いわゆるアドウェアに感染(?)した話


スポンサーリンク

特定のサイトにアクセスした時に、勝手に新しいサイトにアクセスしようとする現象に遭遇したので情報共有しておきます。

正確に言うと、uBlock Originのおかげで感染に気づいた感じ。

現象

  1. 特定のサイトにアクセスした後、強制的に新規タブが開き、piet2eix3l.comというサイトにリダイレクトされる
  2. uBlock Origin のブラックリストに引っかかり、アクセスが遮断される

ググると各種ブラウザに拡張機能経由で感染する模様。

f:id:atuyosi:20171208151523j:plain

環境

  • MacBook Air (mid2012)
  • macOS 10.13.2
  • Vivaldi 1.14.1030.3 (公式ビルド) (64-bit)

対処

ポップアップタイプのアドウェアなのは間違いないが、英語を翻訳したようなサイトしか情報がない。除去ツールのダウンロードサイトはあるけど信用できませんよ、と。

ひとまず実施した対処は下記のとおり。

  • ウィルス対策ソフトでフルスキャン
  • 怪しい拡張機能の削除
  • ブラウザの履歴の全削除

手元の環境ではText Link Plusという拡張機能を除去したところ強制的にタブが開く現象は発生しなくなりました。
過去にアンインストールしたはずの拡張機能だった気がするので偽装している可能性は大いにあるのでなんとも言えません。

Vivaldi でアクセスしていたサイトでログインを要求されるものは、はてなブログ、Kanbanflow、Twitter、feedlyなので、これらのサービスはパスワード変更と 不審なアクティビティがないか確認、かな。

感染経路が不明なので、OSのクリーンインストールを実施予定。

最近インストールしたのは拡張機能だとJSON Viewer、アプリだとPDF編集ツールの体験版、VLCあたり。
不自然な挙動はしてなかったと思うので、VivaldiなりOSのアップデートがきっかけで潜んでいたのが発症した?


確証はありませんが、Text Link Plusの更新日が12月7日で、この現象の発生日が 今日(12月8日)なので ちょっと疑わずに入られません*1

f:id:atuyosi:20171208154224p:plain

というかすでに拡張機能のレビューに記載がありますね……。

拡張機能の汚染が進んでいるのか、単にこの作成者が残念なのか。

教訓:拡張機能のインストール前に作者についてググるべし

拡張機能の作者がアカウントをハイジャックされた、と言う可能性もありますが、余計なものをインストールしないに限りますね。

まとめ

油断大敵。ありがとうuBlock Origin。

そろそろクリーンインストールするかと思っていたので、まあ結果オーライで。

感染経路がはっきりしないのは気持ち悪いですが、不審なソフト・拡張機能は避けましょうとしか。

あなたの知らないセキュリティの非常識

あなたの知らないセキュリティの非常識

小さな会社のIT担当者のためのセキュリティの常識

小さな会社のIT担当者のためのセキュリティの常識

*1:よく見たらこの拡張、曰く付きの人物の作成したパチモノ……

広告