正常なサイトのURLを入力しているのに変なサイトに接続する。

Question

こんにちは、
１．翔泳社のページからサンプルソースをダウンロードしようと下記のＵＲＬを入力しました。（購入した書籍に記載されていたURL）
http://www.shoeisya.com/book/hp/10days
すると、
１）http://www.shoeisya.com/index.aspというサイトに接続（英語でサーチ画面）
２）情報バーにお気づきですかのポップアップウィンドウが出る。
３）別ウィンドウで
http://amaena.com-Security Update
「あなたのパソコンは「ブラックウォーム」に感染される恐れがあります。ごらんのセキュリティソースをダウンロードするのお勧めします。
というメッセージ
それから
ＩＰアドレス
ブラウザ
コンピュータOS
パソコン情報：Obtained
パソコン地域
などが表示されていました。
２．次にGOOGLEで「翔泳社」をキーワードにして探したところ正常の翔泳社のページに接続することができました。（ページの移転からの移転で）
その後、もう一度、
http://www.shoeisya.com/book/hp/10daysと入れると正常なページに接続しました。
ただ、別のコンピュータでhttp://www.shoeisya.com/book/hp/10daysと入れるとやはり同じように変なページに接続しました。

３．質問
１）１。の現象が起きた理由はどこにあるのでしょうか？
こちらのルータなどに何らかの設定の問題があるのでしょうか？
２）ＩＰアドレスなどの情報（表示されているのがプライベートアドレスじゃないのですが）が表示されていたのですが、これは相手が何をしているのでしょうか？
３）２．で正常なページに接続した後は、ＵＲＬを直接入力しても大丈夫だったのはなぜなのでしょうか？
全体としてこのような現象の起こった原因、対策などが分かるような参考サイトなどがありましたら教えてください。
よろしくお願いします。



質問

yoshi-thk · Accepted Answer

質問をする時には、ウイルス感染の危険性のあるアドレスを掲示することは控えてください。
閲覧している人が不用意なアクセスすると、危険な状態になります。
これ以上、被害者を出さないためです。

今回の場合は、「ウイルス」と言うよりも「不正なアドウェア」か「スパイウェア」に入り込まれたようです。
「ブラックウォーム」というキーワードから、次の「WinFixer」というスパイウェアに感染していると考えられます。
すぐに、以下のサイトに書かれている方法で、駆除を実行してください。

アダルトサイト被害対策の部屋
WinFixer 2005の対処法
http://www.higaitaisaku.com/removewinfixer.html

HijackThis Entry Database
WinAntiVirusPRO 2006
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=467

ryu-fiz · Answer

１）古くなって使われなくなった"shoeisya.com"ドメインが『乗っ取り』にあったのだと思われます。

http://www.ipa.go.jp/security/vuln/20050627_dns.html
にあるように、こうした問題は最近特に深刻になっているようです。
ということで…そちらのルーターの設定に問題があった訳ではない、と思われます。

２）インチキなセキュリティ対策ソフトを売り付けようとするサイトが比較的良く使う手です。『そっちの環境についてこっちはこれだけ知っている』ということを見せ付けようとする単なる『こけおどし』です。

通常、ブラウザを介してのアクセスでも、アクセス先サイト側である程度の情報を取得することは可能です。例えば、こういうサイトがあります。
http://www.ugtop.com/spill.shtml
説明を読めばある程度は分かるかと思いますが…このサイトに表示されている類の情報は、大概のサイトで取得することは十分可能で、特に注意事項が書かれたもの以外については、取得されたことが直接危険に繋がるようなこともありません。

しかし…そうした知識もない初心者さんが、何の予備知識もないままこうした情報を見せ付けられると、何だか知らないが圧倒されてしまい、相手の術中にはまってしまう、というのはよくある話のようです。

３）私がこれを書いている時点では、一応掲載されていたアドレスが有効だったので…試しにアクセスしてみました。（既知の危険なサイトへのアクセスを遮断する措置をとり、不審なインストールを監視するものも常駐させて行いました。むやみに真似しないでください）ちなみに、利用したブラウザはFirefoxと同様なGeckoエンジンを利用したK-Meleonです。

K-Meleonの設定をいじってましたので、最初に古い翔泳社サイトにアクセスした際にCookieの受け入れ要求が出ました。いつものくせもあって、不必要なCookieとして拒否しました。

ブラックウォーム云々というポップアップは、先述した通り危険なサイトへのアクセスを遮断する措置を講じてましたので出ませんでした。

質問者さんがやったように、一度ページを閉じてから再度同じページにアクセスしましたが…正しい翔泳社のページには飛ばずに、前と同じページが表示されました。

以上の検証結果から考察すると…Cookieの働きによって、初回アクセス時にはポップアップと共に怪しいページが出るものの、２回目以降は新しい翔泳社のページに自動的に飛ぶようなサイト構造になっている可能性が高いと見ます。不正な『飛ばし』操作を隠蔽する目的だと思います。

おそらく、ですが…Cookieの受け取り可否を厳密に行うようブラウザを設定しておき、問題のあるサイトでのCookieを受け取らないようにすれば、何度アクセスしても同じページが出る可能性は高いと思います。

まぁ、本当にCookieが絡むかどうかは断定出来ませんが。もしかすると、初回アクセス時に何らかのプログラムをインストールされて、その効果で同じページが表示できないようになってるのかも知れません。

php504 · Answer

1) URLを打ち間違えたから。正しくは
http://www.shoeisha.com/book/hp/10days/
2) ワンクリック詐欺などでもよく使われる手口ですね。無知な相手をだまそうとしているだけです。
3) 今度は正確なURLを入力したため。

対策はURLを打ち間違えないようにする。
あやしいソフトはダウンロードしない。

S-Fuji · Answer

＃４です。
誤記修正
www.shoeisha.co.jpが現在のアドレスです。

S-Fuji · Answer

1について
www.shoeisya.com、ではなく、www.shoeisha.comが旧アドレスの様です。
にているけど一寸違う。
現在はwww.shoeisha.co.joに成っているようですね。

PrintScree · Answer

ウィルスかスパイウェアに感染しているものと思われます。

ウィルス対策ソフトはインストールされていますか？

もし、無対策であれば、何が進入しているかわからないので、リカバリーしてネットに繋ぐ前にウィルス対策ソフトをインストールしてください。

購入するなら、店頭でたくさん陳列されている製品が無難でしょう。

king_joe1006 · Answer

（２）に関してですが、アクセス端末からＩＰを取得するのはとても簡単です。素人でも勉強すればすぐにできます。ＩＰが分かったからといって何かされるわけではありませんので安心して下さい。
また、（３）で出てくる別ウィンドウのソフトウェアをはいわゆる「詐欺ソフト」ですのでくれぐれもダウンロードなさらないように気を付けて下さい。

正常なサイトのURLを入力しているのに変なサイトに接続する。

質問をする時には、ウイルス感染の危険性のあるアドレスを掲示することは控えてください。

１）古くなって使われなくなった"shoeisya.com"ドメインが『乗っ取り』にあったのだと思われます。

1) URLを打ち間違えたから。

＃４です。

1について

ウィルスかスパイウェアに感染しているものと思われます。

（２）に関してですが、アクセス端末からＩＰを取得するのはとても簡単です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング