消えない請求画面 その9(最終回)

ついに最終回を迎えました。
今回は、検索サイトの広告に注意や有料での駆除などについて解説します。

『相談者に「IPA」のサイトに請求画面の消し方が紹介されているので、検索してください』という助言を相談者にすることがあると思います。

↓↓ それではヤフーで「IPA」と入力して検索してみます。

↓↓ 次に「国民生活センター」で検索してみます。

↓↓ さらに、「請求画面」で検索してみます。

以上で何が言いたいかわかりますね。
検索サイトのスポンサー広告 2012年1月25日(水)(https://soudanskill.com/20120125/381.html)を参考にしてください。

そこで解説したとおり、「スポンサードサーチ」という広告を、それらのキーワードで検索された場合に表示されるように事業者がお金を払って広告を出しているのです。
広告の狙いとして、『「IPA」を検索してくる消費者は「消えない請求画面」の消し方を調べるために検索している』ので、その消費者をターゲットとしていることです
「IPA」の説明がよくわからなかったり、お金を出してでも消したいと思ったり、IPAと思って間違えてクリックしてしまったり、ということ狙っているのです。
ピンポイントをついた広告で費用対効果も高いのではないでしょうか。
そのほかにも、「国民生活センター」のキーワードで検索する消費者は何かトラブルを抱えていて何とかしたい、という心理をついて、何でも解決の広告を打ち出しています。

相談員として注意しておかなければならないことは
相談員の助言で「IPA」を紹介したのにもかかわらず、スポンサーのサイトに行ってしまい、請求画面を消したが料金を請求された、という苦情にならないために、きっちり説明し、伝えるだけでなく、伝わったことを確認することです。

次に、「広告業者の信頼性について」解説します。
ヤフーの審査を通っているので、基本的には詐欺的な業者は可能な限り排除されていると考えても良いと思います。
ここでいう、詐欺的というのは、依頼を受けたのに何もしない等のことで、料金が高いか安いかについての判断は難しいですね。
それでは、今回の場合、料金を支払ったら、どんな対応しているのかについて考えてみます。

スポンサードサーチ
電話1本でアダルト請求画面削除
IT専門技術者が電話1本で入会・登録完了画面を即時削除します。
it.micro-web.co.jp/

「IPA]で検索した場合に出てきたサイトです。
クリックして訪問していただいてもかまいません。
業者に、このサイトで紹介したことの記録を残さないために下記アドレスをコピーするか、ヤフーの検索で訪問してください。
マイクロウェッブ株式会社(http://www.micro-web.co.jp/)・・・http://it.micro-web.co.jp/oneclick/index.html
はい、まともなITベンチャー企業です。

請求画面の消し方の説明として
・当社は進入したプログラムのみを除去しております。
・システムの復元等の危険を伴う行為は行為は行っておりません。
・電話1本で削除します。
・標準作業時間15分
・削除料金は10000円です。削除できなかった場合は料金はいただきません。

要は、私が今まで説明してきたウイルスのみを削除する方法を電話で助言するという一番まともな方法です。
どのようなツールを使用するか分かりませんが、IT企業にとって難しくはないでしょう。
ちなみに、この会社のサイトの説明は分かりやすいので参考になると思います。
他にも同様な作業してくれる業者はあります。料金も1万円程度のところがほとんどでしょう。
価格競争になれば5000円ぐらいもあるかもしれませんが、5000~10000円という料金であれば、こんなものではないかなと思います。
もっと突っ込んでいえば、私でも有料で作業してあげることもできるレベルですし、近隣であれば、出張料金をもらって作業するということもできますね。
つまり、自力で作業するか有料で作業をしてもらうかというパソコンの調子が悪くなったときの一般的な対策になります。
なお、もしかするとプロバイダーなどで無料相談できるかもしれません。
以前は、ここまで業者は広告を出していませんでしたが、消えない請求画面の苦情が多くなっていることをチャンスと見て広告をたくさん打ち出しているのかもしれません。
需要と供給ですね。
業者が逮捕されたといっても、根本的な解決にはなっておらず、この被害はまだまだ続くと思います。

さて、もう1つ、有料で請求画面を消してくれる業者を紹介します。

業者名は「トレンドマイクロ」です。
いわずと知れたウイルス対策ソフト「ウイルスバスター」を作っている超有名企業です。
トレンドマイクロが2月から「おまかせ!不正請求クリーンナップサービス」を開始しました。

※パソコン1台へのツール提供1回につき7,980円(税込)です。
※本サービスをご利用頂いた後、同様の不正請求画面が再発する場合には、サービスご利用後、3日以内であれば、無償でご対応させて頂きます。(作成されたレジストリ、ファイルが、クリーンナップツール提供日以前のものである場合に限る)

おそらく前回紹介した「ワンクリックウェア駆除ツール」と同じようなツールをトレンドマイクロが作って有料で提供していると思います。
トレンドマイクロであれば、消費者に紹介しても問題はないのではないかと思います。
料金も7980円なので妥当ではないでしょうか。
トレンドマイクロHP
http://jp.trendmicro.com/jp/home/
これだけ有用なソフトなのにトップページには表示されていません。
TOP>個人のお客様/ホームオフィスのサポート情報>ウイルスバスターの一番下の右端の「不正請求画面でお困りの方」>おまかせ!不正請求クリーンナップサービス
http://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/service/index.html?cm_sp=Sup-_-oma-_-cleanup_top

 

「デジタルデバイド」という言葉を思い出します。ITの知識の有無が収入の格差を生み出す、まさしく知識があれば自力で対策できるし、知識がなければお金を支払うことになるし、最悪の場合は消えない請求画面の業者にいわれるがまま数万円のお金を払ってしまい画面も消えないという金銭的な被害を受ける、ということになります。もっとも、知識があれば消えない請求画面に引っかかることもないと思います。

最後に悪質業者に個人を特定されるかということについて確認しておきます。
パソコンでサイトを閲覧した場合は、IPアドレスやプロバイダ、市町レベルでの所在地、使用しているパソコンの環境(ブラウザー・画面の解像度・OSなど)などの情報がサイトに記録されます。これを環境情報といいます。通常、どのパソコンでも環境情報を出しています(環境情報を吐き出さずに匿名接続する方法もありますが省略します)。
簡単にいえば、「個人→プロバイダ→サイト」というルートをたどります。
したがって、「プロバイダ→サイト」では個人を特定することはできません。
しかし、「個人→プロバイダ」では個人を特定することができるので、必要があれば、裁判でサイトがプロバイダに情報開示を求めることができます。
プロバイダ責任法ですね。
したがって、正確にいえば、正しい手続さえ踏めば個人を特定することは可能です。
悪質業者は、この点をついて知識のない消費者を脅すのです。
ご存知のとおり、悪質業者が裁判をしてまで情報開示請求をすることはありませんので、消費者には個人情報は知られていないと助言すれば問題ないです。
ただし、プロバイダが分かるので、会社や大学が独自のサーバーを使用していた場合、会社名や大学名がプロバイダの欄に表示され知られてしまいますので留意しておいてください。
自分のパソコンが吐き出している環境情報を確認するサイトがいくつかあるので、その1つを紹介します。

株式会社シーマン
http://www.cman.jp/
サーバー監視/ネットワーク監視【無料】>サーバーメンテ支援>IPアドレス確認
http://www.cman.jp/network/support/go_access.cgi

これだけの情報が吐き出されていることを知っておいてほしいと思います。

以上で、「消えない請求画面」のシリーズが完結しました。
表面的な情報に惑わされず、真実を知ることの大切さを感じていただけたらと思います。
そして、一人では知ることのできない相談現場で実際に活用できる情報というものを知っていただけたことを

消えない請求画面 その8

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回は、「①フリーツールでスタートアップやプロセスを除外する」方法について解説しました。
今回は、最も核心部分である「②フリーツールでウイルスを削除する」について解説します。

一般的に日々ウイルスが作られており、ウイルス対策ソフトの会社も定義ファイルを頻繁に更新して対策しているところですが、急を要するものや特殊なもの、一般向けに特定のウイルスに対する対策ソフトを提供していることがあります。
それと同じように考えると、「消えない請求画面」を起こすウイルスに対する対策ソフトがあると考えれば自然だと思います。
その方法は至って簡単で、自分でできる場合は無料です。
自分でできない場合は費用を支払ってやってもらうことになりますが、それについては次回に解説します。

消えない請求画面を起こすウイルスを削除するフリーソフトは
「ワンクリックウェア駆除ツール」です。
前回紹介した「スタートアップチェッカー」を提供しているサイトのフリーツールです。
ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
ワンクリックウェア駆除ツール
http://fos.sitemix.jp/blog/studio/oneclick

本ソフトウェアはワンクリックウェア(*1)を駆除するためのツールです。
主にmshtaやvbsを悪用したワンクリックウェアに対応しています。
*1:ワンクリックウェア
ワンクリウェアとも呼ばれます。(ワンクリック詐欺、4クリック詐欺で使用されています。)
にアダルトサイトで感染し、ポップアップで請求画面を延々と出し続ける悪質なソフトウェアの事です。
ウイルスとは異なるため、ウイルス対策ソフトでは駆除出来ない場合が多々あります。
(注意事項)
①XPの場合のみ .NET Framework 3.0 以降 を先にインストールしておく必要があります。
(Vista以降はOSに標準添付されています。)
②駆除ツールの起動時(インストール時含む)にエラーが出る場合、適切なバージョンの.NET Frameworkがインストールされていません。
③一部のセキュリティ対策ソフトが、駆除動作を妨害するようです。駆除出来ない場合は、セキュリティ対策ソフトの除外設定に本ソフトウェアを登録するか、一時的にセキュリティ対策ソフトを停止した上で、再度実行してみてください。
④本ソフトウェアはワンクリックウェアの疑いがあるファイルを検出しますが、最終的な判断は利用者に委ねられます。
(検出されたファイルが必ずしもワンクリックウェアとは限りませんので悪しからず。 )

提供サイトでフリーソフトの使用方法を読めば使い方は分かると思います。
注意事項で使用するときに気づいたことをメモしておきます。
①②このツールはWindowsXP以降のバージョンで有効です。なお、「 .NET Framework 3.0」というマイクロソフトのソフトがインストールされていないと動かないので別途インストールしてください。私の場合もインストールされてませんでしたが、そのときに表示された指示通りに作業したらすぐにインストールできました。
③このソフトをインストールしたり、動かしたりすると、もともとインストールされているウイルス対策ソフトが警告を出すことがあります。その場合は、警告が出てもOKしたり、ネット接続を一旦切ってウイルス対策ソフトを終了させるなどの対応をしてください。
④駆除作業中に単なる実行ファイル(.exe)をウイルスとして検知します。例えば、「スタートアップチェッカー」や「ワンクリックウェア駆除ツール」をインストールするためにダウンロードしたファイルなどを検知しますが、確認のうえ削除するか決めてください(残しておいても削除してもOK)。
※WindowsXPより前のバージョンであるWindows2000やmeだったらどうするのかという点については、古いOSを使用すること自体が問題であり、早く買い替えをすすめます。対策としては初期化するか「①フリーツールでスタートアップやプロセスを除外する」という方法になると思います。

とにかく、「ワンクリックウェア駆除ツール」がうまくインストールできたのなら後は簡単です。
駆除ソフトを起動させればいいのです。

それでは私のパソコンでの作業画面をお見せします。

↓↓ 「タスクスケジューラー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「スタートアップレジストリー」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「データフォルダ」から、ファイル名に英数字が羅列された「.vbs]ファイルが検出されました → ウイルスなので削除します

↓↓ 「データフォルダ」から、「candydolls_1326679406.hta」という「.hta」ファイルが検出されました → ウイルスなので削除します

以上のように、「.vbs」「.hta」ファイルを検出し、削除しました。
結局、検出されたソフト名が具体的な名前になっているのは「candydolls_1326679406.hta」の「candydolls」ぐらいですので、初期の頃と比べようがないぐらい見つかりにくいですし、ソフトが存在する場所も深いところで分かりにくくなっています(初期の場合はWindows32というフォルダに「.exe」「.bat」の2つだけだったのですぐに分かりました)。

この駆除ソフトを使用したときに作成される「駆除ログ」も紹介します(実験のため駆除はせずにログをとりました。したがって、本来は「駆除しませんでした」という部分が「駆除しました」になります)。

全ユーザー用のスタートアップフォルダを調査
→検出されませんでした。
————————————————————
カレントユーザー用のスタートアップレジストリを調査
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
全ユーザー用のスタートアップレジストリを調査
→検出されませんでした。
————————————————————
データフォルダを調査
C:\Documents and Settings\All Users\Application Data
→検出されませんでした。
C:\Documents and Settings\Administrator\Application Data
→[jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93] C:\Documents and Settings\Administrator\Application Data\Microsoft\jumphiphop_805682771909878d5fd9d83043ecba27eb1ca889a587bd93.vbs
→駆除しませんでした。
→[jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f] C:\Documents and Settings\Administrator\Application Data\Mozilla\jumphiphop_e6a8f21d0ad2e8727f1159397bd5f0bcc4c32da33cbe7e5f.vbs
→駆除しませんでした。
C:\Documents and Settings\Administrator\My Documents
→[candydolls_1326679406] C:\Documents and Settings\Administrator\My Documents\ダウンロード\candydolls_1326679406.hta
→駆除しませんでした。
————————————————————
調査が完了しました。

前回、「今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。」と解説しましたが、上のログのとおり、単純なスタートアップフォルダからは検出されず、深いレジストリーに登録されていますので表面的には分かりません。
今回のウイルスは、「.vbs」ファイルが3つと「.hta」ファイルが1つの合計4つのファイルを削除することで駆除できました。
要するに、ウイルスが「.vbs」「.hta」で動いていることが、以前に比べようもないぐらいに悪質に「進化」したのです。
ちなみに、この「.vbs」「.hta」はWindowsのシステムを利用して悪さをしますので、Macや携帯電話、iphone、Androidなどでは感染しません。

※追記(3/21)※Androidでは、これとは別のタイプの消えない請求画面が確認されています。
「スマホを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も(2012年1月11日)」
トレンドマイクロのセキュリティブログより
http://blog.trendmicro.co.jp/archives/4714

駆除作業自体は、ほんの2-3分の作業です。「フリーソフトのインストールを含めたこの作業」と「リスクのあるWindowsの復元や初期化の作業」と比べて、どちらが安全で確実で簡単かは一目瞭然だと思います。
こんな簡単な方法があるのに、堂々と紹介できないのが、消費者センターなどの公共機関のつらいところですね。
相談員として、こういう事実を知った上で、IPAを紹介してほしいと思います。また、相談者に少々パソコンの知識があるのであれば、『自己責任だけれども「ワンクリックウェア駆除ツール」というものを使う方法もあるので、ご自身で調べてください』と誘導することも、ぎりぎりセーフなのではないかと思います。

それよりも、今回の記事を読むと、IPAを本当に紹介してもいいのかという自己問答になるかもしれません。
真実があるのに紹介できないジレンマ。
しかし、本当の真実は、相談員のコミュニケーションテクニックでクリアできるのです。
私が相談を受けたとすれば、IPAだけでなく、今回の方法や有料の方法も含めて、消費者にいくつかの選択肢を情報提供して、消費者のレベルに応じて、消費者自身で選んでもらうように説明します。
それが、消費者基本法にもうたわれている「情報を知る権利」であり、「選択する権利」だと思います。

そのためにも、相談員は日々勉強し、日々努力することが求められるのです。
このサイトの読者であれば、そのことに気づいていると思います。
だからこそ、多くの相談員にこのサイトを知ってもらいたいという思いもあり、継続しています。
そして、このサイトを見ているだけでも、格段にスキルは向上しているのではないかと確信しています。

次回は、検索サイトの広告に注意、有料での駆除について解説します(おそらく、このシリーズの最終回です)。

消えない請求画面 その7

ウイルスの削除方法
①フリーツールでスタートアップやプロセスを除外する
②フリーツールでウイルスを削除する

前回、「Windowsの復元」はリスクがあるという話をしました。
ここからは、「Windowsの復元」を使わずに、消えない請求画面を消す方法を解説したいと思います。
ただし、この方法の多くはツールとしてフリーソフトを使用します。
中立機関である消費者センターが相談者にフリーソフトを紹介することは、「特定のメーカーや個人を紹介する」「信頼性が不明である」という点で扱えないという現実があります。一番簡単な削除方法の紹介ができずに、リスクのある「Windowsの復元」を紹介しているということを知ってもらいたいのと、この方法を遠まわしに上手く紹介できる話し方を選択することもありかなとも思ったりもします。まずは、ネットの世界での本当の正解を知った上で、IPAを紹介する選択をしていることを知ってほしいと思います。

今回は「①フリーツールでスタートアップやプロセスを除外する」です。
この方法が可能であれば一番簡単であり、ある程度パソコンの操作をできる消費者であれば、電話で10分程度で説明できます。その方法は、「消えない請求画面 その5」(https://soudanskill.com/20120116/357.html)で説明している方法が基本となります。ただし、そのときにも書きましたが、初期の頃と違って進化しており、悪さをしているファイルを特定するのが難しいということです。逆に考えれば、悪さをしているファイルさえ特定できれば対策が簡単であるとも言えます。

その記事を一部抜粋します

まず、ファイルの名称が文字の羅列になり、保存場所も深いところに入っていて判別しにくく、また、「hta」という複雑な仕組みを使って裏で動くようにしている、ことです。したがって、削除すべきファイルを発見して削除するのが困難になっています。
裏で動いているので、「システム構成ユーティリティ」の「スタートアップ」に表示されていない場合が多いです。
削除すべきファイルは、「***.vbs」「***.hta」がメインとなります。
それでも、表に出ている部分もあり、Windowsのタスクマネージャーのプロセスの中に、もろに、「mshta.exe」と表示されていることもあります。そのプロセスを終了すれば、画面は消えて、さらに二度と表示されない場合もあります。

それでは実験でウイルス感染させたパソコンのタスクマネージャーをお見せします。

色を反転させている箇所に「mshta.exe」というプロセスが存在します。消えない請求画面を実行させているウイルスプログラムです。
「mshta.exe」を選択して「プロセスの終了」をクリックすると、請求画面は消えました。
しかも、たまたま今回は、この操作だけで二度と出現することはなくなりました。
とりあえずは対処できたわけですね。
ただし、プログラムが動かないようになっただけで本体は削除されたわけではありませんが、そのまま何もしなくても実害はありません。

では、スタートアップ(パソコンを起動させたときに自動的に起動するソフト)はどうなったかというと、システム構成ユーティティを確認したところ、それらしいものは見つかりませんでした。進化して、単純なスタートアップフォルダには常駐しないようになった可能性があります。

ここまでは、フリーのツールを使わなくても対応できました。

それでは、ここでフリーソフトを1つ紹介します。
「スタートアップチェッカー」です。
ソフト工房「空の牙」というサイトがフリーソフトを公開しています。
管理人は個人でしょうか、よく分かりません。
このフリーソフトはネットでも絶大な人気と信頼があります。
とはいっても、マイクロソフトやモジラ(FIREFOXやサンダーバード)のような大会社ではないので、行政が紹介することには躊躇してしまうと思います。
(次回、②で紹介する予定の「ワンクリックウェア駆除ツール」も同じところが公開しています)

ソフト工房「空の牙」
http://fos.sitemix.jp/blog/
「スタートアップチェッカー」は2種類あって、どちらも同じ機能です。
スタートアップチェッカー
http://fos.sitemix.jp/blog/studio/supchk
スタートアップチェッカー Classic
http://fos.sitemix.jp/blog/studio/supckcl

このソフトをパソコンにインストールすると、スタートアップに登録されているソフトやプロセス(現在動いているソフト)が一覧表で示されます。
また、そのソフトが存在する場所や作成したメーカーなども表示されます。
スタートアップのリストの中からソフトを選び「無効化」をすると、パソコン起動時には起動しなくなります。
(ただし、重要なソフトを無効化してしまうとパソコンが動かなくなる可能性もあります。また、パソコンの起動が重い場合はインストールされているソフトがたくさん起動状態になっている可能性もあるので、取捨選択するとパソコンが軽くなります)

それでは、スタートアップとプロセスの画面をお見せします。

↓↓ スタートアップ(特に怪しいソフトは見当たりません・・・今回画面保存を忘れていたので以前に感染させたものでスタートアップチェッカークラシックによる)

↓↓ プロセス(「mshta.exe」が赤字で警告と表示されています→無効化すればよい・・・今回感染させたものでスタートアップチェッカーによる)

以上、最初に紹介したコマンドを入力して自力で作業する方法もありますが、フリーソフトのツールを使用すると作業がわかりやすくなるという特徴があります。
さらに、自分のパソコンの状態を知ることもできます。

また、「スタートアップチェッカー」には「スタートアップウォッチャー」という機能もついており、これを常駐しておくと、スタートアップに登録された瞬間に、画面右下に、「新たに登録されました」というお知らせが表示されます。

今回感染させたウイルスはスタートアップフォルダには登録されませんでしたが、実はスタートアップレジストリーというところに登録されています。
それは次回に解説します。