よく分からんけど特定サイトでだけ「お使いのPCがクラッシュ寸前です」などの広告が出る

概要

最近 TuneIn で良くJ-POP 97.1 101.1というラジオ局を聞いています。

このラジオ局はPCから聞こうとする場合、ポップアッププレイヤーで再生する形式になっています。
それで、今朝も何気なく立ち上げたら次のような広告が表示されました。

  • ストリーム準備中

adware

  • ストリーミング中

adware

明らかに詐欺広告なのでクリックすることはないし普段なら大して気にはしませんでした。
でも今日は久々に早起きできて「朝からVim script書いちゃうぞ」と気分が向上していたのに、詐欺広告なんか見せられて大人気なく苛立たってしまいました。

なんだこの広告はということで調べた、という備忘録です。

Systweak RegClean Pro という詐欺ソフトへの導線

もう1年以上も前から有名な詐欺ソフトらしくて、それをインストールさせるための広告の1つが上記画像のようです。

【詐欺まがいで評判】 Systweak RegClean Pro 削除アンインストール方法 【ゴミソフトな評価】

とりあえず、やはり詐欺系だというのは分かりました。

不正ブラウザプラグインが普通の広告を上書きするらしい

なぜ詐欺広告が出てしまうかというと、知らずにインストールしているブラウザプラグインによるものとのこと。

【スパイウェアが発見されました】詐欺広告がYouTubeやブラウザに出現した場合の削除方法

Yontooというプラグインですが、これは単体ではなく他プラグインと一緒に隠れてインストールされることもあります。

「お使いのPCがクラッシュ寸前です」詐欺広告撲滅の手順

ブラウザアドオンYontooアドウェア 削除アンインストール方法 【About this ad iReview】

Yontooは最近Mac版が登場して被害拡大している

Windows版よりも悪質だとか。

Windowsの迷惑ソフト(アドウェア)「Yontoo」が悪質性を増して Mac OS にも対応

ちなみにXProtectの定義ファイルにはYontooが追加されているみたい。

Apple が Yontoo アドウェアのために XProtect をアップデート

でも、そんなプラグイン入っていない

Chromeのエクステンション(chrome://extensions)にもプラグイン(chrome://plugins)にも見当たりません。
一応以下のケースで確認してみましたが、どれも変わらず詐欺広告が表示されました。

  • Chromeでエクステンションを全て無効にして確認する
  • Chromeでシークレットモードで確認する
  • Safari(Java無効以外はデフォルトのまま。機能拡張なし)で確認する
  • Firefox(入れたばかり)で確認する

そして何より上記サイトと違うのは、普通にブラウジングしている時には出ません。
報告では「下側に出る」とか「普通のサイトで広告が書き換わる」などとありましたが、私の場合それはありません。

TwitterYouTubeなどのサイトでは普通の広告が表示されます。

今のところ分かっているのは、冒頭で載せたJ-POP 97.1 101.1用のポップアッププレイヤーのみです。

次のことも確認しました。

  • tuneinドメインのポップアッププレイヤーで再生できるラジオ局で確認
    • 10回以上ためしても詐欺広告は出ない
    • (J-POP 97.1 101.1では1/2ぐらいの高確率で出ます)

adware

  • radikoドメインのポップアッププレイヤーで再生できるラジオ局で確認
    • そもそも広告出なかった

adware

なんなのこれ。

結局

分からんし普段のブラウジングでは発生しないので無視することにしました。

起きてからこのブログを書くに至るまでの約3時間、結局Vim scriptは書けていません。