このページについて

「マイクロソフト セキュリティアラーム エラーナンバーDW6VD36」などとパソコンが突然しゃべりだし、ブラウザに警告画面が表示された場合のチェックポイントと対処方法の紹介です。

 プライバシーポリシー / 免責事項
更新履歴 [ 全て表示戻す ]
2018.08.18: タスクマネージャー起動時のショートカット「Ctrl+Shift+Esc」同時押し追記

2018.08.16: 初出


インターネット利用中、リンクのクリック操作などで以下のような警告画面が表示され、PCが突然しゃべり出した場合のチェックポイントや対処方法を紹介したページです。

表示される警告画面の一例表示される警告画面の一例
▲クリックで拡大

エラー # DW6VD36
すぐにお知らせください、: 03-4579-5825
このページを閉じると、コンピューターへのアクセスは無効となります。
ウイルスやスパイウェアに感染しています。

最近よくある「オンライン詐欺」の誘導ページかと思いましたが、今回は
 ・PCが喋りだしたり、
 ・ウイルスが検出されたり、
 ・マイクロソフトサポートそっくりなページを用意していたり・・・・

と、(オンライン詐欺である事には変わりはないのですが) 手口がかなり巧妙化したものに遭遇してしまいました。

今回はウイルスが検出された

今回は (子供だましレベルのものですが) ウイルスが検出されました。検出されたのは「TechBrolo」というトロイの木馬に分類されるウイルスでしたが、ブラウジング中はセキュリティソフトやUACは一切反応せず、ブラウザ終了後にはじめてウイルス検出できるという感じで、検出に少しだけ特殊な手順が必要でした。

チェックポイント

まえおきここまで。
以下、まずは今回遭遇した「オンライン詐欺ページ」の挙動紹介です。

最初に表示されたWebページの特徴

PCから発せられた音声

警告画面が表示された際、PCは以下のようなメッセージを勝手にしゃべりだしました。

マイクロソフト セキュリティアラーム エラーナンバーDW6VD36
あなたのPCは、ダイニバンクトロイヤに感染しています。
このウイルスは、クレジットカード情報、Facebookのパスワード、その他の個人情報を、リモートIPアドレスを通してハッカーに送信します。
フリーダイヤルで今すぐ当社にお電話ください。
我々のマイクロソフトサポートエンジニアが、お電話でウイルスの削除方法をお教えします。お電話される前にこのページを閉じた場合、我々は当社のネットワークがさらにダメージを受けないよう、パソコンを無効にし、サイバーセキュリティにレポートします。

こちらも、ユーザーの不安を煽るような内容になっています。

ログイン画面が表示された

今回の場合、ブラウザ上で何かしらの操作を行なおうとすると「ログイン画面」のようなダイアログが表示されました。
ログイン画面のようなダイアログ
▲クリックで拡大
これはブラウザ標準の画面ではなく、詐欺業者が用意したログイン画面です。

  • どうやらここにトロイの木馬とキーロガーが仕込まれているようです。
  • ちなみに、これらの画面が表示されている段階ではセキュリティソフトはウィルスを検出してくれません。
  • 手元のPCの場合、ブラウザを終了させた後でウイスルスキャンを行う事で、はじめてウイルスを検出しました。

今回遭遇したオンライン詐欺ページの挙動紹介はここまで。
以下、ブラウザの終了方法やウイルスの駆除方法の紹介です。

スポンサー リンク

警告画面の終了方法

このような警告画面が出た場合、タスクマネージャーからブラウザを強制的に終了させるのが無難です。
ログイン画面のようなダイアログ
▲クリックで拡大
タスクマネージャーでブラウザを強制的に終了させている所。
※タスクマネージャーは「Ctrl+Shift+Esc」同時押しで起動できます。また「Alt+Ctrl+Del」同時押しや、タスクバー右クリックした際に開くメニューからも選択できます。
この時、IEのタスクは「警告画面」のもの、「ログイン画面」のもの、二つが存在しており、両方を終了させる必要がありました。

※何かしらの理由がありタスクマネージャーから終了したくない場合は、以下の手順を行います。

ブラウザ上で警告画面を消す場合

注意: 余計な操作を行わないようにしましょう。
ブラウザ上に「透明ボタン」が配置されている危険性もあります。UACが反応したり、ブラウザが予期せぬ挙動を示した場合、速やかにブラウザを強制終了させましょう。

「キャンセルボタン」は利用せず、右上の「X」ボタンを利用します。
「X」ボタンを利用
▲クリックで拡大

ログイン画面を閉じると、何やら文字化けしたダイアログが表示されます。
文字化けしたダイアログ
▲ここも右上の「X」ボタンを押します。

再び同じメッセージが表示されます。
文字化けしたダイアログ
▲今度は「このページにこれ以上メッセージの作成を許可しない」というチェックボックスが表示されるので、チェックを入れた状態で右上の「X」ボタンを押します。

これで偽のログイン画面を消すことが出来ました。

残った警告画面は、通常操作で閉じる事ができるはずです。
「X」ボタンを利用
▲クリックで拡大
ブラウザのタブについている「X」マーク、もしくはブラウザ右上の「X」マークで開いているページを終了させます。

ブラウザの終了方法の手順はここまで。
ブラウザを終了させた後は、必ずウイルススキャンを行います。

本当にウイルスに感染しているのか

先にも書いた通り、警告画面が出ている段階ではUACもセキュリティソフトも反応しませんでした。 また、ブラウザが起動したままの状態でウイルススキャンを行っても、ウイルスは検出されませんでした。

しかし、ブラウザを閉じた状態で再びウイルススキャンを行と・・・・
表示される警告画面の一例
▲クリックで拡大
ウイルスを検出しました。

ウイルスはJavascriptで作動する古典的なもので、通常のセキュリティソフトで簡単に削除できるものでしたが、上図のように駆除が必要な状態になっていました。

感染したウイルス

トロイ1つと、キーロガー1つ。
いずれもブラウザのキャッシュフォルダ内から検出されました。

まずはJavascriptで作成された Scam(詐欺)ツールが検出されました。
Javascriptで作成された Scam(詐欺)ツールが検出
▲クリックで拡大
Windows Defenderでは、「SupportScam:JS/TechBrolo!rfn」という名称です。

補足: TechBroloについて

このTechBroloというウイルスの分類は「トロイの木馬」となるようです。
「SupportScam:JS/TechBrolo!rfn」の分類は「トロイの木馬」
▲クリックで拡大

「SupportScam:JS/TechBrolo!rfn」の駆除を一旦後回しにしてスキャンを続けると、続いて「許可された脅威」としてキーロガーが検出されました。
「許可された脅威」としてキーロガーが検出
▲クリックで拡大
「許可された脅威」と、何だか恐ろしい事になっていました。

ウイルスの駆除方法

  • ここでも特殊な操作は必要なく、「すべて削除」を選択すれば削除可能でした。

チェックポイント

  • 先ほどのログイン画面(この画像)で、アカウント名とパスワードを盗もうとしているものと思われます。
  • 画面に表示された電話番号に電話をかけると、ログインするよう指示されるものと思われます。

念のため、他のセキュリティーソフトでもチェックを入れてみる

利用中のセキュリティツールでウイルスの検出・駆除が出来た筈ですが、念のため別のセキュリティソフトでチェックを行ってみました。

今回、私が利用したソフト

検出結果

「許可された脅威」としてキーロガーが検出
▲クリックで拡大
ウイルスは検出されませんでした。

※画面には「ウイルスではないが脅威となりうるツール」という意味の警告が表示されています。
※私が自分の意志で「安全である」と判断しインストールしたものなので、ここでは問題視しません。

とりあえずは安心な状態になっている感じです。

ウイルス駆除の後でやること

  • 自身が利用しているパスワードとログインが必要なサービスに「不正なログイン」が発生していないか調査する。
  • 必要に応じてパスワードを変更しておく。
  • 念のため、各種Webサービスへのログインやパスワード入力を24時間ほど控え、ウイルス定義を更新したのち再度ウイルススキャンを行い、他にウイルス感染がない事を確認する。

私のケースの場合、利用中のサービスに不正なログインがあった形跡はなく、感染も最初に検出したトロイとキーロガーの2つだけでおさまっている感じでした。

ウイルスの駆除方法の紹介はここまで。
以下、その他の情報です。

感染経路

前回似たような被害に遭った時と同様でした。
数年間更新されなくなった古いWebページにアクセスした際、これらの警告画面に遷移しました。

今回のケースでは、問題のサイトは2014年頃にドメイン失効、2016年頃にどこかの業者がドメインを買い取り、2017年春以降のドコかの時期から悪質な業者がオンライン詐欺に利用するようになった感じです。

Microsoftのサポートページ

マイクロソフトのサポートを装った詐欺にご注意ください - News Center Japan

マイクロソフトでも、今回のケースのような詐欺ページを把握しているらしく、上記リンクのような警告ページを作成していました。

このページの情報は以上です。