cyber BONMEE

私たちが伺ったところで、別に何かが違うという訳ではありません。

あくまで申し込み手続きとセットアップを代行するだけのことです。

また、KDDIが提供する月額版のサービスは、現時点ではウィルスバスターのみです。

お客様宅にお伺いして、まず最初にインターネットアクセスを確認。問題なければau one netへ。

[会員サポート]→[セキュリティ対策]→[ウィルスバスター for au one net]から、お客様のセルフIDとセルフパスワードをお借りしてログインします。

申し込み手続きを済ませてダウンロードページへ移動し、ウィルスバスターをダウンロード。ブロードバンド環境なら数分で完了しますが、ダイヤルアップではちょっと無理そうですね。

インストールの前に、既存のセキュリティ対策ソフトウェアを削除する必要があります。私たちにご依頼なさるお客様の多くは、そこの部分で引っかかっておられるご様子ですね。

プログラムの削除方法をご存じない方も少なくないため、私が仕事をしている横でじっと画面を見つめておられたりとか。

お気持ちは分かります。私も自転車を修理して頂く時は自転車屋さんの仕事がとても気になりますし、水道のパッキンを交換してもらう時は斜め後ろからじっと見ていますから。もっとも、何度見ても何も覚えられませんが。

既存のソフトウェアを削除したら、ウィルスバスターをインストールします。ものの数分で終わりますので、普通は最初のアップデートを行ったところで終了。書面にサインとご印鑑を頂戴して帰ります。

作業料はちょっと高めで、8400円かかるところが今はキャンペーン中のため5250円に。ですが、これ以外に基本設定料か訪問費のいずれかがかかりますので、アバウト9000円程度のご負担になります。まぁ、私の会社にご依頼頂いても8400円ですし、業界の相場としてはそんなものでしょうが。

この仕事はね。料金の相場自体があってないようなもの、と言えなくもないのですが、だからこそ私たちも大手の料金を参考に料金設定しますのでね。

私の会社の場合はKDDIやソフトバンクの料金よりも少し安めに設定してありますが、それも同じ料金ならお客様は大手にご依頼なさるからであって、それが高いか安いかは分かりません。

ですが、例えば車に乗る人がみなボンネットの中身を熟知していなければなからいかと言えば、それだと車に乗る人は激減するでしょう。ユーザーに心地よく安全なドライブを提供するために整備士がいるのであって、私たちも言ってみればその整備士と同じ立場ではあります。

安全で快適なコンピューティングを提供するために私たちの仕事はあります。出来ればウィルス感染する前に、データを飛ばしてしまう前に、安全策を私たちプロフェッショナルにご依頼頂きたいものです。

■ Firefoxで起きていた不具合

検索エンジンから初めてこのサイトを訪問される方に確認メッセージを表示して、OKをクリックした場合のみページが表示されるようスクリプトを書いたのですが、Firefoxでは何故かOKをクリックしてもページの読み込みが止まってしまいます。

これは私が普段使用しているLinux版のみならず、Windows版でもMac版でも起きます。理由は調べていないので分かりません。

そこで当座の扱いとして、問題が起きないMSIEのみに限定していました。今回はそれをゆっくり見直すことで、Firefoxでの問題を解決しました。

■ OKクリックでlocetion.reload()

ユーザーが検索エンジンのリンクをクリックしたら、getCookie()で「初めて」かどうかを判別します。2回目以降のアクセスならばcookieを返しますので、その値が”1″か”2以上”かを後で確認します。

times = getCookie(”Times”);
if(times == “”){
　　times = 1;
}

その後、主な検索エンジンからの訪問をdocument.referrerで判別して、初めてのアクセスならフラグを建てます。

var ua = navigator.userAgent;
var rf = document.referrer;
var uflag = 0;

if(rf.match(/google/)){ rflag = 3; }
if(rf.match(/yahoo/)){ rflag = 3; }
if(rf.match(/goo/)){ rflag = 3; }
if(rf.match(/msn/)){ rflag = 3; }
if(rf.match(/search.livedoor/)){ rflag = 3; }
if(rf.match(/excite/)){ rflag = 3; }
if(rf.match(/infoseek/)){ rflag = 3; }

フラグが建った場合のみ確認メッセージを表示させます。ここまでは問題ありません。

問題は、そこでOKをクリックした際に起こります。なので、OKをクリック「されなかった」場合にフラグを建ててhistory.backで戻って頂く処理を、OKをクリック「された」場合はlocation.reload()でページをリロードして頂くことにしました。

if((times == 1) && (rflag == 3) && (deny == 0)){
　　var flag = confirm(”サーチエンジンから来られた方へ。\n\nこのブログは個人の日記サイトで、調べものに馴染む情報は少ないかも知れません。\t\nこのまま続けますか？\n”);
　　if(flag == false){
　　　　clearCookie(”Times”);
　　　　clearCookie(”Date”);
　　　　history.back();
　　}else{
　　　　location.reload();
　　}
}

timesというcookieの値が「1」で（初回訪問という意味です）uflagという変数の値が「3」（検索エンジンからの訪問）の場合にのみ確認メッセージを表示、OKをクリックした場合はlocation.reload()でリロードして頂くという方法です。

これだとFirefoxも素直に反応してくれます。

JavaScriptを切ってアクセスされたらこの方法は通用しませんが、それだと折り畳まれた記事が展開出来ませんので、ユーザーはそこでわざわざJavaScriptを有効化しなくてはなりません。検索で急いでいる人がそこまでするかと問えば、私ならしませんね。面倒ですから。

この小ネタを仕込んでからの2日間に関しては、アクセス数は減りましたがサイトの平均滞在時間は向上しました。サーバーの負荷と転送量はそれほどでもありませんが、今後も観察を続けます。

情報の価値をどのように評価するかは人それぞれですから、求める人に求められる情報を提供する、という考え方もあって良いのではないかと私は考えます。

function kickAccess(){
　　var ua = navigator.userAgent;
　　var rf = document.referrer;
　　var uflag = 0;
　　if((ua==”") || (ua==”0″) || (ua==null)){ uflag = “1″; }
　　if((ua.match(/0{4,}|D{4,}/i)) || (ua.match(/compatible;\W$/))){ uflag = “1″; }
　　if((rf.match(/2ch/)) || (rf.match(/machi.to/)) || (rf.match(/mixi/))){ uflag = “1″; }
　　if(uflag==”1″){ location.href=”http://blog.bonmee.com/error/403.html”; }
}

考え方は非常に簡単。ユーザーエージェントとリファーラーを取り、排除したいパターンを正規表現でマッチさせて弾くだけです。

隠蔽のパターンとして、userAgentが空白のもの、0のみを返すもの、DDDDや0000など文字の羅列を返すものなどがありますので、それらにマッチした場合は403ページへ飛ばします。

また、２ちゃんねるやmixiなどにリンクを張られるのも少々困りますので、それらをreferrerに持つアクセスも403へ飛ばします。ただ、２ちゃんねるに関しては専用ブラウザからだとreferrerを返しませんので、この方法だけでは不十分なのですが。

あと、JavaScriptを切ってアクセスして来られるケースもありますが、noscript内にmetaコードを書いて403に飛ばす方法はありますけれども、それを弾くとYahoo! Slurpを蹴ってしまいますのでそのままにしておきます。どうせJavaScriptを切った状態ではこのブログの記事は読めませんからね。

Kingsoftには有料版と無料版があり、有料版はライセンスが1年版で980円、無期限版でも1980円と非常に安いものですが、その料金を支払う代わりに広告が表示される無料版もリリースされています。CMが流れることを条件に無料で視聴できる民放と同じ考え方ですね。

KingsoftのサイトにあるFAQにも「【無料版】Kingsoft Internet Security で広告を表示したくないのですが。」というものがありますが、上記のように「なぜ無料なのか」を考えれば、無料版の広告表示を消す方法はひとつしかありません。その方法とは、正規の手続きでシリアルを購入することです。

無料版のユーザーは、最初に広告が表示されるという条件を承諾した筈です。それでも広告がどうしても嫌なのであれば、980円くらい払いましょうよ。

なお、シリアルを購入したのに広告が出るという症状もまれに見られるそうですが、その場合はサポートデスクにご相談なさるべきでしょう。

それから、単に表示された広告を消したいだけならば、ウィンドウの右上にマウスポインタを乗せれば×ボタンが現れます。

Kingsoft → http://www.kingsoft.jp/
サポート → http://www.kingsoft.jp/support/

ダウンロードページへ行くと、RPMパッケージとDEBパッケージ、それにtar.gzアーカイブから選べるようになっています。

私はFedoraを使用していますのでRPMパッケージを選択し、$HOMEにダウンロード。その間に登録フォームからライセンスキーの入手手続きを。

登録フォームにメールアドレスを名前を入力して送信すれば、数分後にはライセンスキーがメールで送られて来ます。

ライセンスキーの到着を確認したら、ダウンロードしたRPMパッケージをインストールします。

# rpm -ivh avast4workstation-1.3.0-1.i586.rpm

プログラムは /usr/bin にインストールされますので、起動は /usr/bin/avast で行います。初めて起動した時に上記のライセンスキーを求められますので、メールからコピー＆ペーストで入力しますが、いきなりスキャンが始まりますのでCtrl+Cで停止させます。

次に、KDEのアプリケーションメニューから起動出来るようにします。

# sh /usr/lib/avast4workstation/share/avast/desktop/install-desktop-entries.sh install

アプリケーション → ユーティリティにAntivirusの名前でアイコンが登録されますので、クリックで起動します。

最初にパターンファイルをアップデートする必要がありますね。

上部の”Update detabase”をクリックするとアップデートが始まりますので、終了するまでしばらく待ちます。

スキャンするには下部のStart scanをクリックしますが、その前に下記の2項目が設定出来ます。

Select folders to scanでスキャンするディレクトリを選択しますが、デフォルトでは$HOMEになっていますね。通常ならそのままで問題ないでしょう。

Type of scanではスキャンの種類を選択します。Standardがデフォルト値ですが、急ぐ場合はQuickを。

パターンファイルの自動アップデートやスキャンを除外するディレクトリなどを設定したい場合は Tools → Preferences から行います。

このAvast linux home editionには常駐機能はありません。ですから、定期的に手動でスキャンする必要があります。ということは、入って来るものを水際で阻止するのは無理ということですね。

ホームディレクトリを定期的にスキャンする以外には、例えばUSBメモリなどのストーレージをマウントした際に安全を確認するとか、そういう使い方が出来るという感じでしょうか。あまり役に立ちそうな印象はありません。

まぁ、Linuxですからね。もとよりWindowsほどウィルスの脅威に晒されている訳でもありませんし、この程度でも充分と言えば充分な気もします。

ただ、これはあくまでワークステーション用の製品ですから、Linuxサーバーには使用しない方がいいでしょう。

メール本文に張られたリンクを踏むと、顧客情報の登録フォームへ飛びます。

そこで必要な情報を入力し、送信すれば・・・カード番号やセキュリティコード、PINコード（暗証番号）までもが悪意の第三者に渡るということです。怖いですねぇ（笑）。

このメールの巧妙なところは、（上にも書きましたけれども）メール本文にある登録フォームへのリンクが、正しくBank of Americaのドメインであるところです。

上の画像をクリックして拡大表示して頂くとお分かり頂けると思いますが、

http://www.bankofamerica.com/srv_55701/～

と、確かに bankofamerica.com に繋がるように見えますね。そのドメイン自体は本物のサイトにしか利用出来ないものですから、これは信じる人もいるでしょう、間違いなく。

ですが、ここで疑わなければならない点がふたつあります。

ひとつは、顧客情報を登録するフォームなのに、SSL接続ではないという点です。

リンクのURLは http:// で始まっていますね？ 普通、こういったデリケートな情報を扱う場合は https:// で始まるSSLを使用するものです。

しかし、詐欺グループなど素性を明かせない者たちには、SSL証明書は利用出来ません。ですから、まずここがこのメールのおかしな点です。

もうひとつは、銀行が個人情報の提供を求めるのであれば、普通はログインするのが先でしょう。メールのリンクを踏んだら即登録画面というのは、余りにも不自然です。

では、なぜフィッシングメールにBOAの正規ドメインへのリンクが張れるのでしょうか？

そこで、登録フォームを少し眺めてみました。

見つけました（笑）。

左のスクリーンショット、上が詐欺サイトの登録フォームで下が正規のBOAサイトなんですが、ブラウザのアドレスバーをよくご覧下さい。

bankofamerica.comの後にある筈の /（スラッシュ）が、詐欺サイトの方にはありませんね。

これは、bankofamerica.comに繋がるのではなく、vera1ab.netというドメインに繋がることが分かります。

このvera1ab.netをwhoisで確認しましたが、何も出て来ませんでした。もしかしたら削除してトンズラを決め込んだか、もしくは当局に消されたのかも知れませんね。

メールの発信元を確認すると、アウトゴーイングサーバーにはmail.slpag.deが使用されていますが、こちらはデンマークの個人が登録しているドメインのようですね。踏み台に使われたのでしょうか。

実際の送り主はpldt.netで、こちらはフィリピンのISPのようです。ということは、このフィッシングメールの送り主はフィリピンにいる、ということですね。

今、このエントリーを書きながらメールにあったリンクを踏んでみると、もう繋がらなくなっていました。しかし、犯人はまたドメインを変更して、世界中に同じようなメールを送り続けていることでしょう。

日本の皆さんはこのような英語のメールに引っ掛かることはないでしょうが、これを日本の有名な銀行名で、日本語でやられたらどうなるかを想像してみて下さい。絶対に騙されない自信はありますか？

自信がない方は、もう一度上記の本文をよくお読みになって下さい。ポイントは、

1. 銀行などが個人情報を求める場合は、必ずSSL接続を使用する筈
2. 顧客に情報提供を求めるのであれば、まずログインしてからフォームが表示される筈
3. ドメイン名が本物であるかを注意深く確認する

の3点です。

これだけ気をつけていれば、騙される危険性はかなり低くなるでしょう。十分にご注意なさることをお勧めします。