
					Copyright © 2000-2005 eazyfox. All Rights Reserved.


HOME\| Firewall \| Security\| 製品紹介\| SecuTool\| Forest\| Hello\| Link\| 掲示板\| 雑談掲示板\| SiteMap\| Contact
Home > SecuTool > SpywareBlaster

Javacool Software －　SpywareBlaster

スパイウェア対策として有名なだが、実際には「危険なActiveX対策ツール」とも言うべきSpywareBlasterを紹介する。メーカーはJavacool SoftwareでDownloadはhttp://www.javacoolsoftware.com/sbdownload.htmlから行う。

機能

SpywareBlasterは

危険なサイトの制限
危険なサイトからDownloadされ実行されるActiveXの制限
Cookieの受け取り制限

を行うためのセキュリティ・ツールである。外部からの直接攻撃に対する防御ではなく、内部に危険なプログラムをインストールされて、PCにダメージを与えるような受動的攻撃に対する防御を目的としている。

インストール

インストールでは「インストール先のフォルダ」と「ショートカットの作成」くらいなので、すぐに終了。実行すると最初に「Getting Started」と操作ガイドが表示される。表示される内容は

Enable All Protectionを選べ
AutoUpdate,Keep your protection up-to-date automaticallyがお勧めだ
なんか問題があったらJavacool Softwareのサポートフォーラムに書いてくれ

という内容。

早速実行してみよう

設定する

設定と言うほどのことではないが、インストールの設定ガイドで書いてあった「Quick Tasks」の「Enable All Protection」のところをクリックする。

これにより3つの保護機能である
「インターネット・エクスプローラ保護機能」
「制限サイト保護機能」
「Mozilla/Firefox保護機能」
が有効になる。

「Disable All Protections」は全て無効
「Download Latest Protection Update」は最新の定義ファイルの取得
なにはともあれ「Enable All Protection」を有効にすることが唯一の設定である。

これにより3つの保護機能が有効になったが、具体的に行っていることは

インターネット・エクスプローラ保護機能	レジストリに危険だと判断されたActiveXを「動作禁止」の状態で登録する。動作を禁止設定されたActiveXはインターネット・エクスプローラから呼び出すことが禁止される。
制限サイト保護機能	制限付きサイト、Cookieの受け入れ拒否サイトを登録する
Mozilla/Firefox保護機能	Cookieの受け入れ拒否サイトを登録する

・危険なActiveXの動作を禁止する

ActiveXの動作禁止の方法はMicrosoftのサポート情報(http://support.microsoft.com/kb/240797)に記載してある内容をまとめて実行しているということ。サポート情報にあるCLSIDとKill Bitsとは

CLSID	ActiveXを識別するためのID。ActiveXをレジストリに登録するときには必ずCLSIDを指定する。そしてスクリプトなどからActiveXを実行するときCLSIDを指定することで、実行するActiveXを特定するのである。
動作禁止	Kill Bitsと呼ばれる方法で、登録済みのActiveXのレジストリに「Compatibility Flags (DWORD)」で00000400を設定する。これによりIEから指定されたActiveXを実行することが禁止される

つまり、あらかじめ危険なActiveXを動作しないように登録してしまうと言うのがSpywareBlasterのIE保護機能なのである。実際に効果は大きく、危険なSpyware(ActiveX)はDownloadされたとしても実行されることは無い。

また危険は無いと判断されたActiveX(たとえばAcrobat Readerやオンライン・ウィルススキャンなど)は動作禁止にはならない。あくまでもJavacool Softwareが危険だと判断したActiveXだけが対象となる。

実際にレジストリにはHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX\Compatibility\の下にCLSIDがたくさん並んでいて、そのひとつを例に取ると
{00000000-0001-1DBE-075A-39EC04BD88AF}]の"Compatibility Flags"に「dword:00000400」が設定されている

・Cookieの受け入れを禁止する

Internet Explorer Ver.6から「プライバシー」が追加され、Cookieを「受け入れる/受け入れない」の厳密な設定が可能になっている。
Cookieの受け入れ設定はレジストリで行っている。この方法はMicrosoftのサポート情報のhttp://support.microsoft.com/default.aspx?scid=kb;ja;182569で公開されている。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\]
の下にCookieの受け入れ設定を行うサイトのドメインを追加する。例えば
[100hot.com]や[247media.com]・・・
その下に受け入れる場合は「dword:00000001」、受け入れない場合は「dword:00000005」を設定する。

これをまとめて行っている。なお制限付きサイトに登録されると、そのサイトからはCookieを受け取りません。

・制限付きサイトに登録する

制限付きサイトへの登録もレジストリにドメイン名を登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\]の下にドメイン名を追加する。
その下にゾーンの番号(制限付きサイトは「dword:00000004」(0：マイコンピュータゾーン、 1：ローカルインターネットゾーン、2：信頼済みサイト、3：インターネットゾーン、4：制限付きサイト)

CURRENT_USERとLOCAL_MACHINEの違い

レジストリで登録する先がCURRENT_USER(HKCU)とLOCAL_MACHINE(HKLM)の2通りあるが、違いはWindowsのユーザーアカウントごとの設定がHKCUで全てのユーザ共通の設定がHKLMとなる。
制限付きサイトの情報をHKCUからHKLMに移動すれば全ユーザ共通の制限付きサイトになる。

SpywareBlasterはこのようにActiveXの動作停止と制限付きサイト、Cookieの拒否サイトを登録することが目的であるため、一度実行(保護機能を有効に)すれば毎回PC起動時に実行する必要も無く、まして常駐させる必要も無いツールである。つまりEnable All Protectionをクリックしたときにレジストリにデータを書き込む。またDisable All Protectionでは書き込んだレジストリのデータを消去しているのである。

保護機能の各画面を念のために見ておく。

Protectionには3つの保護機能を個別に設定する画面がある。通常使うことは無いかもしれないが、「Internet Explorer」ではIEの保護機能であるActiveXの動作停止設定とSpywareとして検出されるCookieを個別に設定できる。
画面上にはActiveXとCookieの保護機能の有効/無効の設定があり、下にあるリストは定義を１つ１つ保護の有効/無効を設定するところ。
リストから1つを選んで右クリックで表示されるメニューから「Ignore(無視)リスト」を選んで、一時的に保護を無効にするリストに入れると言ったことが可能。また「More Info on Items」で選択したActiveXの詳細情報の表示も可能

どうしてもリストにあるActiveXを使わなければ支障があるときに使用する画面ということ。

Restricted Sitesは文字通り「制限付きサイト」の設定で、リストにあるサイトが登録されている。どうしても制限付きサイトに行きたい人は左側のチェックを外して「Protect Against Checked Items」をクリックする。

最後にMozilla/Firefoxの設定はCookieを受け付けないサイトに登録するサイトの変更を行うところ。
変更方法は先の2つの画面と同じである。

System Snapshot

SpywareBlasterのもう一つの機能。システムの設定を保存しておいて、問題が発生したときに前の状態に戻すと言うもの。WindowsMeやXPのシステムの復元と同じような機能であるが、自らシステム設定情報を保存しておきたいときに保存して置けるのがよい。

Snapshotを作るときには「Create new Syatem Snapshot」を選んで「Go >」ボタンをクリックする。あとは次のページで保存する名前を指定して「Create Snapshot >」をクリックするだけである。簡単！

保存したSnapshotから復元するには「Restore Syatem to Save Snapshot Point」を選んで次のページで一覧から復元したいファイル名を選択するだけと言う簡単な動作である。当然システムの復元を行うとPCの再起動が必要

Tools

他にもブラウザの設定変更などの「Tools」画面も見ておこう

最初は「Browser Pages」から。
ここはIEの最初に表示される「ホームページ」と「検索サイト」の設定変更が可能。
リストにある項目の内容は「More Info On Item」で確認できる。ちなみに一番上は「ホームページ」で次が「検索サイト」になっている。
リストから変更したいアイテムを選んで「Change」をクリックするとダイアログが出てきて変更したい内容を設定するだけ。

下段にはMozilla系ブラウザの設定変更がある。筆者はFirefoxを使用しているが設定内容が出ていないので変更する項目は無い。

通常のユーザーでは利用する機会は無いと思われるHostsファイルの保護機能が「Hosts Safe」である。
ネットワークの相手先サーバのIPアドレスを記載することでDNS参照やブロードキャストでも知ることができないサーバに接続するためのもの。

最近ではPhishingで金融機関の偽アドレスを登録することで正規のURLを入力しても詐欺サイトへ飛ばすことができるなどの危険性を持っている。そこでHostsファイルを保存しておいて問題が発生したときに復元するという機能がHosts Safeである。

保存は「Create New Backup」をクリックするだけ。復元するのも「Restore Saved Backup」をクリックするだけ。

その他のIEの設定を行う画面。設定できるのは
「IEのホームページ(スタートページ)の変更を無効にする」
「IEのタイトルバーの表示の変更」
である。
ホームページの書き換え無効はSpywareによってアダルトサイトに書き換えられてしまうことを防止する機能。

Flash KillerはFlashの表示を無効にする機能。
広告バーナーなどのFlashを無効にできる。最近では一般企業でもFlashを使ったサイトが増えているので、Flashを無効にするとメニュが出てこない、画面が表示されないなどの弊害が多くある。

Custom Blockingはユーザーが定義したActiveXを無効にする機能。
「アダルトサイト被害対策の部屋」などで公開されているCustom Blockingリストを取り込むことによって、Javacoolから提供されていない日本語サイト独自の危険なActiveXの実行を禁止するときに使用する。
詳しくは「アダルトサイト被害対策の部屋」のSpywareBlasterのページを参照して欲しい。

Update

SpywareBlasterを使用するにあたり、ひとつだけ注意しないといけないことがある。それはUpdateを必ず行うということ。
危険なActiveXはVirusと同じように日々増えていくものである。そのためUpdateが必ず必要。
Updateは「Check for Update」をクリックするだけ。
新しい危険なActiveXがあれば自動追加される。少なくとも1週間に一度はUpdateを行うようにしよう。

UpdateのオプションはProxyの設定など

設定は上から順に
「直接インターネットに接続する」：Proxyを使用しないとき
「インターネットの設定に従う」：IEと同じ設定で接続するとき
「Proxyを使って接続する」：Proxyを使用するとき
でProxyを利用するときはその下にあるBoxに
「Proxyサーバのアドレスとポート」を指定する。

その下にある「Alternative Download Method」はUpdateがうまく動かないときに旧バージョンと同じ方法でDownloadする指定(Ver.3.3でUpdateが改良されている)

Ver.3.3でUpdate後にエラーが出る現象について

3/20現在、Javacool側で原因を「ユーザから送られたエラーになる定義ファイル」を元に解析しています。Ver.3.3で自動Updateに改良が加えられているのが原因かもしれません。
とりあえず回避策として
・Alternative Download Methodにチェックを入れてUpdateを行う
・Javacoolサイトから直接定義ファイルをDownloadして、SpywareBlasterのフォルダにCopyする
という方法がサポートフォーラムで挙げられています。
定義ファイルのURLは
http://www.spywareblaster.net/spywareblaster31/sbdatabase.dtb
http://www.spywareblaster.net/spywareblaster31/sbdatabase2.dtb
http://www.spywareblaster.net/spywareblaster31/sbinfo.dtb
http://www.spywareblaster.net/spywareblaster31/ckdatabase.dtb
http://www.spywareblaster.net/spywareblaster31/rsdatabase.dtb

その他の情報

・FirefoxやMozillaでは有効なのか？

ActiveXはMozilla/Firefoxでは実行することができない。したがってActiveX保護機能は必要ないのでSpywareBlasterは不要である。しかし不要なCookieの制限機能もあるのでSpywareBlasterを導入するのが望ましい。

・SpywareBlasterを削除するには？

SpywareBlasterはレジストリに情報を書き込むことが主な動作なので削除も簡単である。その手順は

Disable All Protectionをクリックする（これでレジストリの情報は削除される)
SpywareBlasterを終了する
「コントロールパネル」→「プログラムの追加と削除」からSpywareBlasterを選択して削除する
PCを再起動する

・タブブラウザでは有効なのか？

IEのレンダリングエンジンを使ったタブブラウザ(MyIE2やAvant Browserなど)では有効である。

・Operaでは有効なのか？

Operaには対応する予定は無い。もともとOperaはActiveXに対応していないので危険なActiveXの被害にあうことはない。しかしDefaultのブラウザがIEになっていると、何らかのドキュメントを開いたときにIEが起動する場合があるのでSpywareBlasterを導入しておいたほうが良い。

・バージョンアップ時の注意

SpywareBlasterをバージョンアップするときの注意書きをJavacoolのサイトから転載する。

SpywareBlasterを開いて「Quick Tasks」の「Disable All Protection」をクリックする。
SpywareBlasterを閉じる
「コントロールパネル」の「プログラムの追加と削除」からSpywareBlasterを削除する
最新のSpywareBlasterをDownloadしてインストールする

以上でUpdateは完了。つまりレジストリの情報を一度すべて削除してから、最新をインストールしろ！ということらしい

最後に

SpywareBlasterは有名ツールで、当サイトで取り上げるべきか悩んだのだが、ActiveXの危険性のページを書いたときにどうしてもSpywareBlasterの機能が避けて通れなかったため取り上げることにした。本当に簡単なツールだが効果は大きいのでぜひ使用して欲しい。

(注意) 既にSpywareやトロイの木馬に感染してしまったPCに導入してもSpywareBlasterで駆除することはできない。このツールはあくまでも、今後悪意のあるサイトで危険なActiveXを実行されてSpywareやトロイの木馬に侵入されるのを未然に防ぐためのものである。

・Security ToolのTOPに戻る

Javacool Software － SpywareBlaster

機能