SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

ブラウザーが乗っ取られ、変な検索エンジンが表示されます。削除しても表示されます。どうしたらいい?

この記事をシェア
身代金要求ウイルス(ランサムウェア)に感染し、ファイルが開けなくなりました。要求通りに振り込む方が良いのでしょうか。
 

A

ブラウザーになぜか見知らぬ検索エンジンが表示されるようになり、削除しても設定を見直してみても元に戻らずしつこく表示される……それは「ブラウザー・ハイジャッカー」に乗っ取られています。対処は簡単ではありませんが、解決できます。順を追って説明しましょう。

インターネット上には便利な無料ツールやサービスがたくさんあり、多くの人はその恩恵にあずかっています。しかし、それらが「無料」であるのは多くの場合、別の形で対価が得られるような仕組みを活用しているからです。

無料化に当たっては、表示回数やクリック数に応じて掲載料が支払われる広告の掲載や、提携プログラムのインストール、会員登録、SNSへの書き込み、他のユーザーへの紹介、有償の付加サービスの勧誘などに応じた成果報酬の受け取りなど、数多くのやり方があります。

それらの大半は健全なものですが、中には悪質なものも含まれています。例えば、マルウェア感染させて個人情報を窃取したり、ボット化により遠隔操作してスパムメールを一斉配信したりする場合もあります。ですが、ここで取り上げる「ブラウザー・ハイジャッカー」は、そうした不正プログラムとは少し異なり、完全に有害とは言い切れない微妙なプログラムをブラウザーに組み込んでいます。

症状としては、無料ツールのインストールに紛れるなど、何かの拍子に見知らぬプログラムがダウンロードされ、勝手に検索エンジンやホームページの設定が変えられて自動的にブラウザーに表示されるようになる、というものです。これは、プログラムとして見れば、不正な挙動を行っているわけではありません。変更後の検索エンジンも一応の機能を持ち合わせており、ユーザーが検索できなくなってしまうわけではないのです。

しかし、検索エンジンはインターネットを利用する上で、最も重要な役割を担っています。この部分を勝手に差し替えられ、一度組み込まれると簡単には元に戻すことができないとなると、実用上において不都合であるばかりか、心理的にも不愉快です。そこで、こうしたプログラムを一般的なマルウェアと区別して「アドウェア」「リスクウェア」「グレイウェア」などと呼んでいます。

「ブラウザー・ハイジャッカー」の対処法

「ブラウザー・ハイジャッカー」の多くは、プラグインやツールバー、アドオンなどの形でブラウザーに組み込まれています。場合によってはブラウザーの設定を変えたり削除したりすることで、ある程度簡単に削除し修復できるものもありますが、中には相当厄介なものもあります。

また、セキュリティ対策ソフトによって検知される場合もありますが、以下では、削除や修復が容易ではなく、かつ、万が一検知されない場合を想定して、一通りの対処法をまとめておくことにします。

「ブラウザー・ハイジャッカー」は、ブラウザーの設定、プログラムのインストール、ツールバーやアドオン(拡張機能)、プラグインへの組み込み、レジストリの書き換えといった4項目に影響を及ぼすものです。そこで対処法もこの4項目に分けて説明します。

(1)ブラウザーの設定の変更
(2)プログラムのアンインストール
(3)ツールバー、アドオン(拡張機能)、プラグインの無効化、削除
(4)レジストリの変更、削除

(1)ブラウザーの設定の変更
いつも利用しているものとは異なる検索エンジンがブラウザーに表示されてしまうのを解消するためには、第一に、ブラウザーの設定の変更を行います。「規定のブラウザー」や「ホームページ」の設定などが変更されていないかどうかを確認してみましょう。もしも変更されていたならば、試しに再度設定を行ってみましょう。

(2)プログラムのアンインストール
不審な検索エンジンはアプリケーションとしてインストールされているかもしれません。コントロールパネルからインストールされているプログラム一覧を表示させ、覚えのないプログラムが知らない間に含まれていないかどうかを確認します。もしも見つかったならば、アンインストールを試みましょう。

(3)ツールバー、アドオン(拡張機能)、プラグインの無効化、削除
アプリケーションのみならず、ツールバーやアドオン、プラグインとしても組み込まれていることが予測されます。規定の検索エンジンや検索バーに見知らぬ項目が追加されていないかどうかを確認してみましょう。もしも見つかったならば、削除してみましょう。

(4)レジストリの変更、削除
もしかすると(1)から(3)までをすでに行っているにもかかわらず、それでも身に覚えのない検索エンジンがまだブラウザーに居座っている場合があります。この場合、レジストリを編集する必要があります。

例えば、InternetExplorer(32bit版)を利用しているならば、「レジストリエディター」(regedit)で「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs」を探し出し、その「Tabs」の内容(データ)を確認してみましょう。「Tabs」は「res://ieframe.dll/tabswelcome.htm」が初期値ですので、別の表記になっているならば、元に戻します。

例えば、InternetExplorer(32bit版)を利用しているならば、「レジストリエディター」(regedit)で「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs」を探し出し、その「Tabs」の内容(データ)を確認してみましょう。「Tabs」は「res://ieframe.dll/tabswelcome.htm」が初期値ですので、別の表記になっているならば、元に戻します。

また、あちこちに紛れ込んだdllなどもあるかもしれません。この書き換えられたレジストリにある文字列、例えば「babylon」や「delta」などをregeditで検索して、同じように書き換えがないかどうかをチェックします。IE以外の他のブラウザーについては、各社のサポートページなどに対処法がありますので、検索して探してみてください。

なお、レジストリの編集上の注意としては、コンピューターの起動ができなくなるなど、致命的なトラブルが起こることも考えられます。必要なデータのバックアップを行っておくなど、十分に準備をした上で実行してください。

<テクニカル・インフォメーション>
これまで発見されたブラウザー・ハイジャッカーは、以下のような名称となっています。

  • AdChoices
  • Astromenda
  • Ask Toolbar
  • Babylon Toolbar
  • Binkiland
  • Claro Search
  • Conduit Search (Search Protect)
  • CoolWebSearch
  • Coupon Server
  • Dealply
  • Delta Search
  • Facemoods
  • Findwinde
  • Funmoods
  • GoSave
  • Groovorio
  • hao123
  • istartsurf
  • Jamenize.com
  • Mindspark Interactive
  • Mixi.DJ
  • MyStart.IncrediBar Search
  • Offers4U
  • Onewebsearch
  • PlayThru Player
  • Qvo6
  • RocketTab
  • Search Assistant
  • Searchassist
  • Search result
  • SearchWeb
  • Search-daily.com
  • Searchgol.com
  • Searchnu.com
  • Searchult.com
  • Snap.do
  • Stamplive
  • Sweetpage
  • Taplika
  • Trovi Search
  • Tuvaro
  • TV Wizard
  • Visual Shopper
  • Vitalia installer
  • Vosteran
  • Yontoo
  • yoursites123

また、ESETが2014~2015年に検出してきたブラウザー・ハイジャッカーには、以下のようなマルウェア名が付けられています。

  • Win32/Adware.1ClickDownload
  • Win32/Adware.MultiPlug
  • Win32/RiskWare.PEMalform
  • Win32/Adware.AddLyrics

このうち特に「MultiPlug」の亜種は継続的に活動を続けているので、とりわけ注意が必要です。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!