wp.bmemo.pw

自分のための覚書・備忘録

WEB セキュリティー

カスペルスキーがWEBサイトに不審なスクリプトを埋め込んでいた件

投稿日:2015年11月11日 更新日:

スクリーンショット 2015-11-11 21.55.52

タイトルが不穏ですが調査やサポートに連絡した結果「通常使用は問題ない」との結論になりましたので先に言っておきます。じゃあなぜ記事にしたかというと「WEBサイト作るときに超困る」からです。

追記:以下の検証等は(2015年11月バージョンの)カスペルスキー2016 Windows版です。

一体何が起きているのか

カスペルスキー 2016および2015の話です。2016はつい最近パッケージ版が発売されましたね。このカスペルスキー2016 Windows版 をインストールすると、アクセスする(ほぼ全ての)WEBサイトに「カスペルスキー謹製 javascriptコード」が挿入されます。

これはカスペルスキーと全く関係ないMicrosoftのWEBサイト(https://www.microsoft.com/ja-jp)を表示した時のhtmlソースです。

スクリーンショット 2015-11-11 22.04.29

見辛くてすいません。microsoftのWEBサイトなのに「https://gc.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js」というjavascript コードが挿入されているのがわかります。

IEでnttxstore.jpを表示してみました。

スクリーンショット 2015-11-11 22.15.12

IEでは「https://ie.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js」というアドレスに変わっています。

カスペルスキー 2016では

  • IEは ie.kis.scr.kaspersky-labs.com
  • FireFoxは ff.kis.scr.kaspersky-labs.com
  • Chromeはgc.kis.scr.kaspersky-labs.com

追記:コメントより。情報提供ありがとうございます!

Edgeではどうかと調べてみたら、Internet Explorerとは異なっていました。
me.kis.scr.kaspersky-labs.com

という3種類のブラウザで SSL, 非SSL問わずほぼ全てのサイトにカスペルスキー スクリプトを挿入してくるのです。

裏で0.5秒ごとに通信している

カスペルスキーのスクリプトなのできっとセキュリティー性を高めてくれているのだろう。。。実際カスペルスキー2016ではWEB関連の保護機能がやたら多い。ネット決済保護から広告ブロックまで。さすが。

なので通常使用には全く問題ないのですが、問題なのはこのスクリプト約0.5秒ごとに「カスペルスキーのドメイン(正確にはPC内のカスペルスキーアプリケーション)に対してHTTPリクエストを発信している」ということなんです。

スクリーンショット 2015-11-11 22.25.49

ブラウザの開発ツールを見てみると、WEBサイトがレンダリングし終わってものの数秒でカスペルスキーに対するリクエストでうめつくされている。これではネットワークモニターは使いものにならない。


スクリプト挿入は無効にできない

サポートに連絡したところ、「まずはブラウザのアドオンを無効にしてくれ」とのことでした。

カスペルスキー2016をインストールするとIE , Firefox, Chromeにそれぞれ「カスペルスキープラグイン」というものがインストールされてしかも勝手に有効化します。これを無効化にしてくれということでしたが無効化にしても解決せず。

スクリーンショット 2015-11-11 22.41.05

IE, Firefox, Chromeでカスペルスキープラグインを無効にする(画像はIE)

それどころかWEB関連の保護機能全ての機能を無効にしてもスクリプト挿入は止まりませんでした。

結果サポートが出した結論は「止めるにはカスペルスキーを使わない」ということでした。サポートなのにそんなこと言っていいのか・・・

このスクリプト挿入機能はカスペルスキーの保護機能が有効になっている限りは止まりません。このことは去年公式フォーラムなどで話題になっていたようです。

参考:Kaspersky Internet Security がページに不審なコードを埋め込み?

参考:Cannot disable Content Blocker KAV plugin – KIS 2015 keeps requesting non-existent URL’s, How to get rid of JS file added to each page’s HTML code?

補足:現状のバージョンでは「暗号化された接続のスキャン」オプションをオフにすることで適切に挿入が停止するというお話を頂いております。

 


最低限の対処法

サポート担当者さんは「カスペルスキーを無効にするしかない」と仰っていましたが、スクリプトの挿入は止められないものの通信自体を止めればネットワークモニターは使えるようになるのでその方法を紹介します。

根本的な解決ではありませんが、最低限ネットワークモニターだけ使えるようにしたいという場合です

hostsの書き換えで対処

メモ帳を管理者権限で実行します。

スクリーンショット 2015-11-11 22.57.23

メモ帳で「C:¥Windows¥System32¥drivers¥etc¥hosts」ファイルを開き、最後の行に以下の文字を追加して保存します。

  • 0.0.0.0  ie.kis.scr.kaspersky-labs.com
  • 0.0.0.0  gc.kis.scr.kaspersky-labs.com
  • 0.0.0.0  ff.kis.scr.kaspersky-labs.com
  • 0.0.0.0  me.kis.scr.kaspersky-labs.com

4つをドメインを0.0.0.0に回します。

Kaspersky の埋め込みスクリプトの動作を解析してみた

より詳細に解析してくださったみたいです。上記の解析内容ですと、hostsで127.0.0.1に回すのは適切ではない可能性があるので0.0.0.0に変更しました。

0.0.0.0でもいいのかしら・・・

HTMLにスクリプトの挿入は行われますが、スクリプトのソースを取りに行くことができなくなるためスクリプトが動作しなくなります。コンソールにエラーが1つ出るのと、ソースが書き換えられるのは回避できませんがカスペルスキーを使い続けるには今のところこの方法しかありません。

スクリプトが動作しなくなると以下の機能が停止する可能性があります

  • ネット決済保護
  • 危険サイト診断
  • コンテンツブロック
  • セキュリティキーボード
  • バナー広告対策
  • Web トラッキング防止機能

保護のためにセキュリティー会社はどこまでユーザーに食い込んでいいのか

セキュリティー意識が高くなってきた最近では攻撃方法が複雑化してきてセキュリティソフトも対応に追われる毎日だと思います。今回の事例は攻撃やフィッシングを防ぐためにどこまでユーザーのPCに食い込んでいいのか問われるような問題でした。ユーザーエクスペリエンスを損なわずに保護レベルを上げるのって相当難しいと思います。カスペルスキーは過去にもお世話になってきましたのでバージョンアップでもし改善されればぜひ使用したいと思います。

-WEB, セキュリティー

執筆者:


  1. yamada says:

    これは助かった!

  2. 佐藤修 says:

    Edgeではどうかと調べてみたら、Internet Explorerとは異なっていました。
    me.kis.scr.kaspersky-labs.com

  3. […] カスペルスキーがWEBサイトに不審なスクリプトを埋め込んでいた件 […]

  4. foo says:

    >それどころかWEB関連の保護機能全ての機能を無効にしてもスクリプト挿入は止まりませんでした。

    上記は明らかな検証ミスなので、この記述は引っ込めるべきでは?
    「暗号化された接続のスキャン」を「しない」に設定すれば、当該のスクリプト挿入は止まります。
    (いくら止められるとは言っても、嫌な仕様だなぁと個人的には思いますけれども。)

    また、hostsの書き換えを行うことそのものも、元々ループバックIP(127.245.107.154)だから無意味です。185.85.13.154の分について念には念を入れてという程度の意味はあるかもしれませんが、これも(*.kis.scr.kaspersky-labs.com側の.htaccessなどで)ループバックされているようです。

    • bmemo says:

      検証/コメントありがとうございます。

      まず
      >>上記は明らかな検証ミスなので、この記述は引っ込めるべきでは?
      >>「暗号化された接続のスキャン」を「しない」に設定すれば、当該のスクリプト挿入は止まります。
      >>(いくら止められるとは言っても、嫌な仕様だなぁと個人的には思いますけれども。)

      について、記事上では端折って書いてしまってて、誤解を招いてしまい申し訳ないのですが、該当項目「暗号化された接続のスキャン」の他、一つ一つの設定項目についてオフにするようサポートに指示されていましたが結局止まることはありませんでした。
      現状止まるということであればアップデート等で改善されたものと考えています。
      この件について、注意書きを付け加えさせていただきました。

      >>また、hostsの書き換えを行うことそのものも、元々ループバックIP(127.245.107.154)だから無意味です。

      について、こちらも確認済みですが、記事の趣旨としてスクリプトの挿入等による情報の収集を非難するものではなく、ブラウザのネットワークモニタを使えるようにするための措置であることにご留意ください。
      この対処法も根本的改善ではないことは承知しております。

      ご指摘ありがとうございました。このコメントが正確な答えになっているか不安ではありますが、またご指摘があればご連絡していただけると幸いです。

  5. 消極ピエロ says:

    アドオンが、カスペルスキーだけに、なってるねん

    カスペルスキー
    カスペルスキー

    だけになっとる

    なんやこれ

    Yahoo
    とか全部でらんやん

    なんやねんコムプレイヤー全然作動せんやん

    エロサイト飛んでもカスペルスキーだけやけん

    アドオンが、実行されてないけん

    コムプレイヤーの、ダウンロードボタンでらんやん

    電気屋に、聞いたら

    コムプレイヤーが、カスペルスキーだけになって

    ダウンロードボタンが、表示されないって聞いたら

    わかりませんって言われたよ?

    これじゃサギペルスキーやん

    どうせえっちゅーねん

  6. […] カスペルスキーがWEBサイトに不審なスクリプトを埋め込んでいた件 […]

  7. says:

    私も同様の問題が発生し、解決しましたのでご報告を。
    結論から言えば、Firefoxをアンインストール→インストールで解決しました。

    同じ問題でお悩みの方がいらっしゃいましたら、バックアップをとった上でお試し下さい。

Leave a Reply to WEB制作者に最適なセキュリティーソフトはコレだ! - WEB攻略 Cancel reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連記事

2015年8月現在、使える商品検索APIはどれなのか

先日8月3日についにconeco.netの商品検索APIがサービスを終了しました。リクエスト制限もゆるく使い勝手が良かったのですが残念です。 で、今生き残っている商品検索APIはどれなのか調べてみまし …

no image

Ubuntu 15.10でPHP7 をインストール

気が狂うほど速くなったらしいPHP7とやらを入れてみたいと思います。本当はnginx + wordpressもやりたかったけど力尽きた 現状ではまだPHP7のパッケージはほとんど提供されていないので自 …

no image

Raspberry Pi やAndroid でAMラジオを発信する

エアギャップネットワーク / コンピュータ というものをご存知でしょうか。LAN、WLAN、BT等の公衆ネットワークから完全に切り離されたスタンドアロンのネットワーク / コンピュータのことです。 こ …

GitHubの優秀な検索のせいでAWSなどのアクセスキーが流出している件

GitHubって便利ですよね。この前AWSを使ったコードを書きました。 AWSの全データセンターから最も価格の低いスポットインスタンスを検索するスクリプト で、これ書く前、参考にGitHub漁ってたん …

no image

大学のネット回線が遅い? → ネームサーバー変えてみ?

クソクソ言われ続ける大学の回線。お昼休みの時間帯は1Mbpsすら出ないこともしばしばあります。なんでかなあそんな貧弱な回線じゃないんだけどなあと悩んでいたのですが、ある日名前解決にやたら時間がかかって …