Apple社を語ったウィルス駆除画面に注意!

夜中にビープ音でびっくりして、焦ったけど冷静に見たらAppleの公式サイトではなかった話

Google Chromeを使ってインターネットで調べ物をしていたときのこと…

後ほどわかったのは、Youtube動画の編集のため、Youtube動画ダウンロードサイトへアクセスしたときのことでした。
基本的にYoutubeからのダウンロードというのは違法(著作権が絡むので…)な場合も多いのですが、今回は動画の権利者本人からYoutubeからダウンロードして編集くださいとの指示があったので、やむなくとあるダウンロードサイトを使いました。
こういったグレーゾーンなサービスを提供しているサイトというのは、やっぱりまともではないということでしょうか…

ビープ音と同時に、「ウィルスが発見されました!」みたいなポップアップが表示されました。

そのままOKみたいなボタン(しかなかった)を押したら、Appleストアみたいなホームページが表示されました。

けっこう焦ったけど、そもそもわたし、AppleCare入ってないし…

いきなりこういうの出てきて怪しいなぁと思いながらURLを確認すると、やっぱり怪しい。

Appleの公式のアドレスではありませんね。
このアドレスのappleはサブドメインで、ドメインはcom-repair.systemsです。
全然Apple関係ないし。

悪意があるとしか思えないので、Whois情報(ドメインの持ち主情報)調べてみたら、やっぱり匿名でした。

一般的に個人のサイトはWhois情報を匿名にすることが多いのですが、企業のサイトは会社名をしっかり入れていることが多いです。
ちなみにApple.comのWhois情報はこちら。

なんだかいやだなぁと思ったので、どんなことをしようとしているのかこのページのソースを少し見てみました。
<Scan Now>ボタンをクリックするとjavascriptが起動するようになっていて、そのjavascriptファイルが置いてあるサイトのドメインはstockhost.downloadというものでした。
こちらもWhois情報を確認してみると、匿名でした。

表示されていた画面のURLにパラメーター(https://xxx.xxxx.xxx/…?以下の部分)がたくさんくっついていて、何かと思ったら、

city=Auckland (オークランド住まい)
ip=122.56.xxx.xxx (IPアドレス)
browser=Chrome (インターネットブラウザ)
isp=Spark (ネットプロバイダー)
language=ja (日本語)
など、結構な情報が・・・

これらの情報は、Javascriptで容易に取得できるものなのですが、これだけ自分の情報が取得されていることを表示されると焦りました。
IPアドレスだけでは自分の住所がばれたりはしませんが、位置情報をサーバー側に送信するようなAPIもあるので、変なボタンを押したりしないように気をつけないとですね。
こういったサイトは、「セキュリティソフト」といって、ウィルスソフトをダウンロード・インストールさせることが目的のようです。

教訓

グレーなサービスを提供しているWebサイトにはアクセスしないこと。
とにかく、変なリンク/ボタンは押さない。