give IT a try

プログラミング、リモートワーク、田舎暮らし、音楽、etc.

うかつにもGenieoというマルウェアをインストールしかけた話

はじめに

世間でよく聞く「オレオレ詐欺」。
被害に遭った人の話を聞くと「なんでそんな怪しい電話に引っかかるの~?」とよく思いますが、悪い偶然が重なるとあなたもバレバレのトラップを踏んでしまうことがあるかもしれません。


というわけで今回はタイトル通り、怪しいマルウェアをインストールしかけた話です。
僕にとってはちょっと恥ずかしくて情けないエピソードですが、みなさんも同じトラップを踏まないように、という「他山の石」にしてもらうため、公開してみます。

Genieoをインストールしかけた一部始終

このトラブルが起きたのは先月の終わり頃、ちょうど僕が「Everyday Rails - RSpecによるRailsテスト入門」の正式版リリースに向けて一番バタバタしていた頃です。


その頃、僕たち翻訳者チームはRSpec本のベータ版と正式版の差分を見たかったので、PDFのdiffが見られるツールを探していました。
しかもリリース日の数日前で時間の余裕がなかったため、そうしたツールを一日でも早く見つける必要がありました。


で、ネットを検索するといくつかそうしたツールが引っかかります。
僕が開いたのはこんなページでした。


f:id:JunichiIto:20140311064332p:plain:w400


もうオチは見えているかもしれませんが、話を続けます。
このツールの説明を読んだ僕は「ほうほう、ちょっとコレを使ってみようかな」と思いました。


で、ページ内からダウンロードできるリンクを探します。
僕はこの部分に視線を移動しました。


f:id:JunichiIto:20140311064546p:plain:w350


「なるほど、Windows版とMac版があるんだな」
「お、でもこのダウンロードボタンを押せばMac版がダウンロードできるじゃないか。"OS: Mac OSX"って書いてあるし」
「"Version: Latest"ってのがあまり見かけない表示だけど、まあいいか、ダウンロードしよう(ポチッ)」


・・・とやっちゃったわけです。
お気づきだと思いますが、このダウンロードボタンがGenieoというマルウェアの広告だったんです。


しかし、すぐにダウンロードされるわけではありません。
このボタン(というか広告)をクリックすると次のような画面が開きます。


f:id:JunichiIto:20140311065219p:plain:w400


もうねえ、自分でも書いてて情けなくなってしまいました(泣)。
客観的に見れば「おい、このへんでいい加減気付くやろ!!」ってツッコミたくなりますよね。


でも、このときはそう思わないんです。
「早くダウンロードして試さなくては」という焦る気持ちと、マルウェアの広告を踏んだという自覚が全くないせいで、このページを目的のツールのダウンロードページだと普通に思ってしまったんです。


で、ダウンロードボタンを押しちゃいました。
そして警戒心ゼロなので、普通にインストールを進めちゃったわけです。(あちゃー)


f:id:JunichiIto:20140311071509p:plain:w400
注) よい子は絶対にNextボタンを押しちゃダメです!!


でもインストーラを実行すると、何か様子がおかしいことに気付きました。
「ブラウザの設定を変更中です...」的なメッセージが表示されたからです。


ここでようやく気付きました。


「ん?これはヤバい!!!」


と。


慌ててアクティビティモニタを起動し、Genieoという名前のプロセスを強制終了しました。


復旧作業とGlimsの罠

Genieoは強制終了させたものの、その直後に


「・・・・・・・・・もしかして、やっちまったか??」


と、いや~な脂汗が出てきました。


とりあえず、このGenieoという怪しいソフトウェアのことを調べました。
どうやら悪質なウイルスではないものの、ブラウザの設定を書き換えてスタートページを変更したり、デフォルトのサーチエンジンをGenieoのものに変更したりするようです。
また、送信したフォーム情報を不正に取得している、というような噂も目にしました。


アンインストールについては、付属のアンインストーラは使わず手作業でファイルを削除した方が良い、とのことでした。
下記のリンクを参考にして、怪しいファイルを削除しようとしましたが、そのファイルは僕のMacには見つかりませんでした。
(強制終了したおかげなのか、はたまた別のところに怪しいファイルが作られたのかは不明ですが・・・)


How to get rid of genieo tool from mac?: Apple Support Communities
注) 手順を間違うとMacが起動しなくなるらしいので、ファイルを削除する際には十分ご注意を!


ただ、SafariのPreferencesを開くとエクステンションにOmnibarという見覚えのないエクステンションがあったので、これもアンインストールしました。


Glimsも突然悪さをし始めたのでアンインストール

さあ、これで一安心・・・と思ったのですが、Safariだけ何か様子が変です。


webページを開くと、どのページも画面の下側に変な四角い広告が飛び出してきて、ページの表示を隠してきます。

http://blog.euonymus.info/wp-content/uploads/2014/03/%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88-2014-03-04-17.50.23.png
Mac版Safariの左下にスライド式広告がでるようになった | トリビアル・イシューズ


さらにWikipediaを開いたときは左側のメニュー欄に広告が表示されます。

https://discussionsjapan.apple.com/servlet/JiveServlet/showImage/2-100804112-20192/001.png
Glim を使ってる方、に確認と質問 | Apple サポートコミュニティ


他にもGoogleで検索すると、検索結果の右側にいかにも怪しげな「Download」「Play now」という緑色のでかいボタンが表示されたりしました。


「ヤバい、SafariだけGenieoが完全にアンインストールできてない・・・!?」


と思い、ネットを色々調べたのですが、同じような症状がなかなか見つかりません。


原因を探し当てるまでにかなり時間がかかったのですが、これはGenieoのせいではなく、GlimsというSafariのプラグインが悪さをしているのが原因だとわかりました。
どういう理由かよくわかりませんが、Genieoのトラブルが起きた前後にGlimsの設定も変わってしまったようです。(Genieoをアンインストールするときに、よくわからないまま設定を変えたような気もしなくはない)


そもそも、このGlimsというプラグインはいつインストールしたのか覚えていません。
「そういえば、いつかインストールしたような、してないような・・・」という記憶がかすかにあるぐらいです。
とりあえず、気持ち悪いのでGlimsもアンインストールすることにしました。
Glimsはアンインストーラが提供されているので、それでアンインストールしました。(本当に信頼していいのかビクビクしましたが)


これで一応Safariも普通の動きに戻ったみたいです。
あ~、良かった。


まとめ

というわけで、今回は恥ずかしながら僕自身が怪しいリンクに騙されかけた話を紹介しました。


繰り返しになりますが、この話を客観的に見たり、冷静な精神状態でよく考えたりすれば、たぶん騙されることはありません。
ですが、今回のように急いで何かをしようとしたりすると、普段は働くはずの警戒心が完全に吹っ飛んでしまうこともあるんだな~とつくづく思いました。


話はそれますが、僕の知り合いでオレオレ詐欺の被害に遭ったおばさんがいます。
その人は「当時息子が巻き込まれたトラブルで悩んでいるときに、ちょうど息子のフリをするオレオレ詐欺の電話がかかってきた。自分の息子がこれ以上大変な目に遭うのが耐えられなかったから、ついお金を振り込んでしまった」と言っていました。


普段なら簡単に避けられるようなトラップでも、悪い偶然が重なると「そんな単純なトラップに引っかかるなんてバカじゃない!?」と自分が指を指されることもあるわけです。


「普通じゃない状況」や「悪い偶然の重なり」は自分でコントロールできるものじゃないので、万能な解決策はないかもしれませんが、こういうふうに事例を紹介することで同じトラップに引っかかる人を何人か救えるかもしれません。
今回はそんな思いで、自分の情けないエピソードを紹介してみることにしました。


みなさんもネットのフリーツールをダウンロードする際はくれぐれもご注意を!