2017.08.16: ウイルス感染が発生するタイプがある旨追記
2017.08.01: 初出
インターネットを利用している時に突然、
マイクロソフトシステム警告
「お使いのコンピュータにウイルスが存在する可能性を検出しました。」
「お使いのコンピュータが危険にさらされる可能性があります。」
などという警告メッセージが表示されてしまった・・・・という場合の対処方法を紹介したページです。
警告メッセージ例
多くの場合、この警告は「有料ソフトを購入させるため」にユーザーの不安を煽っているだけの「オンライン詐欺」なので、無視すればOKです。
このページでは、「詐欺」なのか「ウイルス感染」なのかの見分け方と、詐欺だった場合の警告ダイアログを閉じる手順を紹介しています。
このページの内容
- はじめに
- 警告画面のサンプル
- この画面が出た場合、どうすれば良いのか
- オンライン詐欺とウイルスの見分け方
- 警告ダイアログの消し方
- ブラウザを閉じた後はどうすれば良いか
- 「更新」や「X」ボタンを押すとどうなるか
- この攻撃の感染経路
- 頻繁に、あらゆるサイトでこの警告画面が出る場合
はじめに
注意事項です。最近はオンライン詐欺の手口も巧妙になっており、ウイルス感染を伴う詐欺攻撃も確認されています。
サイト内関連
「マイクロソフト セキュリティアラーム エラーナンバーDW6VD36」と、パソコンが突然しゃべりだした場合の対処方法
※上ページの例では、トロイとキーロガーを仕込まれていました。
以下で紹介している例に酷似している場合でも、ウイルスに感染しているケースがあると思われます。警告ダイアログを消した後は必ずウイルスチェックを行ってください。
警告画面のサンプルその1
5秒間の迅速システムスキャンを実行ています。このページを離れないで下さい.
補足
- 多くの場合、xxxx の部分には ユーザーが契約しているインターネットプロバイダ名 (NTTやOCNなど) が入ります。
- 契約中のプロバイダでウイルスが検知されたようにふるまい、警告を出します。
警告画面のサンプルその2
以下の画面は「サンプルその1」で何かしらのボタンを押した後で登場します。
(その1 と その2 はセットになっている)
Windowsコンピューターが危険にさらされている可能性があります!
- ご注意: Windowsセキュリティによってシステムが壊れていることが検出されました。すべてのファイルシステムは、XXX秒後に削除されます
- 必須: 下の[更新]ボタンをクリックして、最新のソフトをインストールしてスキャンし、ファイルが保護されていることを確認してください。
警告画面が出た時のチェックポイント
- 最初のメッセージは、Windowsまたはブラウザ の「通常の警告ダイアログ」でメッセージが表示されている
- 多くの場合、ユーザーの冷静さを奪うような仕掛けが施されている
- 以下はその一例
- 派手な警告音(ピー! という音)が鳴る
- ウイルスに感染しているという警告が出る
- XXX秒後にデータやファイルシステムなどが削除される、という警告が出る
- 特定のシステムツール や セキュリティソフトの導入を勧めてくる
- ※補足:特定の電話番号を提示し、サポートに連絡するよう勧めてくるタイプもある
警告画面のサンプルと特徴の紹介ここまで。
以下、この画面が出た場合の対処方法など。
この画面が出た場合、どうすれば良いのか
多くの場合、これらの警告は「有料ソフトを購入させるため」にユーザーの不安を煽っているだけの「オンライン詐欺」なので、無視すればOK。
ただ、無視すればOK・・・・と言っても、やはり本当にウイルスや悪質プログラムに感染しているケースも考えられるので、PCの挙動を慎重に観察しながら以下のような操作を行う。
オンライン詐欺とウイルスの見分け方
「オンライン詐欺」の場合
▲クリックで拡大
このように「ブラウザ標準」のダイアログで警告が出た場合、まずはウイルスよりも「オンライン詐欺」であると疑ってみる。
チェックポイント
以下の条件を満たしている場合、「ブラウザハイジャック」と呼ばれる (今どきのPCならばほぼ無害な) 攻撃である可能性が高い。
- ブラウザで Flash や JAVA (javascriptではない) は禁止にしてある
- セキュリティツールは一切反応しなかった。
- UAC (アカウント制御) の警告は出なかった。
- Smart Screenの警告は出なかった。
- 元ブラウザの方は操作不能になっている。
- 警告ダイアログを「X」を押して閉じようとすると、警告が何度も繰り返し表示される。
- 警告が繰り返し表示される際、以下のような変化が生じる。
▲クリックで拡大
「このページにこれ以上メッセージの作成を許可しない」というチェックボックスが現れる。
- これは古典的な攻撃方法で、PCに実害が発生する事は ほぼないかわりに、セキュリティソフトなども反応しない。
- 攻撃者は「セキュリティソフトが反応しない」事を逆手に取り、この手法でユーザーの不安を煽り、有料ソフトの購入を促したり、高額なサポート契約を結ぼうとしてくる。
- 逆に、UAC や Smart Screen、セキュリティツール が反応した時は深刻な攻撃を受けているので、このページの内容は当てはまらない。すぐにウイルスチェックを行い、別の情報を探す。
警告ダイアログの消し方
手順1: 最初のダイアログが出た段階
まずはブラウザ上の通常のダイアログであるかを確認します。
▲クリックで拡大
この場合、ダイアログの見た目や、タスクトレイ、タスクマネージャーなどでチェックします。
※通常、ブラウザからの別アプリの起動は禁止されているか、もしくは UAC や Smart Screen が反応するので、それらを目安に判断します。
補足情報
- 補足1
このダイアログが出ている時は元のウインドウは操作不能になっています。まずは以下の手順でダイアログを終了させます。 - 補足2
タスクマネージャーなどでブラウザを強制終了してもOKです。(手順2~3不要)
手順2: 「X」ボタンでダイアログを消してみる。
▲クリックで拡大
「このページにこれ以上メッセージの作成を許可しない」というチェックボックスが現れたら「単純なjavascriptで作動しているブラウザハイジャッカー」である事が確定なので、チェックを入れてOKを押しても問題ありません。
手順3: ブラウザを終了させます。
以下の画面が出た後は、普通にブラウザを終了できます。
▲クリックで拡大
注意: この時 (2番目の警告画面が出た後) は、ブラウザ内の「更新」や「X」ボタンは押さないようにしましょう。押してしまった場合、悪質なページに強制的にジャンプさせられるか、悪質なプログラムのダウンロードが開始されます。
ブラウザを閉じた後はどうすれば良いか
問題のページを閉じた後、特に必要な操作はありません。
操作手順は以上です。
※まだウイルス感染が心配な場合
- ブラウザのキャッシュ削除と利用中のセキュリティソフトでウイルススキャンを行ってみます。
- 未知のウイルスに感染したかも・・・・という不安が消えない場合は、1~2日ほどインターネットの利用を中止 (ネット回線を遮断) し、その後セキュリティソフトを最新版に更新してからもう一度ウイルススキャンを行ってみます。
- 本格的にウイルスチェックしたい場合
→ Windowsがウイルス感染した後の手動&目視チェック項目まとめ
「更新」や「X」ボタンを押すとどうなるか
実際に以下画面で「更新」や「X」ボタンを押してみました。
▲クリックで拡大
多くの場合、攻撃者が用意した有料ソフトもしくはサポートページにジャンプします。
ジャンプした先は以下
▲クリックで拡大
今回遭遇した攻撃は「Uniblue」というシステムケアツールのダウンロードページにジャンプしました。このページには悪質な仕掛けなどは特になく、一般的なのダウンロードページでした。
ちなみにこの Uniblue はサイト・ツールともに (セキュリティソフトでウイルス反応はありませんが) かなり悪名の高いツールです。もし、今回のケースも含め、似たような警告ダイアログが開いてしまった場合でも このようなツールは不要です。
この攻撃の感染経路
以下の3パターンが多くなっています。
- 更新停止したサイト (特に成人向けサイト) にアクセスした
- 攻撃者が普通の広告配信を利用し不正なURLを忍び込ませた
- ドメイン失効したサイトにアクセスした
(攻撃者が失効ドメインを取得し、攻撃サイトへのリダイレクトを設定した)
一番多いのが「1.」と「2.」の組み合併せ技のようで、更新停止した 成人向けサイトの広告スペースに 攻撃サイトへのリダイレクトが仕込まれたケースを数多く観測しました。(広告を出稿している業者が更新停止サイトを狙っていると思われる)
頻繁に、あらゆるサイトでこの警告画面が出る場合
- フリーソフトをインストールする際、抱き合わせのアドウェアをインストールしていないか?
- hao123、PC Mechanic、secure PC Cleanerなど、評判の悪いソフトをインストールしていないか?
上記に身に覚えがないか、よく思い出してみる。
問題のソフトウェアを削除し、ブラウザのキャッシュ削除もしくは初期化を行ってみる。
あとがき
個人的なお話ですが、2011~2014年頃にブックマークした成人向けサイトを整理していたところ、約7割がサイトまたは該当ページが消滅。そして残ったサイトのうち更新停止しているものの約7割で、今回の「Windowsコンピューターが危険にさらされている可能性があります」の攻撃を確認できました。
やはり「更新停止した 成人向けサイト」の広告スペースを狙った攻撃が多いように感じます。また、いずれのケースも単純なブラウザハイジャックであり、ウイルス感染の被害はありませんでした。
このページの情報は以上です。