マネー報道 MoneyReport

仮想通貨に特化した自作EAを公開中!仮想通貨FXでMT4&MT5を活用し資産運用中!

ウイルス拡散(>_<)間借りオフィスを防衛せよ!

フリーランスの日常
あとで読む スポンサーリンク

それは突然に

昨日、間借りオフィスに出社すると何だか見掛けない人が来てセキュリティの説明を行っていた。
今週の月曜、火曜はオフィスには出ていなかった。

私はWebサイト開発を本業にしているフリーランスだが、間借りさせてもらっているオフィスの先は業種はIT関係とかではなくて、全然別業種。
どちらかと言うとITリテラシーはそれほど高くない業種になっている。
でもそんなオフィスでセキュリティーの話題が出ているので

「今日はどうしたんだろう?」

と思いつつ、途中から話題に入ってみた。

「セキュリティーの話をされていますが、何か問題でも起きたんですか?」

と聞くと

「メールがログイン出来なくなって、スパムメールを大量発送されて、しかもオフィスのパソコンに脅威も見付かったんですよ!」

との驚きの説明!

「ちょっとちょっと、かなりマズイ状況じゃないですか!」

という事で更に話を聞く事に。

メール乗っ取られ

まずはオフィスで使っているメールが軒並み乗っ取られたとの事。

気付いたのは今週の月曜日。
個人のメールアドレスがログイン出来なくなっているのに気付いた。
いつも使っているパスワードを入れてもログイン出来なくなっていた。
他の人にも確認するも、皆ログインできない。
試しにオフィシャルのメールアドレスも確認してみたら、そちらもログインできなくなっていた。

色々と確認しているとプロバイダーから連絡が来た。

「あなたのメールアドレスから大量のスパムメールが送られているので、メール送信を出来なく制限を掛けた。心当たりはあるか?」

との連絡だったとのこと。
書面で届いていたので迅速な対応をプロバイダーが行ってくれていたようだ。
プロバイダーに確認してもらうと、各メールアドレスのパスワードが最近変更され、それ以降大量のスパムメールをまき散らしていたとのこと。
プロバイダーに依頼し、パスワードを変更してもらい再度メールにログイン出来るようになった。

確認するとメールアドレスから簡単に類推できるパスワードを使っていたとのこと。
全てのメールアドレスのパスワードを強固なパスワードに変更し、その後は不審な動きは出ていないとのこと。

発見された脅威

上記の事件が起き、関係各所にスパムメールが飛んだ事について電話で謝罪をして回ったとのこと。

その後、「念のため」という事で各自のパソコンに入っているウイルス対策ソフトでフルスキャン(HDD全部のスキャン)を行ったところ、オフィス内で使っているパソコンで脅威が見付かったとのこと。
脅威?
具体的に聞くと

「ウイルススキャンを掛けたらAのパソコンにウイルスが2個、Bのパソコンにウイルスが8個。合計10個検出されたんだよ!」

との洒落にならない回答(>_<)
そんなウイルスに感染されたパソコンがぶら下がっているLAN(ラン。オフィス内ネットワークの事)に私のMacBookAir(Windows10)を繋いだりしたらあっと言う間に感染しちゃうじゃないですか(=_=;

「分かりました。調査します。具体的にウイルスチェックのログを見せて下さい!」

と、一応自称開発者の私が名乗り出る。
どうもウイルスが検出された事の、事の重大性を認識している人が誰もいない(>_<)

「まずウイルスが検出されたとの事ですが、社内にある全てのパソコンがいまだ危険な状態です。同じLANに繋いでいるパソコン全てが感染した疑いがあります。全てのパソコンでウイルスチェックのフルスキャンを掛けて下さい。」

と依頼した。
既にウイルスチェックが終わっているパソコンが3台。残りはすぐに実行してもらい始める。

パソコンAのウイルス検出ログから見せてもらう。
使っていたウイルス対策ソフトは「ウイルスセキュリティZERO」との事。

ウイルスセキュリティZERO Windows 10対応

ウイルスセキュリティZERO Windows 10対応

無料のウイルスソフトとかじゃなくて良かった、と胸をなでおろしつつログを見ると

2つのファイルが感染していた。

  • BundleOfferManager.dll
  • _Setupx.dll


感染ファイルが「BundleOfferManager.dll」でウイルス説明が「Unwanted-Program」。
BundleOfferManager.dllのファイルから調べてみた。

"bunndleoffermanager.dll" とは?
このデータベースには 27 個の異なる bunndleoffermanager.dll という名前のファイルがあります . You can also check most distributed file variants with name bunndleoffermanager.dll. ほとんどの場合、このファイルは製品 Bunndle Offer Manager の一部です。 ほとんどの場合、Bunndle, Inc. 社によって開発されました。 ほとんどの場合、このファイルには Bunndle Offer Manager v2.0.0.7 という説明があります。 集計された評価は 5(5) つ星です (4 件のレビュー)。このファイルはダイナミックリンクライブラリです。このライブラリは実行中のプロセスから読み込まれ、実行されます。


bunndleoffermanager.dll とは? | System Explorer

という事でBunndle, Inc. 社が作っている製品「Bunndle Offer Manager」の一部との事。
特段、ウイルスが作ったファイルと言う事ではなさそう。
ただこのファイルがウイルス感染したのかな?

続いてウイルス説明の「Unwanted-Program」について調べてみると・・・


ウイルスセキュリテZEROのウイルス検査で二つのウイルスが発見されたのですが…
一つ目は is an Unwanted-Program(175fc1910) というもので、三つ見つかりました。



僕も同じような事が最近ありました。
同じウイルスセキュリティZEROで、
僕も"is an Unwanted-Program(175fc1910)"という名称でした。
直訳したら"プログラム(ファイル)が見つかりません"って意味ですね。
プログラムを削除したのに、レジストリの設定情報に謝って残っている場合はウイルスとして検知しますので心配ありません。


ウイルスセキュリテZEROのウイルス検査で二つのウイルスが発見... - Yahoo!知恵袋

という事で問題なし。

もう1つが「_Setupx.dll」でウイルス説明が「AdWare」とのこと。

_Setupx.dllは幅広く使われているファイルのよう。
AdWare(アドウェア)で調べると・・・

アドウェア
アドウェアとは、利用者の画面に企業の広告を強制的に表示させる代わりに、無料で利用できる
ソフトウェアのことです。


アドウェアの操作画面に広告を呼び出して表示するタイプや、WEBページからインストールされ、
WEB上に一定の間隔で広告を表示するタイプがあります。また、利用者のコンピュータ環境や
ブラウザのアクセス履歴などの個人情報を、インターネットを介して収集してそのデータを
他のコンピュータに送るような機能を持つアドウェアもあります。


こういったアドウェアは悪質な場合もあり、スパイウエアと呼ばれて区別されています。
ウイルス対策ソフトには、スパイウエア対策ができるものもありますので、ウイルス対策ソフトは
必ずインストールしておきたいですね。


アドウェア - ウイルス対策ソフト徹底比較「ベストセキュリティ」

という事で、広告のポップアップが何度も出たりする様な悪質気味な広告を出したりするのがアドウェアの様です。
こちらも駆除出来たとの事なのでまぁ、大丈夫なのかな?

Bの脅威

続いてはパソコンBで見つかった脅威について確認する。
Bの方は8個も見つかったとの事なので、こちらが感染源でBからAに観戦した事が疑われる。

Bのウイルス駆除のログを見ようとするも存在しない(-_-;
なんで?
ウイルス駆除した場合であっても、「保存」ボタンを押さないとログを保存しないと言う、とんでもない仕様になっており愕然としたが、軽くスキャンをして止めてそのログが保存されているフォルダを突き止めたら火曜日の朝に作られたログがあった。

ウイルスチェックをしたタイミングを確認すると、月曜日の夕方にスキャンを掛けて帰り、火曜の朝に出社してマウスを触ったら、ウイルススキャンが終わったとのこと。
きっと、パソコン自体がスリープとかになっていたのかもしれない(^-^;

で、その火曜朝に終わったウイルススキャンのログを見ると確かに8個駆除した記載があった。

0X45RJ98ER.TXT


という感じでどれもtxt(テキストファイル)が駆除された対象だった。
ウイルスがテキストファイルであるのはあまり考えにくい。
ウイルスの説明を読むと「Cache.DoubleClick」とか全て「Cache.」の文字が入っている、まぁ調べるまでもなくブラウザのキャッシュファイルだ(-_-;

調べてみると、悪意のありそうなキャッシュファイルを駆除対象として駆除する場合もあるとのこと。
まぁキャッシュはブラウザで色んなサイトを開けばそこかしこで保存されるファイルなので、特段気にしなくても良さそうだ。

Bの脅威はCache(キャッシュ)だけであった。

推測

ここからは私の推測になるが、今回起きたメールサーバー乗っ取り事件とウイルス脅威発見事件は、多分関係ない

メールサーバーは弱そうな法人を狙っている中で引っかかってやられてしまったのだろう。
ただ、メールもメールソフトで使っていなくて、Webメールとしてブラウザ上でしか使っていないとの事で、しかもHTMLを自動で開いたりする設定にはなっていなかったとのこと。
今回のメール乗っ取りがきっかけになって、オフィスのパソコンにウイルスが感染したとは考えにくい。

Bの脅威はほぼ問題ないレベル。
Aの脅威は1つは「ファイルが削除されてて無いよ」というだけだし、もう一つも「アドウェア」なので特段今回のメール騒動は関係ないだろう。
多分、ずっと昔にブラウザで変なサイトを開いてしまって、あわてて閉じたが、アドウェアだけインストールされてしまったのではないかと思われる。

聞けば、ウイルスチェックのフルスキャンはパソコン買ってすぐに一度かけただけで、ずっと掛けた事がなくて、今回たまたま騒ぎになったから念のためフルスキャンしたら見つかったというだけの話。

なんだい、メール乗っ取り事件はウイルス感染と関係ないじゃない(^o^;

また、他のフルスキャンを掛けてもらったパソコンもどれもウイルス感染はなし!
という事で社内LANの安全が確認できたので、それから私のMacBookAirをWi-Fiで繋ぎましたとさ。

ただいずれにしても、ITリテラシーの高くない人達には何が起こったのか分かりにくい事件であった。

「マネーさんいてくれて良かったよ!」

と昨日は声を掛けてもらった。
私も間借りしている身なので、何かしら恩返しが出来たらと思っていたので、活躍できる場面が出来て良かったか(^-^)v

まとめ

  • メールアドレス乗っ取り事件は、簡単なパスワードだったのが原因。メールアドレスのパスワードも強固な物を使うようにしよう!
  • ウイルス感染があったが、ずっと昔から飼っていた様なもので、今回の事件とは関係なかった。
  • ウイルス対策ソフトのフルスキャンは月に一度は掛けて、安全を確認しよう!