいのはあるんですが、ChromeのLocal Storageにwww.izito.jpという文字列が。ちなみにbabylontc.comも同じ類のものなのであわせて削除していきます。
検出済み項目 C:\Users\(ユーザー名)\AppData\Roaming\Mozilla\Firefox\Profiles\qtiudr51.default\extensions\adapter@babylontc.com.xpi
検出済み項目 C:\Users\(ユーザー名)\AppData\Roaming\Mozilla\Firefox\Profiles\qtiudr51.default\extensions\ocr@babylon.com.xpi
検出済み項目 C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 7\Local Storage\chrome-extension_chklaanhfefbnpoihckbnefhakgolnmc_0.localstorage
検出済み項目 C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 7\Local Storage\chrome-extension_chklaanhfefbnpoihckbnefhakgolnmc_0.localstorage-journal
検出済み項目 C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\hxxpwww.izito.jp0.localstorage
検出済み項目 C:\Users\(ユーザー名)\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\hxxpwww.izito.jp0.localstorage-journal
www.izito.jpって?
www.izito.jpは検索エンジンとして振舞っていますが、ブラウザを乗っ取るハイジャックプログラムのようです。迷わず削除したほうが良さそうです。
つまりこのマルウェアが悪さをしてChrome ユーザー調査やWindowsの修理ページヘリダイレクトしていたようです。
ちなみにこの手の情報を検索すると該当のマルウェアを削除するプログラムをダウンロードさせようとするサイトがありますが、そのプログラム自体にマルウェアやアドウェアが混入されていることがありますので、注意してください。
削除方法
誤検出する場合もあるので、怪しいもの以外はチェックを外します。削除は「削除」ボタンを押すだけで完了。
再起動〜ブラウザでチェックしたところ広告は出なくなったそうです。
最後に
この手のページは以前から怪しいサイトへの誘導という認識がありました。 当然自分ではアンケートの回答すらしようとも思わないのですが、知らないで入力する人もいるんだなぁと改めて思いました。(スクリーンショットは教えてくれた方から提供してもらった)
ネット上でのプレゼントや通常ではありえない程の割引した商品を売っていたりするのは、ほぼ詐欺サイトです。安易に個人情報は入力しないよう気をつけてください。
また、簡単にマルウェアやアドウェアが混入して悪さをします。普段から怪しいサイトやファイルには近づかないほうが良いですね。