by 唐草 [2014/03/19]
メールアドレスが流出した可能性が高まって以来、セキュリティーに関する意識も少しだけ高まった気がする。
そう言えば、タブレットでネットを巡っていると時々妙なポップアップが表示されることがあった。だいたいこんな事が書かれている。
「ウイルスが見つかりました。Androidを清掃しますか?」
普段のぼくならこんなポップアップは絶対に信じない。なんで広告会社のドメインから呼び出されているJavascriptごときがスキャンもせずにウイルスを感知できるんだ。そんな便利で驚異的な技術があったら誰もウイルススキャンソフトなんて入れる必要なんてない。検出できるとしてもTracker Cookieぐらいだろう。Javascriptの偽メッセージなんかに惑わされたりはしない。
でも、ここのところちょっとウイルスに感染しているのではないかという疑念が拭えないでいる。そう言うときに、この手の広告が出ると一瞬心が揺れる。あのサイトを見たときに変な物を落としてしまったのではないだろうか?悪質なスクリプトを実行してしまったのではないだろうか?心当たりが無いわけではないので、心が揺らぐ。
それが、朝一だったりすると正常な操作もできなくなる。
寝ぼけていたこともあり、ポップアップの「はい」をクリックしてしまった。
すると実におもしろいページへと飛ばされた。
見た目は完全にAndroidのシステム画面。URLも"sys.android.security.com"のようなそれっぽい感じ。
そこには検出されたとされるウイルスが表示されている。
あらあら、おもしろいページにたどり着いたものだ。
ページにはまだ続きがある。ウイルスを削除するにはこちらと書かれている。ここまで来たなら乗りかかった船だ。URLを確認してみようじゃないか。場合によっては端末リセットも辞さない覚悟でURLを確認するとGoogleアプリストアに掲載された自称ウイルス対策ソフトのページへと転送された。こんな得体の知れないソフト入れられるか。これこそウイルスじゃないのか?
こうやって、善良な人々が騙されていくのか。
この一連の騒動で得られる教訓は次の3つ。
1.Javascriptは、原則ブラウザ外の情報にはアクセスできない。つまり、個人情報の取得やウイルスの検知は無理。もちろんセキュリティーの弱点を突いてブラウザ外にアクセスできる手段もあるが、その場合はわざわざユーザに通知するようなマネはしない。
2.ウイルス検知通知のページのデザインが、Android 2.x系統のデザインだった。ぼくの端末は、Kit-Katこと4.4世代。UIが全然違うからすぐに偽だと分かる。
3.本当に端末を乗っ取る実力があれば、アプリストアなんかに飛ばされない。
ユーザの不安を煽る方法でインストールを迫るような広告を掲載するのは本当にやめて欲しい。