システム警告「Windowsセキュリティシステムが破損しています」を分析してみた

2019年1月13日Security (セキュリティー)

無断転載禁止

概要

2018年12月31日、ポータルサイト「ニフティ」のトップページを表示させたところ、次のような警告が表示されました。
システム警告 Windowsセキュリティシステムが破損しています のダイアログ画面
システム警告「Windows セキュリティシステムが破損しています」のダイアログ画面

表示されたダイアログ画面には、こう書いてあります。

ダイアログ画面のテキスト 1
システム警告
× Windowsセキュリティシステムが破損しています
Windows: Windows 10
ご注意: Windowsセキュリティによってシステムが壊れていることが検出されました。ファイルは: 0 秒で削除されます
必須: 下の[更新]ボタンをクリックして、最新のソフトをインストールしてスキャンし、ファイルが保護されていることを確認してください.
更新
ダイアログ画面のテキスト 2
Web ページからのメッセージ

    Windows 10によってWindowsシステムが古くなり破損していることが検出されました。

    ファイルが削除されないように、指示に従ってすぐに修正してください。

OK

次に、ポータルサイト「Infoseek」のトップページを訪問したところ、また、同じものが表示されました。

このシステム警告「Windowsセキュリティシステムが破損しています」の原因と対策について、インターネットで情報収集をしたのですが、どこもほとんど同じ内容です。

  1. それは詐欺
  2. 「タスク マネージャー」を起動させて Web ブラウザーを閉じる
  3. 念のためにキャッシュを削除
  4. 更新ボタンを押してしまったら、こうやって削除
  5. 心配なら、セキュリティー対策ソフトでスキャン

あのー、そうじゃなくて、私が知りたいのは、その画面が表示された原因と、その画面を二度と表示させない方法なんですが。

というわけで、誰も書かないようなので、私が記事にすることにしました。


分析 その1: ダイアログ

  1. まず、最初は、この状態なわけです。
    ダイアログ システム警告
  2. 次に、「タスク マネージャー」から Web ブラウザーを強制的に終了させて、再び Web ブラウザーを起動させると、この状態なわけです。
    ブラウザー再起動後
  3. 試しに、一番下のボタン「セッションの復元(R)」をクリックしてみると、こうなるわけです。
    ボタン セッションの復元 クリック後

    しかし、何かおかしい。
    Web ブラウザーの設定によって、ポップアップ画面のほとんどはブロックされるはずなのです。
    ひょっとして、これはポップアップ画面なのではなくて、スクリプトかなんかで表示させているのではないか、という疑問が生じるわけです。

  4. 試しに、「コントロール パネル」の「インターネット オプション」を開きます。 (Web ブラウザーの「メニュー バー」から「インターネット オプション」を開けるのであれば、 Web ブラウザーの「メニュー バー」からでもかまわない。)
    コントロールパネル インターネット オプション
  5. 次に、タブ「セキュリティ」を開いて、ゾーン「インターネット」が選択されている状態で、下のほうのボタン「レベルのカスタマイズ(C)…」をクリックします。
    タブ セキュリティ クリック後
  6. 「アクティブ スクリプト」のオプションを「有効にする」から「無効にする」に変更してみます。
    一番下のボタン「OK」をクリック。
    アクティブ スクリプト オプション 無効にする 選択
  7. 再び Web ブラウザーを起動させると、こうなるわけです。
    ブラウザー再起動後
  8. 試しに、一番下のボタン「セッションの復元(R)」をクリックしてみると、こうなるわけです。なんか変わった!
    ボタン セッションの復元 クリック後
  9. タブを閉じて、再び Web ブラウザーを起動させると、こうなるわけです。消えた!
    タブを閉じて再起動後
  10. ここで、決断を迫られるわけです。
    次のどちらを選ぶのか。

    1. セキュリティを重視して、利便性が悪くなっても諦める。 → 「アクティブ スクリプト」のオプションは「無効にする」のまま。
    2. 利便性を重視して、セキュリティが弱くなっても諦める。 → 「アクティブ スクリプト」のオプションを「無効にする」から「有効にする」に戻す。 「システム警告」が現れたら、その都度 Web ブラウザーを強制的に終了させる。


分析 その2: ソース

Web ページのソースを表示させて、分析してみました。

注意事項

  • 赤色の太字は、私によるコメントであり、元々ソースコードにはありません。
  • ソースコードが右側にはみ出して、全体が表示されていない可能性があります。 (ソースコードの下の横スクロール バーか、またはWeb ブラウザーの「全画面表示」で対応してください。)


<!DOCTYPE html>
<html lang="en"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    ↑ 機器に合わせて表示を最適化せよ
    <link rel="SHORTCUT ICON" href="files/favicon.ico" type="image/x-icon">
    <title>Win Erx03</title>
    <link href="files/bootstrap.min.css" rel="stylesheet">
    <link href="files/style.css" rel="stylesheet">
    <script src="files/function.js"></script>
        <script>
function getUrlParameter(t) {
    var e, n, o = decodeURIComponent(window.location.search.substring(1)),
      a = o.split("&");
    for (n = 0; n < a.length; n++)
      if (e = a[n].split("="), e[0] === t) return void 0 === e[1] ? !0 : e[1]
    }
</script>
    <script src="files/jquery-3.2.1.min.js"></script>
    <script type="text/javascript" src="files/language-set.js"></script>
    <script type="text/javascript" src="files/language-version-1.js"></script>
</head>
<body>
    <script>
			audCenter = new(window.AudioContext || window.webkitAudioContext)();
			function sound() {
			↑ 音を鳴らす機能
				volume = 0.56;
				↑ ボリュームは中間の 0.5 より大きめ
				duration = 354;
				type = "square"; // "sine", "sawtooth", "triangle"
				frequency = 951;
				↑ 周波数は 951 ヘルツ の高い音
				var oscillator = audCenter.createOscillator();
				var gainNode = audCenter.createGain();
				oscillator.connect(gainNode);
				gainNode.connect(audCenter.destination);
				gainNode.gain.value = volume;
				↑ ボリュームは定義した値で
				oscillator.frequency.value = frequency;
				↑ 周波数は定義した値で
				oscillator.type = type;
				oscillator.start();
				↑ 音をスタートせよ
				setTimeout(
				↑ 一定時間経過後
					function() {
						oscillator.stop();
						↑ 音をストップせよ
					},
					duration
				);
			};
			var i = 1
			x = setInterval(function() {
				sound();
				i++;
				if (i > 2) {
					clearInterval(x);
				}
			}, );
    </script>
      <script>setTimeout(function() {
    alert(languageSelector.alertwindow)
    }, 200);</script>
    <div class="col-md-4 col-center login-box ">
        <div class="top-header text-center">
        ↑ 上方 中央に
            <img src="files/logo.png"><span style="font-size:15px"><script>document.write(languageSelector.systemWarning)</script></span>
            15px のフォントサイズで「システム警告」を表示せよ
            <div class="remove-btn">
            <a onclick="outGoes()">
                       <img src="files/remove-icon.png">
                    </a>
                </div>
        </div>
        <div class="middle-content">
            <div class="clearfix inner-border">
            <div class="custom-padding">
                <div class="security-text">
                        <i class="red-text glyphicon glyphicon-remove"></i>
			↑ 赤色の×印のアイコンを表示せよ
                    <script>document.write(languageSelector.yourSystemIsDamaged)</script>
                    ↑ 「あなたのシステムはダメージを受けている」を表示せよ
                </div>
                <p class="bold-title">
                ↑ 太字で
                    <b><script>document.write(languageSelector.windowsVersion)</script></b>
                    Windows のバージョンを表示せよ
                    <script>
                        document.write(getURLParameter("osv"))
                        URL から Windows のバージョンを取得して表示せよ
                    </script>
                </p>
                <div class="notes">
                    <b><script>document.write(languageSelector.pleasePayAttention)</script></b>
                    <span>
                        <script>document.write(languageSelector.yourVersionOfSoftwareDamaged)</script>
                    </span>
                    <span class="red-text">
                        <span id="countDownTimer">0</span>
                        <span><script>document.write(languageSelector.seconds)</script></span>
                        ↑ 秒を表示せよ
                        <span id="countDownTimer">0</span>
                    </span>
                </div>
                <div class="required">
                ↑ 必須であると
                    <span class="red-text">
                    ↑ 赤色の文字で
                        <b><script>document.write(languageSelector.important)</script></b>
                        ↑ 太字で 重要
                    </span>
                    <script>document.write(languageSelector.clickOnTheUpdate)</script>
                    ↑ 「更新をクリックしてください」を表示せよ
                </div>
            </div>
            <div class="bottom-footer text-right">
            ↑ 下方 右側に
                <a rel="noreferrer" onclick="outGoes()">
                    <button class="btn btn-default custom-btn"><script>document.write(languageSelector.update)</script></button>
                    ↑ ボタン「更新」を表示せよ
                </a>
            </div>
            </div>
        </div>
    </div>
    <script src="files/jquery-3.2.1.min.js"></script>
    <script src="files/loads.js"></script>
    <script src="files/main200noout.js"></script>
    <script type="text/javascript">
      //history
      var ii = 0; // needed for safari
      if (typeof history.pushState === "function") {
        history.pushState("back", null, null);
        window.onpopstate = function () {
          history.pushState('back', null, null);
        };
      }
      setTimeout(function(){ii = 1;},200);
      //no exit 
      function noExit() {
      ↑ 終了しない機能
          alert(languageSelector.noExit);
      }
      $(document).mouseleave(function() {
      ↑ マウスが対象要素から離れた時
          noExit(); sound();
          ↑ 終了しない 音を鳴らす
      });
    </script>
</body></html>

2018年12月31日に Web ブラウザーに表示された「システム警告『Windows セキュリティシステムが破損しています』」のソース


分析 その3: ドメイン

ダイアログ画面が表示された時に、 Web ブラウザーのアドレス欄に表示されたドメインは次のとおり。

2018年12月31日d7w2hfniwwzoa.cloudfront.net
2019年01月09日
2019年01月15日
d3ooh7n2f0ku5s.cloudfront.net
2019年01月22日d29zqxab65652p.cloudfront.net
2019年02月01日d2tlx93g8je4iq.cloudfront.net
2019年02月02日d3khtufyk0ul6f.cloudfront.net
d39s7z8bj5yanm.cloudfront.net
2019年02月03日d2tc3scfr173su.cloudfront.net
2019年02月04日d122a5cujg7in7.cloudfront.net

上のドメインを Whois で調査すると、ドメイン「cloudfront.net」の所有者は「Amazon」であることがわかります。
どうやら、アマゾン社のコンテンツ配信ネットワーク (CDN) サービスが、悪用されているようです。


対策

  1. 一時的な対処法 (消し方)

      Web ブラウザーを強制的に終了させる

      対象: 問題が発生した PC
      例) 「Windows 10」の場合
      手順:
      1. [タスク バー] 右クリック (または、キー [Ctrl] + キー [Alt] + キー [Delete] 同時押し)
      2. メニュー [タスク マネージャー(K)] クリック
      3. タブ [プロセス] クリック
      4. 問題が発生した Web ブラウザーの名前 右クリック
      5. メニュー [タスクの終了(E)] クリック
  2. 永続的な対処法 (対策)

    1. Web ブラウザー「Google Chrome」の場合
    2. Web ブラウザー「Internet Explorer」の場合
    3. Web ブラウザー「Microsoft Edge」の場合

    1. Web ブラウザー「Google Chrome」の場合

        ブロックできるかもしれない最新バージョンの「Google Chrome」を使用する。

        ウェブサイト「Impress Watch」の記事:

    2. Web ブラウザー「Internet Explorer」の場合

      1. [インターネット オプション] のタブ [セキュリティー] で、 [アクティブ スクリプト] を無効にする。

        欠点は次のとおり。

        • 他のウェブサイトの機能の一部または全部が使えなくなるかもしれない。

      2. 「システム警告」に関与しているドメインを、 [インターネット オプション] のタブ [セキュリティー] のゾーン [制限付きサイト] に登録する。

        欠点は次のとおり。

        • もし未登録のドメインを使用されたら防げない。
        • その度にドメインの追加登録の作業をしなければならない。

        利点は次のとおり。

        • 他のウェブサイトの利便性を損なわない。
        • 費用がかからない。

        「システム警告」に関与しているドメイン
        http://secureservice.aapcutls.club
        http://awgsysutils.live
        https://dailyjapan.website
        https://d29zqxab65652p.cloudfront.net
        https://d3ooh7n2f0ku5s.cloudfront.net
        https://d7w2hfniwwzoa.cloudfront.net
        https://dodlvq244k2x6.cloudfront.net
        http://kap7519.space
        http://kbc7660.xyz
        http://kbe1458.space
        http://v.linkingoutnow.online
        http://tech-life.life
        2019年01月30日 次のドメインを追加
        http://kbg1900.pw
        2019年02月01日 次のドメインを追加
        https://d2tlx93g8je4iq.cloudfront.net
        http://dl.jpsystemutils.live
        2019年02月02日 次のドメインを追加
        https://d3khtufyk0ul6f.cloudfront.net
        http://d39s7z8bj5yanm.cloudfront.net
        2019年02月03日 次のドメインを追加
        http://d2tc3scfr173su.cloudfront.net
        2019年02月04日 次のドメインを追加
        https://d122a5cujg7in7.cloudfront.net
        2019年06月13日 次のドメインを追加
        http://x0uezz5z.pcservicemax.fun

        発見次第、追加予定。

        「システム警告」に関与しているドメインを「制限付きサイト」に登録する手順:

        1. [インターネット オプション] を開く。

        2. タブ [セキュリティ] クリック
          タブ セキュリティ クリック

        3. ゾーン [制限付きサイト] 選択
          制限付きサイト 選択

        4. ボタン [サイト(S)] クリック
          ボタン サイト クリック

        5. [この Web サイトをゾーンに追加する(D):] 入力
          「システム警告」に関与しているドメインのリストに掲載されているドメインを一つ選び入力する。
          このWebサイトをゾーンに追加する 入力

        6. ボタン [追加(A)] クリック
          ボタン 追加 クリック

        7. 確認
          入力したドメインが、下の [Web サイト(W):] に登録されたことを確認する。
          確認

        8. [この Web サイトをゾーンに追加する(D):] 入力
          「システム警告」に関与しているドメインを全て追加する。

        9. ボタン [閉じる(C)] クリック
          ボタン 閉じる クリック

        10. ボタン [OK] クリック
          ボタン OK クリック

        11. 「システム警告」に関与しているドメインの登録作業をする前に、 [セッションの復元(R)] をクリックすると何度でも必ず表示されていた「システム警告」の画面が、登録作業の後には、 [セッションの復元(R)] をクリックしても表示されなくなったことを確認しました。
          確認

          「システム警告」に関与しているドメインがリダイレクトに使用された場合に限り、「システム警告」の画面は表示されなくなります。

      3. ウェブページ上の広告を削除できるユーティリティーソフトや、 Web ブラウザーのアドオン等を使用して、ウェブページ上の広告を全て削除する。

      4. Web ブラウザーは、「Google Chrome」を使用する。

    3. Web ブラウザー「Microsoft Edge」の場合

        Web ブラウザーは、「Google Chrome」を使用する。

        偽の「システム警告ポップアップ」は「JavaScript」によって表示されているが、Web ブラウザー「Microsoft Edge」には「JavaScript」を無効にする機能が無いため、設定の変更によって防ぐことができない。


まとめ

このタイプの警告画面が表示される原因は、手元のローカル PC ではなく、サーバー側にある。
よって、ローカル PC 側で Web ブラウザーのキャッシュを削除したり、怪しいソフトウェアを削除しただけでは効果は無く、何度でも表示される。


2019年1月13日Security (セキュリティー)

Posted by Atsushi Fukuda (atsushifukuda.jp)