[Fx][PC] 感染

ちょっと前の話。
Firefox で自分のブログ(つまりここ)見たらそれはもうデカデカと広告が!

141004_01

スクリーンショット撮り忘れたのが悔やまれますがこんな感じ。

弊社ブログはさくらのレンタルサーバー + WordPress で運営されております。無料ブログサービスのお世話にはなってないのでこうしたバナー広告とはこれまでも、そしてこれからも無縁のハズです。……いやいくら無料だからってここまでウザいのはなかなか無いと思われますが。
当然、大家さんであるさくらたんが強制的に表示させたわけではないし、管理者つまりわしがゼニ目当てで貼ったわけでもありません。だいたい弊社ブログは Google 先生に「お前んとこ著作権違反画像あるんで広告出さない」言われて AdSense の申請却下されたくらいです。貼れるもんならとっくに貼ってるわバカチンが!

じゃあ一体なぜ広告が? それも突然。1H 前はこんなの無かったし。
……時ここに至り、「これは相当マズイ」とようやく悟るわし。

まず考えたのは「ブログを乗っ取られたのではないか」。
こんな場末のドラクエブログ乗っ取ってどうすんだよって話だけど、畑に関してのみちょっとだけ有用ではないかと思われるデータを公開しております。このことを利用し、例えば「必ず超レア花が咲く水やり方法が判った! 100 万 G で教えます!」的な事を書いて悩めるアストル農家を詐欺ろうとしたのかもしれません! もしくは「今後アメジストローズが値上がります今のうちに大量に買っとくべき!」等嘘っぱちな予想で花相場を乱し利益を得ようとしたのかも! 怖い!

しかしながら WordPress には普通にログイン出来ました。
乗っ取りでは無いようです。

で、そこで気付いたんですが、ログインした WordPress の管理ページにも同じような広告が出てるのです。一般的にブログに表示させるバナー広告は、ブログの読者に見てもら(いあわよくばクリックしてもら)うためのものなので、管理ページに出す必要はないわけです。
ここで、この広告は Firefox が、厳密にはインストールした機能拡張のどれかが悪さして出してるんだと判りました。自分のブログは Adblock Plus (※各種ウェブ広告を非表示にする機能拡張)の対象外にしてるので、これらの広告が表示されていた、と。
さっそく機能拡張 off ったところ、バナー消滅。ヤレヤレ。

そこで改めて機能拡張の一覧を見てみると、ひとつ見覚えのないものが。曰く「CooolSaleCoupon」。え、なにこれ……。こんな、いかにも怪しい名前の機能拡張などインストールした覚えはありません。そんで日付は数日前。Firefox は機能拡張のインストール時に報告もしくは警告をするはずで、それが数日の間であれば覚えてるはずです。
つまり、“こっそりと”入れられた。
……どう見ても挙動がマルウェアじゃないですかーやだー!

いやまさかこのわしがマルウェアの侵入を許すとは。
ガッチガチの守備サッカー大好きのこのわしが!
不覚であります。不覚。
こうなった場合、取るべき手段はひとつ。即クリーンインストールです。
ま、最近調子悪かったことだし。ちょうどいいや。

クリーンインストールすることは決定しましたが、どんなマルウェアなのかちょいと Google 先生に問い合わせてみたところ ―― その除去方法を解説する怪しい日本語ページがわらわら出てきました。
これはおそらく、こっそり入れる → 目立つバナー広告で自身をわざと発見させる → 解決策を検索させる → 「このソフトを入れると除去できますよ」等、そこで真打ちのマルウェアをインストールさせるやつではなかろうか。真偽は不明。

とまあ長々書きましたが、「この日はそのクリーンインストールをしていました。のでドラクエやってません」という報告になります。ご清聴ありがとうございました。