Zoomと同名の2001年に開発されたPC高速化ツール「Zoom」が「怪しいZoom」と報道される

人気のZoomと同名だというだけで偽Zoomと報道されたPC起動高速化ツール

 ヤフトピを眺めていると「怪しいZoom」という見出しが目についた。しかし、情報の早い海外のセキュリティ系ニュースサイトやセキュリティ研究者達は1つも話題にしておらず、騒いでいるのは日本だけ。違和感を感じたので筆者も実際に問題のアプリケーションをダウンロードし調査したところ、2001年にリリースされた同名のPC高速化ツールであることがわかった。

 アプリ自体は無害であり、開発元とされるウェブサイトへの訪問のみ問題があることがわかった。

■Bingで「Zoom ダウンロード」と検索してみた

 筆者が目にした記事にはこのような記載があった。

なお、検索サイト「Bing」で「Zoom ダウンロード」と検索すると、正規サイトよりも非正規サイトが検索結果の上位に表示されている(24日12時30分現在)。グーグル、ヤフーでは正規サイトが一番上に表示された。

出典:J-CASTニュース:「怪しいZoom」に注意 詐欺被害のおそれ...検索サイトでも「非正規版」上位に

 記事にある通り、Bingで「Zoom ダウンロード」と検索すると、確かに「オンラインビデオ会議サービス」とは異なるZoomのURLが検索結果に表示された。しかし、この時点でサイトの説明文には「システム最適化やコンピュータを素早く起動停止」など、「あのZoom」とは異なる内容が記載されていることがわかる。もし「あのZoom」を語るフィッシングサイトなら最近の傾向では、もっと本物に似せた紹介文が表示されるように造り込むだろう。

Bingの検索結果。ダウンロード Zoom無料とあり一見すると「あのZoom」のようだが、その下の説明文にしシステム最適化等の全く異なる機能の紹介文が表示されていることがわかる。
Bingの検索結果。ダウンロード Zoom無料とあり一見すると「あのZoom」のようだが、その下の説明文にしシステム最適化等の全く異なる機能の紹介文が表示されていることがわかる。

 検索結果をクリックして表示されるのがこのダウンロードページ。確かに「Zoom」というアプリケーションのダウンロードページではあるが日本語ではっきりと「コンピュータをすばやく起動&停止」と書かれており、とても「オンラインビデオ会議サービスのZoomのフィッシングサイト」を装っているとは思えない。

 

「怪しいZoom」と報道されている、問題のZoomの画面。はっきりと日本語で「コンピュータをすばやく起動&停止」と書かれており、オンラインビデオ会議サービスでは無いことがわかる。
「怪しいZoom」と報道されている、問題のZoomの画面。はっきりと日本語で「コンピュータをすばやく起動&停止」と書かれており、オンラインビデオ会議サービスでは無いことがわかる。

 ちなみに、こちらが正規のZoomのダウンロードサイトだ。「怪しいZoom」と報道されたサイトとは全く異なっている。最近のフィッシングサイトはデザインやフォントまで本物そっくりに作り込まれていることが多く、Zoomのような話題のアプリを語るフィッシングサイトが、このように全く異なるデザインで作成されるとは考えにくい。

 

正規のZoomのダウンロード画面。問題の「偽Zoom」とは全く異なるデザインとなっている。
正規のZoomのダウンロード画面。問題の「偽Zoom」とは全く異なるデザインとなっている。

■「怪しいZoom」をインストールしてみた

 「怪しいZoom」とされたサイトからインストーラーをダウンロードし、実際にインストーラーを起動してみた。すると、「あのZoom」とは、全く似ていないロゴが表示され、URLもZoomと全然異なるURLが表示される。「あのZoomに似せて誰かを騙そう」としている意図は全く感じとれない。

「怪しいZoom」のインストール画面。表示されるURLもZoomと全く関係性が無く誤認識させるようなURLでもない。ロゴも全く似ていない。騙す意図が全く感じられない。
「怪しいZoom」のインストール画面。表示されるURLもZoomと全く関係性が無く誤認識させるようなURLでもない。ロゴも全く似ていない。騙す意図が全く感じられない。

 そして、ZoomがインストールされるとPCを起動するたびに、このようなポップアップが表示される。

「怪しいZoom」と評されたZoomをインストールするとPCを起動するたびにこのようなポップアップが表示される。実際はデモで利用可能な回数が表示され購入用のメニューが表示されているだけ。
「怪しいZoom」と評されたZoomをインストールするとPCを起動するたびにこのようなポップアップが表示される。実際はデモで利用可能な回数が表示され購入用のメニューが表示されているだけ。

 インストーラーに同梱されていたHelpによると、「Zoom will accelerate startups, reboots, shutdowns and standby & resumes.(Zoomは、起動、再起動、シャットダウン、スタンバイと再開を高速化します。)」と記載されている。Windowsの起動と再起動を高速化するツールなので、「起動のたびにZoomが立ち上がってくる」仕様になっているようだ。支払い条件として「デモ版は20回まで実行可能」とあり、ポップアップには20回中何回目の起動なのかが表示されている。

 この動作を「支払いを請求するマルウェア」と誤解した記事も見受けられた。

 

ヤフー知恵袋では4月に入ってから立て続けに、誤ってインストールした人からの質問が相次いでいる。質問者によると、パソコンを起動する度に英語のポップアップで「無料で利用できるのは20回まで。これ以降は購入してください」といった趣旨の警告が繰り返し表示されるという。

出典:"偽Zoom"ダウンロードによる被害報告相次ぐ PC起動する度にポップアップ出現、料金請求されるケースも

 また、インストール完了後にWindows Defenderにてインストールフォルダをスキャンしてみたが、脅威は検出されなかった。

■「怪しいZoom」は本当に怪しいのか?

インストーラーに同梱されていたリリースノートによるとZoomのVersion 1.0がリリースされたのは2001年。地道にバージョンアップを重ね2002年9月にVersion 1.3.1をリリースし、それ以降リリースが止まっているようだ。

 Googleで検索してみると、dachshundsoftware.com社製 Zoomに関する2003年のレビュー記事も見つけることが出来た。

 現在開発は継続されていないようだが、2001年から2003年前後までは利用者も存在したようであり、悪意のあるソフトウェアでは無かったのでは無いかと推測される。仮に悪意のあるソフトウェアだったとしてレビュー記事が投稿されるとは考えにくい。

 筆者はマルウェアの専門家ではないので断定は出来ないが、利用者のレビューが存在すること、Windows Defenderでも脅威が検出されなかったことを考えると、ソフトウェア自体には悪意は無いと推測される。

■dachshundsoftware.comにアクセスすると有害サイトの警告が

 次に「怪しいZoom」の開発元である、www[.]dachshundsoftware[.]comにアクセスしてみた。筆者の環境はアカマイ社のETPという脅威対策ソリューションで保護されているため、www[.]dachshundsoftware[.]comにアクセスすると、有害なサイトであるという警告が表示された。

 警告の内容を確認すると、www[.]dachshundsoftware[.]comにアクセスすると、lendjp1[.]siteというサイトに誘導されており、このサイトが有害なサイトと判定されているようだ。

 「怪しいZoom」の問い合わせ先となっている"www[.]dachshundsoftware[.]com"にアクセスすることは控えた方が良いだろう。

 なお、IPAの投稿した「偽の警告画面」は筆者の環境で表示されることは無かった。既に誘導サイトが消去されているのかもしれないし、筆者環境は脅威サイトへの通信はアカマイETPでブロックされ、ローカルPC環境はWindows Defenderで保護されるという多層防御となっているので、IPAの動画の環境とはセキュリティレベルに差異があるのかもしれない。

■もし、「怪しいZoom」をインストールしてしまったら?

 アプリケーション自体は無害と推測されるが、もし「あのZoom」と間違ってダウンロードしてしまい、かつインストールまでしてしまった場合には、「怪しいZoom」のインストールフォルダにUninstall.exeがあるのでそれを実行すればアンイストールすることが可能だ。

 ※デフォルトではC:\Program Files (x86)\Dachshund Software\Zoom\Uninstall.exeが存在する。

 アンインストールすれば、PCを再起動してもポップアップが表示されることはない。

■結論。「怪しいZoom」は無害、ウェブサイトには訪問しないこと

 Windows Defenderでも脅威が検出されなかったことを考えると、ソフトウェア自体の危険性は低い。但し20年近く前のソフトウェアであるため、最新のWindows10等にインストールすれば不具合が起きる可能性はあるので、インストールすること自体は推奨しない。

 但し、開発元サイトへの訪問は避けた方がよい。これは推測だが「怪しいZoom」の開発が継続されていた当時は"www[.]dachshundsoftware[.]com"のドメインは正規の利用者によって利用されていたと推測される。しかし、開発が中止されこのドメインが悪意のある第三者によって取得され、現在は脅威サイトとして動作しているのではないかと推測される。こういった「昔利用されていたサイトを悪意のある第三者が乗っ取る」行為は、ドロップキャッチと呼ばれる行為であり、実行することは可能である。

 ヤフトピにまで掲載され話題を集めた「怪しいZoom」だが、筆者としては「アプリ自体は無害であり誤ってインストールしたとしてもアンインストールすれば無害。しかし、開発元とされるウェブサイトにはアクセスしないこと」を推奨する。

 念の為、正規の「オンラインビデオ会議サービス Zoomのダウンロード用URL」を記載しておく。

  https://zoom.us/download