Jubilee 曰く、

以前CDNetworks改ざん事件の折にも触れたが、改めて。

BitTorrentで配布されているオープンソースソフトを入手しようと.torrentファイルをダブルクリックしたところ、「Webサービスで正しいソフトを探す」(標準ではhttp)としていくつかのソフトが示唆された。その筆頭だったFilanTorrentはとんでもない代物だった。

インストールを試みると、いきなりHao123。回避して進む。RegCleanPro。やめればいいのに回避して進む。一応インストールはできて、それらしく見える画面が出てほどなく目当てのOSSを入手できたようだ。

しかしダウンロードしたインストーラーファイルの所在が分からずハッシュを調べることができない。不審に思いつつ半分怖いもの見たさでダブルクリック。デジタル署名が違う。プロジェクト正規のものではなく、KawagaSoftとやら。こりゃだめだ。

全部ひっくるめてアンインストールしてしばらくしたら、画面右下から別のOSSの更新通知が。無視していたら今度はJavaSEのが。Javaの更新通知はこんなのじゃなかったはず、とダウンロードさせてみたら、署名がオラクルではなくやはりKawagaSoft。

「やばいもんに侵入された」と気づき、復元の用意をしつつ「更新通知」を出すプロセスを探すと入れた覚えのないソフト名。アンインストールしようとするとインストール日がちょうど半年前。しかしこの半年あんな変な更新通知を見たことがない。

恐らくHao123などをデコイにして本命の「偽更新通知」ソフトを侵入させようとしていたのだろう。そう、ちょうどヤン・ウェンリーがイゼルローンを一時放棄する際に発見されることを期待して爆弾を仕掛け、中枢のロジックボムから帝国軍の目を逸らせようとしたように。

一応ルートキットの類も検査したが入れられていなかったようなので、根圏は一応落着したと思っている。しかしダウンロードしたソフトは必ずハッシュチェックしないと落ち着かないようになった。Windowsは標準でハッシュチェック機能を搭載すべきだ。

情報元へのリンク