2015年07月12日

広告ポップアップを表示するMagicanを削除した

私は毎日Macを使っていますが、2日前(7/10)から下のような「MacCare」というアプリの広告ポップアップ・ウィンドウが突然表示されるようになりました。
SCShot_150712_0001-Uninstalling_Magican_AdPopUp-400x352.png
Webブラウザで怪しげなサイトを訪問すると、こういう広告ポップアップが表示されることは良くあります。しかも、怪しげなサイトから離れた後も、Webブラウザを開いていると常に広告ポップアップが表示されるようになったりします。こういう悪さをするものを「Adware」と呼ぶらしいです。ちなみに、こういうAdwareは大抵Webブラウザのプラグイン経由で入り込んでいるらしいです。Webブラウザを使っている際にAdwareの広告ポップアップは何回か見たことがあり、Windowsでは入り込んだAdwareを削除するのに苦労した経験もあります(WindowsのInternet Explorerはセキュリティ上の弱点が多く、Adwareのターゲットになり易いと言われています。私もWindowsではIEを避けてGoogle Chromeを使っています。また、怪しげなサイトに行ったりするのはブライベート用のWindows PC一台だけに制限しています)。しかし、Webブラウザを起動していない状態で、上のような広告ポップアップが表示されたのは初めての経験です。

もはやPCユーザーにとっての常識ですが、こういう広告ポップアップ・ウィンドウが表示されても、絶対にウィンドウ内の[Try]や[Go]などのボタンを押してはいけません(「Install」みたいな直接的な表現でなくても、ウィンドウ内のボタンを押すのはNGです)。ウィンドウ内に表示されているアプリが強制的にインストールされることがあるからです。この手のアプリには大抵ウィルスやマルウェアが仕込まれているので、一旦アプリがインストールされてしまうと、PCに入り込んでしまったウィルスやマルウェアを削除するのに大変な労力を使うことになります。マルウェア入りの広告拡販アプリと言えばMacKeeperというのが有名ですが、安易なネーミングのこのMacCareというアプリも相当怪しいです。‎広告ポップアップで勧められても、そんなアプリは絶対に信用してはいけません。

今回のケースもMacがウィルスかマルウェアにもでも感染したのかと思ったので、すぐにClamXavとBitdefender Virus Scannerを使ってウィルス検索を行いました。しかし、どちらとも何も検出されませんでした。

それで、ググって情報を探し回ると、まったく同じ症状が記載されている下のページに見つけました。

 MacCare MacCleaning pop up window | Apple Support Communities

このページの情報によると、何とMagicanというアプリが悪さをしているそうです。

上のページの情報の真偽を確かめるために、Macが起動した直後にMagicanを終了させてみました。すると、5分以上経過しても広告ポップアップは表示されませんでした。Magicanにはログイン時起動機能が備わっており、この機能を有効にするとMagicanMonitorというサービスがログイン項目に登録されて、システム起動時にメニューバーにMagicanのアイコンが表示されます。この状態ではMagicanがバックグラウンドで動作していますが、システム起動後のきっかり5分後に広告ポップアップが表示されることが確認できました。ログイン時起動機能を無効にして、手動でMagicanを起動した場合も、Magicanの起動時点から丁度5分後にこの症状が起きました。

Magicanの存在を知って以来私はすべてのMacへ入れおり、その機能も結構利用していました。最初にMacへMagicanをインストールしてからもう3年位使い続けていましたが、いままで上記のような症状は一度も経験したことはありません。これは想像ですが、Magicanを開発している企業が他の企業に買収でもされて、その企業の事業方針に従うために、広告ポップアップを表示するに変えたのかもしれません。Magicanの広告ポップアップを表示する処理はインターネット経由で実行されているのでしょう。もしそうだとすると、インーネット経由でMacを操作されてしまう可能性もあります。

どんなに便利な機能を持っていても、広告ポップアップを表示するアプリを使うのは嫌です。こんな広告は鬱陶しいですし、他にも色々な悪さをしている可能性もあります(事前通知なしで、いきなり広告ポップアップ表示を始めるようなアプリを性善説で信用するのは無理です)。広告ポップアップを表示しているのがMagicanであることが判った時点で、私はすべてのMacからMagicanをアンインストールしました。ちなみに、Magicanはそこそこ有名なアプリで、ググると、便利なアプリとしてプッシュしているページがかなりの数ヒットします。こういう情報を知ってインストールしている人は大勢いるようですが、Magicanを使うのはすぐに止めるべきです。そう言う私も安易にインストールしてしまった一人ですが、今回の件でMagicanはもはや信用できないと思いました。Magican Restというアプリも利用していたのですが、これもすべてのMacから削除してしまいした。ちなみに、MagicanはMac AppStoreには登録されていません。MagicanLiteという機能縮小版の方が登録されていますが、これをインストールするのも避けた方が良いでしょう。Magicanの公式サイトの掲載情報によると、Magicanはv1.4.8(2013/08/09リリース)以降バージョンアップされていません。こういう状況からも、Magicanはかなり疑惑の深いアプリではないかと思います。

スマホでは広告付きアプリを避けるのは困難な状況になっていますが、PCでは広告付きアプリを使うのはできるだけ避けるべきです。どうしても広告付きアプリを使わければならない場合は、ファイアウォールを利用するという手もあります。最近は広告付きアプリが増えており、私もWindows PCでは仕方なくいくつか使っていますが、高機能なファイアウォール・ソフトをインストールしておいて、こういうアプリのインターネット・アクセス先を制限するようにしています。PCではファイアウォールはもはや必須のソフトです。Windowsには必ず入れていたのですが、今回のケースに遭遇して、すべてのMacにフリーのファイアウォール・ソフトをインストールしました。

■ Magicanのアンインストール


Magicanには[Magicanをアンイストール]というメニューが在ります。ただし、このメニュー項目はMagicanの通常メニユーの方ではなく、アイコン・メニューの方に存在します。Magicanのアンインストールはこのメニューを実行すれば良いだけですが、私はその後にいくつか追加の操作を行いました。Magicanを完全に削除したかったからです。私が行った操作を以下に記します。
  1. 最初に、AppCleanerによってMagicanの関連ファイルを検索しました。
    SCShot_150712_0015-Uninstalling_Magican_AdPopUp-446x1021.png
    そして、上のウィンドウのスクリーンショットを取得しました。

  2. Magicanの[環境設定]メニューを開いて、[一般]タグ画面の[ログイン時にモニターを起動]チェックボックスをOffにします。
    SCShot_150712_0010-Uninstalling_Magican_AdPopUp-480x144.png
    これによって、ログイン項目からMagicanMonitorが削除されます。

  3. Magicanアイコンのメニューから[Magicanをアンイストール]を実行します。
    SCShot_150712_0011-Uninstalling_Magican_AdPopUp-578x322.png
    すると、下のようなウィンドウが表示されます。
    SCShot_150712_0013-Uninstalling_Magican_AdPopUp-388x270.png
    このウィンドウの[アンイストール]ボタンを押すと、Magicanのすべてのコンポーネントが削除されます(Magicanのアンインストール終了後に、Webブラウザでアンインストールの理由を尋ねるアンケート・ページが開きますが、このページは無視して閉じました)。

  4. Magicanによるアンイストール処理が終わった後、ターミナルから次のコマンドを実行して、残っているMagicanの関連ファイルを検索しました。
    % sudo find /Applications /Library ~/Library /private/var/db -name "*[M|m]agican*" -ls

    そして、見つかったMagicanの関連ファイルをすべて削除しました。
    % rm -rf ~/Library/Preferences/com.magican.*
    % rm -rf ~/Library/Caches/com.magican.*
    % rm -rf ~/Library/Logs/Magican*
    % sudo rm -rf /private/var/db/BootCaches/200FA34F-2267-4ED5-A03A-D70EF0AE905C/app.com.magican.*
    % sudo rm -rf /private/var/db/receipts/com.magican.*

    ここで削除するファイルは、AppCleanerのMagican関連ファイルの検索結果と照合しながら選別しました(上のfindコマンドでは、Webブラウザのキャシュ・ファイルなどもヒットするからです)。

以上でMagicanのアンインストールは終わりですが、余談的な情報も書いておきます。

じつは、上のApple Support Communitiesのページに辿り着いて、今回のケースの症状を解決するまでに試行錯誤を繰り返しました。

まず最初に試したのが、このアプリです。

Icon-AdwareMedic-64x64.pngAdwareMedic

SCShot_150712_0003-AdwareMedic_Scanning_Adware-600x603.png
ググって見つけたフリー・ソフトですが、「Mac Adware」というキーワードで検索すると、AdwareMedicのページがトップでヒットします。

さっそくこのAdwareMedic試してみたところ、私の環境では、下のようにAwesome ScreenshotというSafariとFirefoxのプラグインが検出されました。
SCShot_150712_0005-AdwareMedic_Scanning_Adware-700x572
このAwesome Screenshotというプラグインも便利に利用していたのですが、じつは、3ヶ月程前にこいつがどうも悪さをしているらしいという下のページを見つけて、SafariとFirefoxのいずれもプラグインは残した状態のその機能を無効にしていました。

 Awesome Screenshot が閲覧したサイトのURLを収集している疑い | 秋元@サイボウズラボ・プログラマー・ブログ
 Awesome Screenshot URL tracking and niki-bot | mig5.net

今回AdwareMedicによってAdwareとして検出されたことを受けて、Awesome Screenshotも削除してしまいました(AdwareMedicではなく、SafariとFirefox側でプラグインをアンインストールしました)。

ちなみに、このAwesome Screenshotというのは縦に長くてスクロールしないと表示できないページを一つのイメージでスクリーンショットを作成してくれるプラグインです。これも結構広く使われているようですが、上のページに記載されているようにユーザーの閲覧サイト履歴を収集している疑いが濃厚で、Adwareを仕込むこともあるらしいので、たとえ便利でも使うのは止めた方が無難です。私もブログ記事に貼るWebページのスクリーンショットを作成するのにAwesome Screenshotを利用していましたが、いまはqSnapいうものに乗り換えています。

最後に、Macで起きる問題を解決するのに役立ちそうなフリー・ソフトをもう一つ見つけたので紹介しましょう。

Icon-EtreCheck-64x64.png EtreCheck

このEtreCheckというソフトの存在は、上のApple Support Communitiesのページで知りました。これはMacのハードウェアやソフトウェアの詳細情報を収集して表示するだけのシンプルなアプリです。Macの標準アプリの[システム情報](System Information)と似ていますが、[システム情報]はカテゴリ別なのに対してEtreCheckの方は一覧形式で情報を表示してれます。

私のMacBook Air 11-inch(Early 2014)で、このEtreCheckを実行した結果を以下に示します。
SCShot_150712_0048-EtreCheck_Checking_SystemInfo-610x1160.png
SCShot_150712_0049-EtreCheck_Checking_SystemInfo-610x1138.png
SCShot_150712_0050-EtreCheck_Checking_SystemInfo-610x678.png
上の一覧情報の中には[システム情報]によって取得できるものもありますが、カーネル拡張モジュール、エージェント、デーモンなどの情報は特殊なコマンドを使わないと取得できません。これらのエントリ情報の横に[Click for support]という文字列が存在しますが、これはリンクで、クリックするとWebブラウザが開いてGoogleの検索情報が表示されるようになっています。EtreCheckの取得情報とGoogle検索情報を組み合わせることで、カーネル拡張モジュール、エージェント、デーモンなどが悪意のあるものかどうかの判断材料が得られる訳です。

このEtreCheckはApple社内でも利用されているそうです。マニアックなアプリですが、長年Macを使っていてディープな情報も理解できるようなユーザーにとってはかなり役立つものじゃないかと思います。私はこのEtreCheckというアプリが気に入って、すべてのMacへインストールしました。普段使うことはないでしょうが、いざというときに役立ちそうです。


posted by とみやん at 09:12| Comment(0) | TrackBack(0) | PC > Mac
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/151496152

この記事へのトラックバック