雑記 - 広告の出るアドウェアの傾向と対策
近年、「ブラウザ上に広告が出る」「いつの間にか広告ウィンドウが開いている」「リンクをクリックすると広告が同時に開く」等々、広告が出るアドウェアのトラブル相談が増えています。
これらのトラブルに関し、巷ではYontooだとかHao123だとか特定の名前が原因として挙げらたり、あるいは拡張機能の確認を勧められたりすることが多くありますが、それだけでは解決しないトラブルが多いのも確か。それは、広告を出す仕組みが1つではないことが理由です。
このページでは、広告が出るアドウェアについて、仕組みから見たその傾向とそれぞれの対策について、徒然記載していきます。
侵入場所による分類
アドウェアが広告を出す仕組みは、その侵入場所によって、大きく次の6つに分類できます。
- ブラウザの拡張機能
- システムへの常駐
- タスクスケジューラへの登録
- Hostsの改竄
- DNSの書き換え
- ブラウザのプロキシ設定
また、少し趣は違うものの、たまに見られる症状として以下があります。
- ブラウザの起動ショートカットの改竄
- ページ自体に広告
1. ブラウザの拡張機能
最も一般的に知られている侵入場所です。
ブラウザには、便利な機能を追加したり、使い勝手を改善したりするために、拡張機能として外部のツールを組み込むことのできる機能があります。
この機能を悪用し、ブラウザに組み込まれて広告を挿入・表示するアドウェアが存在します。
特徴
このタイプのアドウェアはブラウザ単位で侵入しますので、一つのブラウザから駆除しても、他のブラウザでは相変わらず表示される、という傾向を示します。
また逆に、他のブラウザでは表示されないのに、特定のブラウザでのみ表示されるケースもあります。
ブラウザによっては「アドオンなし」での起動が可能なものがあり、そういった機能を利用することで、このタイプかどうかを判定できます(拡張機能侵入型のアドウェアは、「アドオンなし」モードでは基本的に機能しない)。
駆除と対策
この形式をとるアドウェアは、侵入した拡張機能を削除するだけで駆除できるケースが大半です。
そのため、アドウェア側としては駆除されないように、名前を毎回変更したり、便利ツールの名前を騙ったり、あるいは実際に便利な機能を提供する傍らで広告を出す、という場合があります。
なお、後述する常駐機能とのハイブリッド型の場合、常駐機能も同時に除去しないと、常駐機能により再侵入される可能性があります。
2. システムへの常駐
こちらもよく見られるタイプで、システムに常駐し、起動中のブラウザとの通信に割り込んで、広告を挿入します。
侵入箇所は多岐にわたり、
- スタートアップ
- レジストリのAppInitエントリ
- サービス
- ドライバ
等が有名な侵入場所となり、複数に同時に侵入するケースも少なくありません。
このうち、スタートアップ以外をユーザーが意識することは通常ないため、「スタートアップから外しても復活する」という症状が発生する場合があります。
特徴
システムに常駐してブラウザの通信に割り込むという仕組み上、多くの場合すべてのブラウザで同時に症状が発生します。
これは1の拡張機能とは関係がないため、アドオンなしモードでも症状が発現します。
また、侵入形式によっては、ブラウザのプロキシ設定を書き換え、自身を経由させることで目的を達するタイプもあります。
判別方法として、タスクマネージャで常駐プロセスを確認する、msconfigからスタートアップエントリを確認する、等の手段があります。
駆除と対策
スタートアップ以外は確認が難しい場所であり、特にAppInitエントリはWindows標準の設定画面から確認する手段がありません。
また、ファイルを削除しようにもアドウェアが起動している関係で削除できない場合が多く、比較的駆除が困難な部類に入ります。
手動で駆除を行う場合には、セーフモード上で原因となっているアプリを削除の上で、レジストリを編集して該当するエントリを削除することになります。
基本的には、何らかの駆除ツールを併用することをお勧めします。
3. タスクスケジューラへの登録
数は少ないものの時々見られる症状で、Windowsのタスクスケジューラ機能(特定の処理を指定されたタイミングに実行する機能)を利用して、広告を表示します。
DSite (DigitalSites) が有名です。
特徴
このタイプの特徴として、
- 広告が出るのは1日1回ないし2回程度
- 特定の時間にのみ出現する
- 特に操作をしなくても勝手に広告が立ち上がる
が挙げられます。
駆除と対策
基本的には、タスクスケジューラに登録された広告起動用コマンドを削除するだけで、症状自体は軽快します。
実際の広告表示用プログラムが別に存在する場合がありますが、多くの場合、残しておいても勝手に発動するようなことはありません。
4. Hostsの改竄
WindowsのHosts (ドメイン名とIPアドレスとの対応表) を改竄し、多くのページからリンクされているドメインを広告表示用のものに置き換えることでページに広告を挿入します。
表面的な性質では2の常駐型と類似しています。
また、最近(2015年9月~)では、Hostsを参照しているシステムファイル(dnsapi.dll)を改竄し、Hostsの参照先を別なファイルに変更することで、表向きHostsが正常でも、実質的にはHosts改竄による広告挿入が行われるケースが出ています。
この場合、以下の手法では修復は出来ません。
特徴
改竄対象のドメインは大抵のページで使われているドメインであることが要求されるため、多くはGoogle Analytics (アクセス解析)、FacebookやTwitter (「いいね!」やTweetボタン) が狙われます。
このあたりのドメインは大抵のページに含まれますが、たまに含まれないページもあり、そういったページでは広告が出ません。
駆除と対策
改竄されたHostsから該当する項目を削除することで、問題は解消します。このタイプの場合、他の3種と異なり、アドウェア自身のファイルは作成されない場合がほとんどです。
Hostsはメモ帳でも編集可能なので、手動で駆除したい場合は
C:\windows\System32\drivers\etc
にあるHostsファイル(隠しファイルとなっている場合があります)をメモ帳で開き、該当するエントリを削除して上書き保存すれば大丈夫です。
ただし、環境によってはHostsにインターネット接続に必要な情報が記載されていたり、自前サーバーを持っている場合にはその関連の設定が記載されている場合もありますので、変更には注意を要します。
5. DNSの書き換え
Windowsが利用するDNSサーバー (Domain Name Service, ドメイン名とIPアドレスの対応表を管理するインターネット上のサーバー) の参照先を書き換え、悪意のあるDNSサーバーに接続させることで、広告を表示したり、関係ないページに飛ばしたり、最悪の場合フィッシング詐欺サイトに誘導してパスワードやクレジットカード情報を盗み取ったりします。「DNSUnlocker」が有名です。
機能・動作原理共に4のHosts書き換えに類似しています。
最近(2016年12月~)では、Windows側の設定のみならず、ルータのDNS設定を書き換えることで、より発覚しにくくしたタイプも登場しています。
特徴
DNSを書き換えられると、正しいURLを入力したとしても、全く別なサイトに飛ばされることになります。
従って、原理的にはどのサイトであっても、広告が出るなどの症状は発現し得ます。
Windows自身の設定が書き換えられることから、どのブラウザでも同じように症状が発現します。
駆除と対策
改竄されたWindowsの設定を修正することで、問題は解消します。
なお、ルータの設定を改竄するタイプの場合、ルータごとに設定方法が異なりますが、ルータの設定を修正できれば問題は解消します。
Windowsのバージョンによって設定変更の方法が若干異なりますが、Vista以降であれば
- 「ネットワークと共有センター」から使用中の接続(「ローカルエリア接続」「ワイヤレスネットワーク接続」など)を選ぶ
- 「プロパティ」を開き、「インターネット プロトコル バージョン 4 (TCP/IPv4)」のプロパティを開く
- 「DNSサーバーのアドレスを自動的に取得する」にチェックを入れ、OKを押して各画面を閉じる
によって修正できます。
ただし、環境やISPによっては個別の設定が必要な場合もありますので、変更には注意を要します。
6. ブラウザのプロキシ設定
ブラウザのプロキシ設定を改竄し、専用のプロキシを経由させることで、ページに広告を挿入したり、リンクのクリック時に別なページへのリダイレクトを実施したりします。「広告を除去する」とか「ページの読み込み速度を向上する」等の謳い文句で宣伝を行っている場合もあります。
症状の傾向は1のブラウザ拡張機能と類似しています。
特徴
勝手に別のページにリダイレクトする、と言う症状が多く報告されます。ただし、これは結果としてそうなっているもので、この感染形態であれば常に発現する症状という訳ではありません。
侵入はブラウザ単位のため、一つのブラウザから駆除しても、他のブラウザでは相変わらず症状が現れます。
駆除と対策
ブラウザのプロキシ設定を削除するか、ブラウザの設定自体を初期化することで、症状は解消します。
おまけ1. ブラウザの起動ショートカットの改竄
これは「広告が出る」とは少し症状が異なりますが、「ブラウザの設定を全て確認したのに、スタートページが変更されたまま直らない!」という事例でたまに見られるタイプです。
ブラウザを起動する際に、デスクトップのブラウザのショートカットを使うという方は多いかと思いますが、このショートカットを改竄され、ショートカットからブラウザを起動すると自動的に広告サイトに誘導される、という事例があります。
この場合、ブラウザのスタートページの設定に関係なく、広告サイトが開くことになります。
駆除と対策
これはショートカットのリンク先に、広告サイトのURLが追加されているために起きるので、ショートカットから該当のURLを削除することにより、問題は解消します。
おまけ2. ページ自体に広告
「少数のページでだけ怪しい広告が出る」という相談が寄せられることがあります。
こういったケースで往々にしてあるのが、その広告はページ自体に最初から含まれているもので、アドウェアによるものではない、というものです。
近年では、YouTubeの埋め込み広告に「PCのパフォーマンスが低下しています」が出るとか、アメーバの広告でも同様の事例が報告されています。
駆除と対策
この種の広告はウェブサイト側に原因があり、ユーザーのPCがアドウェアに感染したことによるものではないため、通常のアドウェア駆除の手段はいずれも効果を持ちません。
この種の広告を除去するには、サードパーティ製の広告ブロック用拡張機能を使う、Hostsで広告ドメインへのアクセスを制限する、等の方法が必要となります。
更新履歴
2017/08/09
紹介していない手法(ブラウザのプロキシ設定改竄)が出たので追記
2016/12/11
紹介していない手法(ルータのDNS設定改竄)が出たので追記
2015/10/03
紹介していない手法(システムファイル改竄)が出たので追記
2015/09/06
紹介していない手法(DNS書き換え)が出たので追記
2014/11/24
作成
#ref error :画像を取得できませんでした。しばらく時間を置いてから再度お試しください。
最終更新:2017年08月09日 00:11
