2010年09月27日 02時53分メモ

偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃

9月24日(金)の21時半頃から9月25日(土)0時27分にかけてGIGAZINE・毎日jp・Impress・Slashdot・価格.com・食べログ・みんなの株式・みんカラ・J-CASTなど多数のサイトのページを見た一部ユーザーが偽セキュリティソフト「Security Tool」に感染している可能性が明らかになりました。原因はページ内に表示していたマイクロアド社の広告が原因、この広告を配信していた多数のサイトでも同様の被害が発生していたとのことです。

GIGAZINEでは即座に原因を特定したため、マイクロアドの広告を非表示にし、今も念のため非表示処理を続行しています。もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです。

現時点までで明らかになった経緯まとめと「Security Tool」の駆除方法などは以下から。
◆「Security Tool」とは何か？

「Security Tool」とは2008年頃から発生している偽セキュリティソフトで、さまざまなソフトウェアのバグやセキュリティホールを突いて強制的にWindowsにインストールされ、既にインストールされているセキュリティソフトを無効化、さらに場合によってはタスクマネージャや右クリックメニュー、ネットへの接続も無効化します。そして「ウイルスに感染している」「多数のウイルスを検出した」というような意味のウインドウを表示し、「これらのウイルスを駆除するには有料版にアップデートしなくてはならない、このフォームにクレジットカード情報を入力せよ」と促すという悪質なマルウェアです。

実際の画面

警告のポップアップ。日本語がヘンなのも特徴。

このようなニセ検出画面を表示します

クレジットカード情報を入力させる画面。絶対に入力してはいけません。入力してしまった場合はクレジットカードの会社に連絡すれば対応してもらえます。

◆「Security Tool」の削除方法

手動による駆除方法については以下のページに最新の手順がまとめてあります。

偽セキュリティソフト「Security Tool」の感染について

その他の簡単な駆除手順としては以下のようになります。

手順1：「ランダムな番号」.exeのプロセスを停止する。タスクマネージャの「プロセス」タブから停止、あるいは「Process Hacker」を使って停止、もしくは同じようなプロセスを表示できるソフトウェアを使って停止。29225726.exeとかそういう名前になっています。とにかくこのプロセスを終了させないと、各種アンチウイルスソフトなどを起動させることができません。

手順2：「Security Tool Removal Tool」、あるいは「ノートンパワーイレイサー」、もしくは「Ad-Aware」「Spybot - Search & Destroy」、または試用期間中もフル機能を利用できるアンチウイルスソフトをインストールして駆除します。

そもそも最初からインストールしてあるアンチウイルスソフトが最新版で、なおかつ常駐させてあればこの偽セキュリティソフト「Security Tool」に感染するわけがないので、新しいセキュリティソフトをインストールする、というわけです。なお、現時点で存在するセキュリティソフトはほとんどがこの「Security Tool」を駆除可能です。また、この「Security Tool」に感染したということはその他のあまり目立った動きをしないマルウェア・ウイルスなどにも感染している可能性大なので、パソコン全体をスキャンして確認して下さい。

◆GIGAZINEでの今回の経緯

・9月24日(金)21時51分
読者から「Google Chrome」とアンチウイルスソフト「Avast!」によってGIGAZINEへのアクセスがブロックされ警告が表示されるという旨の連絡が来ました。この連絡が来た時点でGIGAZINEのサイトをチェックするものの、何も検出されず、可能性としてはアンチウイルスソフトの誤検知か、あるいは広告配信サーバ経由で何か悪意のあるコードの埋め込まれた広告が配信されたか、そのいずれかであろうと推測しました。

さらにほかの読者からも時間差で同様の連絡が複数来たため、GIGAZINEのページを定期的に監視し続け、どの広告配信サーバ・アドネットワークが原因かを探ることにしました。報告された現象としては「突然メディアプレイヤーが立ち上がって何かファイルを起動しようとした」「よくわからないJARファイルを読み込もうとした」「libtiff.pdfという名前のPDFファイルが読み込まれそうになった」などなどです。

・9月24日(金)23時59分22秒
GIGAZINEのページを監視していた「ESET Smart Security」がついに「ipq.co」に接続して勝手にマルウェアをダウンロードしようとしていたのを検出することに成功。

この時点のGIGAZINEのページを解析用に開発ツールを起動した状態のSafariで見たところ、このような1ドット×1ドットという謎のiFrameを発見。

ソースコードを見たところ、このような「ipq.co」に接続するiFrameタグを発見。このタグの前後にマイクロアドのサーバが表示されていることが判明、マイクロアドのサーバ経由でこのマルウェア感染が起きていると推測。

さらに詳細に解析した結果、マイクロアドのサーバが何者かに攻撃されて乗っ取られ、謎のiFrameタグを配信していることが確定しました。

・9月25日(土)0時27分
マイクロアドの広告配信用タグをGIGAZINEから削除。また、なぜページを表示する度にこのiFrameが読み込まれているはずなのに、マルウェアがダウンロードされたりされなかったりするのかという理由も判明。そもそもこの「ipq.co」というのは以下のようなサービスです。

IPアドレスに一瞬で簡単にドメイン名を付けるサービス-swordsmith
http://romberg-iso8.blogspot.com/2010/09/ip.html

つまり任意のIPアドレスを「好きな名前.ipq.co」というドメインにしてしまうというもの。反映時間も素早く、この時点では1分前後で反映されていたようです。つまり、毎回マルウェアの置いてあるサイトに誘導すると、マイクロアドの広告配信用タグが原因だとばれてしまうため、ほんの短い間だけpromo.ipq.coの転送先をマルウェア配布先に書き換え、すぐに元に戻し、ほとぼりが冷める頃に再び書き換えるという手法をとって、できるだけ長い間特定されないようにして、可能な限り長時間ばれないようにしていた、というわけです。さらにこのipq.co経由であれば誰が犯人かを特定しづらく、そういう犯人の身元隠蔽の意味もあったと推測されます。

この手口が原因で、こちらでGIGAZINEにアクセスしてもウイルスを長時間検出できず、なのに被害報告は届き続けるという状態に陥り、非常に歯がゆい思いをしました。完全な言い訳になってしまいますが、もっと早くこのことに気づくことができれば被害を抑えることができたのにと思うと、非常に悔しいです。

・9月25日(土)0時59分
マイクロアド社に上記経緯をまとめて連絡、調査を依頼。

・9月26日(日)
以下のようなプレスリリースがマイクロアドから出ました。

※PDFファイルです
【障害報告】弊社サービスの改ざんに関するお詫びと報告
http://www.microad.jp/press/20100925/20100925.pdf

中身は以下のようになっています。

平成22年9月25日

株式会社マイクロアド

弊社サービスの改ざんに関するお詫びとご報告

この度、弊社サービス”アドサーバーVASCO の一部バージョン“におきまして、第三者による悪意的な攻撃を受け、一部データが改ざんされました。これにより、当該期間に弊社サーバーより配信されたHTML を閲覧したユーザーの皆様が、悪意あるサイトにアクセスしてしまう事象が発生いたしました。このサイトではウィルスに感染する恐れがあったことが判明いたしました。該当のユーザの皆様には、ご迷惑をお掛けしましたことを深くお詫びいたしますと共に、ウィルススキャン／駆除の実施をお願い致します。尚、弊社サービス”MicroAd アドネットワーク“においては本件の影響はございませんでした。

記

１. 期間
弊社による調査の結果、 9 月24 日 21:30 頃～9 月24 日 23:30 頃
弊社サイトから悪意あるサイトへ転送されることにより、今回の事象が発生しておりますので、詳細な時間については判明しておりません。弊社にて確認したところ9 月24 日23:30 頃には悪意あるサイトへの転送は停止しておりました。

２. 事象の詳細について
・弊社プログラムが改ざんされたことによりHTML 内のappend カラムに第三者の外部WEB へアクセスする1x1 ピクセルのiframe タグが挿入されました。
・iframe タグ内に、URL 短縮サービスを利用して、悪意あるサイトへ誘導リンクが挿入されていました。
・当該誘導リンクは、9/24 23:30 には転送中止の措置が取られていました。(弊社確認)
・誘導リンクにより悪意あるサイトへアクセスした場合には、マルウェア「security tool」が設置してありました。
・このマルウェアは、ユーザが誤ってダウンロードすることによりインストールされてしまう可能性があるものでありました。
・弊社プログラムの改ざんを9 月25 日1:07 に修正し、対応を完了いたしました。

３．感染した可能性のあるお客様へのお願い事項
お手数ですが、お手持ちのウィルス対策ソフトを最新の状態にして、ウィルススキャンの実施をお願い致します。
お持ちでない場合は、各セキュリティ会社のホームページにあるオンラインスキャンをお試しください。
弊社サービスをご利用いただいているお客様に大変ご迷惑をお掛けしましたことを重ねてお詫びいたします。

※追記(9/26 01:11)

「security tool」がインストールされてしまった場合に、ブラウザが起動せず、オンラインスキャンが実行できない場合がございます。そのような場合に、以下URL のような情報が提供されておりますので、そちらをお試し頂きますよう、お願い申し上げます。

http://sec.sourcenext.info/support/securitytool.html

４．本件における連絡先
[email protected] までお問い合わせください。
なお、弊社と致しましては第三者からの不正アクセスの被害を確認したとして、今後警察に被害届を提出し、対応を進めて参ります。

敬具

◆「Security Tool」感染の規模
要するにマイクロアドの広告を表示していた各種サイトを該当日時に閲覧していた人で、なおかつアンチウイルスソフトの定義ファイルが更新されていなかったり、常駐させていなかったり、その他のソフトのセキュリティホールを塞いでいなかった人たちが軒並み感染、9月24日(金)の21時半頃から9月25日(土)の0時過ぎにかけてTwitter上では以下のように多数の感染報告が相次ぎました。

ラーメンやさんぐぐってて食べログのあるページ開いたら急にリアルプレイヤーが起動してsecurity toolがインストールされるの巻。ウイルス発動の瞬間はじめてみた・・・
http://twitter.com/Yoikohyakka/statuses/25415524119

毎日.jp見とったら「redmancerg」うんたらかんたらウイルス検出とF-Secureが警告。ググったら、某通販サイトでも出たとの情報。アドネットワーク大丈夫？
http://twitter.com/kx/statuses/25415537177

スラドを含めて、複数のサイトが広告配信サーバ経由で、悪意のあるiframeが配信された模様。"ats.redmancerg.net"への接続を遮断するのが簡易的な対処方法になるだろう。たぶん今回のは各種パッチきっちりあてて、アンチウイルスソフトが最新版であれば感染はしないと思う。
http://twitter.com/ex_hmmt/status/25412105336

スキャンしたらウイルス検出(´；ω；｀)Mikuinstallerのとこにいたからwin系のだろうしMacOSは大丈夫だろうが不安なのでとりあえず原田に電話したら出ないので藤井に電話した。とりあえず安心した。これで寝れる。
http://twitter.com/iSirena/statuses/25415144177

@koh85 JAVAとメディアプレーヤー起動したのち、ウイルス対策ソフトから「ファイルの無断書き換えがありましたが阻止しました」という表示がありました…。サイト自身が感染していたのかも…？
http://twitter.com/foret2pluie/statuses/25415142051

今から偽ウイルス対策ソフトを削除します。サイトに仕掛けないでもらいたいけど、勝手にしかけたものだと思うからしかたがない。
http://twitter.com/as9k/statuses/25414524898

セキュリティソフトはちゃんと入れているし特に変なことをしていたわけでもないのに、急に出てきたので驚きました　＞＞「Security Tool」。ウイルスに感染している、と嘘の表示をしてお金を振り込ませたりするようです。要注意。
http://twitter.com/kmhr_t/statuses/25414458658

まずい！へらへらしてたらPCがウイルスにやられたw倒してくる！！！
http://twitter.com/azaz424/statuses/25414362217

ただいまウイルスと格闘中
http://twitter.com/kawasumiserika/statuses/25414353230

『Security Tool』というウイルス感染警告に気をつけてください。この警告はPC保護すると見せかけ料金を取る、詐欺ソフトです。以下URL除去方法http://plaza.rakuten.co.jp/sallina/diary/200911280000/
http://twitter.com/Arinko_PA/status/25409828447

唐突にウイルスが検出されたとかなんたらでパソコンが使えなくなった
http://twitter.com/rigyaku/statuses/25414061059

@cyzo 御社のサイトを見ていたところ、「Security Tool」というウイルスに感染したようですが・・・他に報告はありませんか？？
http://twitter.com/roku3_99/statuses/25413523829

PC（mac ）で食べログ見てたら、いきなりウイルス警告画面が出た！皆さんは大丈夫ですか？気持ち悪いわぁ。。。
http://twitter.com/Yuki_Nishida/statuses/25413122963

原因不明でさっきから何度か　ウイルスアタックされてますって表示が出て怖いんだけど、そのたびにノートンが　「高レベルの脅威を完全に遮断しました。対処の必要はありません」　てカッコ良く登場するのでノートンに惚れそうになっている。
http://twitter.com/taka0008/statuses/25412649816

SeurityToolってウイルス？
http://twitter.com/jiribow/statuses/25412551614

ヘルプミー！！パソコンがセキュリティツールとかいうウイルスに感染した涙！ヘルプー！！
http://twitter.com/kotoe_cyann/statuses/25412195368

パソコンがセキュリティソフトを装うったウイルスらしきものに感染した模様。パソコンに入れてあるセキュリティソフトが動かなくなった上、画面もおかしくなったので、強制終了。プログラマー(一応)の息子を呼んでなんとかしてもらって今ウイルスチェック中。早く寝ようと思ってたのにー(T_T)
http://twitter.com/s_mah/statuses/25411214302

＜◎＞＜◎＞ RT @peo103: ＜●＞＜●＞ RT @miya_chopu: うちのアパートに住んでる親戚の女子大生からパソコンがウイルスに感染したかもとヘルプが。みてやるか…
http://twitter.com/masakichi22/statuses/25411177953

security memo mlによれば、（2010/09/24 22:20）時点で以下の２サイトが改竄汚染されているらしいです。slashdot.jp c.cocacola.co.jp ウイルスなどの危険もあり得るので注意したほうがいいどうです。
http://twitter.com/kawahara_at_kgs/status/25405827336

パソコンがいきなりインストールした覚えの無いSecurity Toolとか言うソフトを起動した。とりあえずググってみたらウイルスでしたｗｗｗセーフモードで削除できたから大事にはならなかったけど、かなり焦ったぜ
http://twitter.com/TukaharaHibiki/statuses/25410298512

ぬわわあああ！！！！ウイルスに感染した(^O^)／駆除駆除(^O^)／
http://twitter.com/haaasssy/statuses/25410097065

セキュリティツールと言うウイルスにやられました…泣きたい
http://twitter.com/kasaki/statuses/25410029711

security toolっていうウイルスに感染しちまったんだけど駆除する方法が分からない。パソコンの知識が全くないからお手上げ状態。イライラ…イライラ…イライラ…
http://twitter.com/xblanclapin/statuses/25409871152

Security Toolというウイルスとか戦ってました。もうやだー
http://twitter.com/nonsense_burei/statuses/25409869017

友がsecurity tool とかいうウイルスがうんぬんって言ってきためんどくさいのｗ
http://twitter.com/sina0529/statuses/25409545104

ウイルス対策してたのになんでだろ。別のPCでちょっこし調べたらリアルタイムで拡散してる模様です。皆様も気をつけて下さい?。
http://twitter.com/s_nyoroko/status/25409232904

SecurityToolとか言うウイルス感染しました…ウイルスセキュリティ0は粉砕されました…どうしたらいいんでしょ…ヘルプミー／(^O^)＼
http://twitter.com/konumu/statuses/25408737394

価格．Ｃｏｍにアクセスしていた同僚のパソコンがウイルスに感染。そんなメジャーなサイトにウイルスが仕込まれているとは！！！！
http://twitter.com/norinori55y/statuses/25408165484

Security Toolなるウイルスにパソコンがやられました。みなさんも気をつけてください。明日久々の休みだからパソコンやろうとしたのに！畜生！！
http://twitter.com/hayaton711/statuses/25408069208

ウイルス感染したし
http://twitter.com/sanaesanlife/statuses/25407766332

やばい、ウイルス引っかかった
http://twitter.com/kasaki/statuses/25407593743

security tool とかいうウイルスにかかった！と思ったらなんか大量発生してるみたいね(´；ω；｀)にしても経路がわからん。。。
http://twitter.com/shiobo/statuses/25417829897

ウイルスなう
http://twitter.com/Takuan_JoJo/statuses/25417674496

メッセンジャーで喋っていた相手がいきなりウイルス感染したとかで落ちたんで、ちょっと焦ってスキャンしてきたけど、検出されなかったから一安心。　まあ、それで感染はしないんだろうけど、見てたページからだと嫌ですし。
http://twitter.com/masaki_wakaba/statuses/25417666439

Security toolという名前のウイルスだなんてしゃれてるじゃないか
http://twitter.com/rigyaku/statuses/25417580809

某ニューサイトにアクセスするとウイルス警告が出る
http://twitter.com/namunana/statuses/25417480246

ウイルス初体験。security toolには気を付けて下さい。
http://twitter.com/mic_ryouta/statuses/25417363383

ネッとしてたら急にウイルスソフトが立ち上がって　なんかスパイウエア感染したよーとか表示されて恐いのどうしたらいいの
http://twitter.com/hy_s/statuses/25417207727

【ＲＴ希望】自宅パソコンがsecurity toolなるウイルスに一時間前に感染しました。どなたか、リカバリなしでの最適な駆除法を教えて下さい！(>_<)
http://twitter.com/band_apart_/statuses/25417069481

検索したらウイルス感染した人いっぱいいる・・・
http://twitter.com/nikkeeeeeeee/statuses/25416771818

ウイルスかかったー
http://twitter.com/renka_chou/statuses/25416756654

そろそろ寝ようかと思ったらウイルスに感染した…ノートン先生しっかりしてよね。駆除するまでは眠れない。おれたちの戦いはこれからだ！
http://twitter.com/ahiru026/statuses/25416558681

マジでPCウイルス入ったかも…ツイッタのせいではないが…あぁもう換えたいしPC
http://twitter.com/yukitaro03/statuses/25416536820

ウイルス感染したー。めんどくせー。
http://twitter.com/takikukeko/statuses/25416336791

RT @macaroniR: security tool（ウイルス？）に感染した！かなり厄介そう。今、優秀ＳＥの旦那が色々調べてくれてます。この何時間かで感染したって人が相当多いみたい。皆さんも気をつけて下さい。
http://twitter.com/tanasatorutan/statuses/25416310636

親のPCがウイルス感染(正確にはマルウェア) 復旧作業ほぼ終了。なんでウイルスなんかにひっかかるんだろう。自分でPC作るようになってからウイルス系に感染したことないな。
http://twitter.com/SEARTHEND/statuses/25416200341

めんどくさいウイルスに感染して死にたいなう
http://twitter.com/arukuna/statuses/25416114586

@koh85 とりあえず反射的に「ウイルス検出」と書いて拡散してしまいましたが、RTは他にも出回ってるので、どの道防ぎきれないだろうし気にせずいて良いと思います！それよりこうさんのPCを一度チェックした方がいいかと！＞＜テンポラリファイルを一度クリアしたほうが良いかもしれません。
http://twitter.com/foret2pluie/statuses/25415945140

@51STER_kanami ウイルス退治頑張ってください！
http://twitter.com/DJ_C_Mann/statuses/25415807314

ウイルス感染を嘆く三成さん。
http://twitter.com/minopu/statuses/25415796140

あからさまに胡散臭いし、警告が出まくってネット繋ぐのも一苦労なのでケータイで調べたらこれ自体がウイルスだそうだ
http://twitter.com/CUT1048/statuses/25415793323

なんかPC開いたらセキュリティツールってとこから『あなたのPCにはウイルスがうじゃうじゃです』的な意味不明な警告が(笑)
http://twitter.com/CUT1048/statuses/25415491466

食べログ見てたらウイルス感染したっぽい…まじ？
http://twitter.com/TY0911/statuses/25407352345

こんな時間にPCがウイルスに感染しやがった。。
http://twitter.com/rocknrool_kuchi/statuses/25407270540

ショック。。セキュリティ toolというパソコンウイルスに感染。しかもまんまとだまされて、カードナンバー住所すべて書いてしまった。。カード会社には電話してカードナンバー変えてもらうことに。。死亡（泣）
http://twitter.com/sushisen515/statuses/25407167450

身に覚えがないのに、いきなりsecurity toolとか言うウイルス対策ソフトに偽装したウイルスに掛かってしまった。もう駆除したし大丈夫だよな・・・
http://twitter.com/ulibou/statuses/25406983304

今急にsecurity toolというウイルスが拡散しているらしいのでお気をつけてくだせぇ。
http://twitter.com/bakuretsuhanabi/statuses/25406942576

またsecurity toolに感染しちゃったよｗｗｗｗ　どんだけ広まってんだこのウイルスｗ
http://twitter.com/Votoms_Queen/statuses/25406884923

念のために。security toolというウイルス対策を装ったウイルスに感染してしまいました。ウイルスに感染していないのに感染してるとの警告が出て、アップデートしてくれと出ますがクレジットカードの番号などは絶対に入れないでとのこと。お金を取られてしまうらしいので。
http://twitter.com/bakuretsuhanabi/statuses/25406861207

security toolというウイルスなんだけど、Twitter上でも今少し話題になってるな...なんで急に感染したんだ？？
http://twitter.com/bakuretsuhanabi/statuses/25406409390

そういえば、さっき変なサイトにアクセスしたわけでもないのに、Javaが起動してウイルス検出した。怖い
http://twitter.com/fairy213/statuses/25406377305

@otinpo やっぱウイルスかこのウイルス全然取り除けないし電源切るしかねーよなこれ
http://twitter.com/daiyonhadoooooo/statuses/25406332258

うへ、ウイルス拾ったっぽい。めんどくせー。だれか、scuritytoolの殺し方教えて
http://twitter.com/yhr_/statuses/25406161684

さっきからウイルスに感染してるやら脅威がと警告が出てくるんだけど、中の日本語が非常におかしい。むしろこれがウイルスじゃないのか？
http://twitter.com/go_inkyo/statuses/25406160182

げえー！パソコンに偽セキュリティのウイルスがああ
http://twitter.com/konumu/statuses/25405987821

毎日か日経のサイトのどっちか。いきなり動画ソフトが自動で立ち上がり、その直後にウイルス感染の警告が大量に出た。 RT @havocmocha: @gusinraisan まじで？!
http://twitter.com/gusinraisan/status/25405607579

セキュリティーツールというウイルスにひっかかるなう
http://twitter.com/jun_yama/statuses/25405492334

ふははは！現在のパソコン使用して四年半。初めてウイルス感染した！ふはは！
http://twitter.com/bakuretsuhanabi/statuses/25405359227

あぁもう、最悪。日経のサイトだとおもうが、なんかウイルス感染した…メインPC
http://twitter.com/gusinraisan/statuses/25405004283

嫁のノートが「Security Tool」というウイルスに感染して駆除してる。なかなか手強い。
http://twitter.com/maruo/statuses/25404889479

@anriorshizukaaa Security Toolは、それ自体がウイルス、１０分前ぐらいに、かかってやっと倒した！
http://twitter.com/yamatixx/statuses/25404842664

【速報】ＰＣがウイルス感染した
http://twitter.com/nayuta2525/statuses/25404204469

ウイルスらしき奴発見したけどコントロールパネル強制的に消されてアイインストールできん;; http://twitter.com/nachiro0O/statuses/25403917627

PCがウイルスに感染したっぽい。偽セキュリティソフトを入れられた。
http://twitter.com/ganaroa/statuses/25403899895

ＰＣがウイルスにかかったぽい。やべぇ、誰か・・・・へるぷ！！！！！！！
http://twitter.com/saeaya/statuses/25403816448

パソコンにウイルス的なものが?((゜Д゜ll))
http://twitter.com/ueno03ai/statuses/25403708596

同じ部署の人のPCにウイルスが侵入！見た目はマカフィーなんだけど、強制的にマカフィーを買わせようとするものでした。しかもこの偽マカフィーはインストールされてるマカフィーを徹底的に機能停止にさせてました。おそろし
http://twitter.com/huitvillages/statuses/25403694584

Security toolってウイルスにかかったorz 対策はしてたんだけどやられた…
http://twitter.com/maix82/statuses/25403563247

なんかパソがウイルスにやられた。しゃれにならん(@_@;) http://photozou.jp/photo/show/783165/50670125
http://twitter.com/nachiro0O/statuses/25403468510

ググッたら新手のウイルスらしい。システムの復元で直るらしいのでとりあえず復元したが、侵入経路がJAVAの自動更新通知っぽいんだが。。。
http://twitter.com/azaaassu/statuses/25402952548

SecurityTool ウイルス削除方法をwebにのしてくれた稲田朋之さん　 Thanks ☆☆** v(￣ー￣)v**☆☆
http://twitter.com/marsa1218/statuses/25402925374

パソコンがウイルスにやられた。どうすればいいのか全くわからず泣きたい。
http://twitter.com/naninanoko/statuses/25402079560

なんかJAVAが起動したと思ったらウイルス感染してるから削除しろって出るんだけど、そもそもお前をインストールした記憶がないんだがっつうわけで完全無視して別のアンチウイルスソフト起動して調べさせてる。勝手にインストとかツールバーの自動DLなみに気持ち悪いわ。
http://twitter.com/azaaassu/statuses/25401393139

さっき初めて、ウイルス対策ソフトが、web接続を止めた?模様です。コンコン!!ってなった!　あーびっくりした。何が問題だったのかは不明。明日行く場所の地図を探していただけなんですが。はて。
http://twitter.com/kimatomotamik/statuses/25401300100

ぱそが、ウイルス感染した(T_T) ばかあああああああ　わたし、変なとこ踏んだ記憶ないんだけど(T_T) ‡不思議の国の池岡‡
http://twitter.com/kiyori_d/statuses/25401272219

会社のPCの画面にいきなり「Security tool install sucseed」みたいなダイアログが表示されたかと思ったらSecurity toolとかいうウイルス駆除ソフトが勝手に立ち上がって消えなくなった。どう見てもこれ自体がウイルスです。本当にありがとうございました
http://twitter.com/tochigi_3/statuses/25401156430

ついこの間直ったばかりのPCが、今度はsecurity toolっていうウイルスに感染しました！　マジ泣きたい。なんか検索したらジャスト今この時間帯にかかっている人多いみたいですね。
http://twitter.com/mujunsyounen/statuses/25419799589

Security toolっていうウイルスに感染。ツイッターでリアルタイム検索したら食べログからかかったって人が。私もそこなのかな・・・確かにさっきうなぎ屋さん調べたわ。。
http://twitter.com/nikkeeeeeeee/statuses/25419789607

ウイルスがなんちゃらかんちゃらという警告が出て数分間無視していたらこんなんなってパソコン落ちた。助けて。企画書つくれない。ちょっと、嬉しい（笑） http://plixi.com/p/46871715
http://twitter.com/love_of_48yen/statuses/25419692137

父親からヘルプがかかった。なんかpcがおかしくなったようで、みたらsecurity tool とかいうウイルスソフトを偽装したウイルスっぽい。駆除すっか...
http://twitter.com/kenz_tweets/statuses/25419674819

RT @mintyellow: そのウイルス知りませんでした(>_<) 気をつけます～。 RT @Alex324RtoJ: 食べログ経由でSecurity Tool感染してる人がめちゃ多い(かく言う自分も)からアクセスしないほうが無難かも！
http://twitter.com/konumu/statuses/25419579856

アンインストーラー落としたのはいいがウイルスに邪魔されて起動せず
http://twitter.com/taroemonzaemon/statuses/25419223846

いるって分かっていながらウイルススキャンなう
http://twitter.com/joetakuma/statuses/25419192986

えウイルス感染した
http://twitter.com/puniai1/statuses/25419012552

システムの復元までやって怖いからもうパソコンネットに繋ぐのやめた…マイクロソフトのウイルススキャン自動更新するようにしてたのになぜ…
http://twitter.com/kawasumiserika/statuses/25418856862

再起動したらウイルスの数が増えてて、混乱してサポートに電話したら、それウイルスだからお金払っちゃらめー！つかそれ有名なウイルスですよってちょっと白い目で見られた！
http://twitter.com/kawasumiserika/statuses/25418733688

別に初めてのウイルスなわけではないが…ショック
http://twitter.com/yukitaro03/statuses/25418711889

なにこれすげえ。再起動したら常駐のウイルスソフトも起動しねえ。タスクマネージャーも起動しねえ。
http://twitter.com/whitexxx/statuses/25418679847

ノーパソ立ち上げたらいきなりウイルス感染してるから駆除してやる！72ドル払えってウィンドウがいっぱい立ち上がって、なんぞこれって別のウイルススキャン立ち上げたらブルーバック→再起動にw
http://twitter.com/kawasumiserika/statuses/25418544015

@sakuramachi えーと、残念ながら、それはすでにウイルスに感染してます。こちらの手順で、回復できるんですが、今日はＰＣを止めて、れひさんに修復してもらうのが良いかもしれません。 http://j.mp/bzUAoW
http://twitter.com/tamaminami/statuses/25418336164

Security Toolって中国くさい日本語しねって思ったらまじでウイルスかおｗｗｗマカフィーも弾くしどうやって駆除したらいいのかわからん＼(^o^)／めんどくさい
http://twitter.com/nashiko107/statuses/25418002775

security tool とかいうウイルスにかかった！と思ったらなんか大量発生してるみたいね(´；ω；｀)にしても経路がわからん。。。
http://twitter.com/shiobo/statuses/25417829897

パソコちゃんが死亡したかもしれない…ウイルスというかセキュリティソフトみたいなのが邪魔くさいんだけど何コレ…しかし、眠いので寝たい…
http://twitter.com/minase000/statuses/25420565123

ブラウザ起動しようとすると「ウイルスにかかってるから使わない方がイイお」みたいな警告が出て、ブラウザが使えない。とりあえず仕事にならないので、いまからセキュリティソフトのアンインストールを試みる。
http://twitter.com/love_of_48yen/statuses/25420390608

somebody help !! 　"security tool"と名乗る、ウイルスのようなやつに、デスクトップが乗っ取られそうなう。。
http://twitter.com/sumiken2/statuses/25420383867

同じ経緯でSecurityToolに感染した人がいっぱい見つかったけど、普通にウイルスセキュリティが動いてれば防げたってハナシか…orz
http://twitter.com/konumu/statuses/25420210962

ウイルスいっぱいみたいですが、除去しようとするとソフトの更新でお金取られるっぽい。その画面でクレジットの番号聞いてくるんだけどコレ自体ウイルスなんじゃねえか？ http://plixi.com/p/46872681
http://twitter.com/love_of_48yen/statuses/25420209798

PCがウイルスに感染したらしい、誰かゾビラックスを！
http://twitter.com/qulogi/statuses/25420200760

対面が誰かわからないウイルスに感染してしまってるんだ！
http://twitter.com/tnmrhdo/statuses/25420169833

Security Toolとか言うウイルスに感染。駆除中なり
http://twitter.com/junjunsan1222/statuses/25420141996

会社のパソコンではいやらしいサイト開かないようにね、すみくん @sumiken2: somebody help !! 　"security tool"と名乗る、ウイルスのようなやつに、デスクトップが乗っ取られそうなう。。
http://twitter.com/Jody_Hirayanagi/statuses/25420592885

get full securityというスパイウェアにひっかかってました。セキュリティソフトに偽装してカード情報とか引き出そうとするもののようです。システムの復元でなんと収まりはしましたがみなさんもお気をつけを…（明日ウイルススキャンするう（；´Д｀））
http://twitter.com/gyoku_RO/statuses/25420930238

@kawasumiserika ひいい怖い…！72ドルとかリアルな数字で嫌だｗ無事に直ったんですか(´；ω；｀)ウイルススキャン仕事しろ！
http://twitter.com/_yukishiro_/statuses/25421033609

RT @tkuszono: 【ウィルス警報】マルウェア。正規のウィルス対策ソフトのふりをするそうですので要注意。 RT @nemu_tatibana: 緊急！食べログというサイトからSecurity Toolというスパイウェアソフトに感染してる方が増えているようです！　ご注意を！
http://twitter.com/tomoinu/statuses/25420967474

どうやら古いPCはセキュリティーソフトを騙ったウィルスに感染しているらしい(´；ω；｀)今家人が治そうとしてるけど大丈夫かな(´；ω；｀)ファイル開けないからこの間のSSアボン(´；ω；｀)
http://twitter.com/sunupipipi/statuses/25420735931

食べログ経由でSecurity Tool感染してる人がめちゃ多い(かく言う自分も)からアクセスしないほうが無難かも！
http://twitter.com/Alex324RtoJ/status/25417946518

おかんのノートSecurity Toolに感染したワロタ削除じゃああああい
http://twitter.com/elle0722/statuses/25420007827

今回の件は広告を表示していた各サイトが乗っ取られたわけではなく、それぞれのサイトで表示していた広告配信サーバが乗っ取られたのが原因なのですが、そのことが一般の利用者には理解できず、「RT希望！～～のサイトを絶対に見ないで下さい！ウイルスに感染します！」みたいなデマもあっという間にTwitter上で広まりまくるという事態に発展してしまいました。

また、今回の件は広告のアドネットワークのセキュリティについて、一度乗っ取られると多数の被害がサイトを横断して一気に発生するため、通常以上にセキュリティに気をつけて運営しなければならないということを改めて認識させてくれました。「そもそも変なサイトは見ないから」という理由でアンチウイルスソフトをインストールしていないノーガード戦法はやはり危険です。

アンチウイルスソフトの更新期限が切れているであるとか、インストールしてあるだけで実際には起動していないであるとか、そういう事態にならないように、今一度自分の環境をチェックしておきましょう。月並みな結論になってしまいますが、やはり最終的には自分の身は自分で守る、自分のパソコンは自分で守るのが鉄則、セキュリティには常に気をつけましょう、という程度のことしか言いようがありません。不幸中の幸いとして今回の「Security Tool」は感染者に自覚症状が出るからこそ駆除もしようという気になれたものの、本当に恐ろしいのは感染していることもわからないようにするタイプのマルウェア・スパイウェア・ウイルスです。

アンチウイルスソフトが不要な世の中になればいいのですが、まだまだそういうことにはなりそうもありません……。

2010/09/28 12:48追記
マイクロアドから新しいリリースが出ました。

弊社サービスの改ざんに関する影響範囲の一部報道について|マイクロアド
http://www.microad.jp/press/20100928/

改ざん時間帯における最大の閲覧者数は68万人だったそうです。

　この度、弊社サービス”アドサーバーVASCOの一部バージョン“におきまして、第三者による悪意的な攻撃を受け、一部データが改ざんされました。この件に関しては本日一部の報道機関にて、約800万人に影響が上るとの記事が掲載されました。

　弊社の調査による改ざん時間帯における最大の閲覧者数は、68万人であることが判明しております。これら報道は、不用意にインターネットユーザーの皆様の不安を煽るものであり、上記のように訂正させていただきます。
　また、個別のサイト自体が改ざんされ、サイト側に原因があったかのような報道がなされております。悪意あるサイトへの誘導の原因は弊社サーバーが改ざんされたことにあり、個別のサイトが改ざんされた事実はありません。

　本件におきましては、弊社サービスをご利用いただいているお客様、また直接広告をご覧いただいているユーザー様に大変ご迷惑をお掛けしましたことをお詫び申し上げます。今後、二度とこのようなことが起きぬよう体制の強化を図ってまいります。

【本件に関するお問い合わせ】
　　[email protected]　までお問い合わせください。

この記事のタイトルとURLをコピーする