突然、パソコンを起動するたびにブラウザが勝手に立ち上がり、「組織によって管理されています」という不審なメッセージが表示されたり、検索結果が見覚えのないサイトにリダイレクトされたりすると、とても不安になるものです。こうした症状を引き起こす「Ultralonen」マルウェアへの対処法を詳しく解説します。
Ultralonenマルウェアとは?
「Ultralonen」と呼ばれるマルウェアは、主にブラウザの拡張機能を装った状態で侵入し、検索エンジンを勝手に変更したり、ポップアップ広告を大量に表示したりといった嫌がらせを行います。さらに、レジストリやタスク スケジューラ、ブラウザのポリシーを改ざんしてユーザーの操作を妨げるため、単純なアンインストール手順だけでは完全に削除できない点が特徴的です。
拡張機能を装ったマルウェアの脅威
一般的なウイルス対策ソフトやブラウザの拡張機能管理画面で簡単に見つからないケースもあり、知らぬ間に組織ポリシーを持つような設定を施してしまう厄介さがあります。「Your browser is managed by your organization」や「組織によって管理されています」といったブラウザ表示を触媒として、レジストリからの手動削除を困難にする仕組みが多いのも厄介な点です。
Ultralonenマルウェアに感染したときの症状
このマルウェアに感染すると、さまざまな形でパソコンの動作やブラウザ挙動に支障をきたします。代表的な症状を以下に挙げます。
ブラウザが「組織によって管理されています」と表示される
通常、企業や学校などの管理下にある端末であれば、管理者がグループポリシーを通じて特定の設定を適用しているためにこの文言が表示されることがあります。しかし自宅で個人使用のパソコンにもかかわらず「組織によって管理されています」という表記が出る場合、マルウェアがレジストリを改ざんして独自のポリシーを仕込んでいる可能性が高いです。
タスクスケジューラで怪しい動きがある
Windowsのタスク スケジューラを覗くと、不可解なタスクが登録されていることがあります。たとえば、ブラウザ拡張機能の再インストールを繰り返すスクリプトや、特定のレジストリキーを復活させる動作をスケジュールしているタスクです。こうしたタスクが存在するため、ブラウザ設定をいくらリセットしてもすぐに戻されてしまいます。
ウイルス対策ソフトが一部のレジストリキーやファイルを削除できない
「Malwarebytes」や「Windows Defender」などのセキュリティソフトを実行しても、一部のキーやファイルがロックされていて完全削除できないケースが報告されています。このような場合、特権レベルで保護されているか、タスク スケジューラから再生成されてしまうことが多いため、別の手段を用いる必要があります。
検索エンジンの勝手なリダイレクトやポップアップ広告
日常的に使用するブラウザ(EdgeやChromeなど)の検索結果が怪しいページに飛ばされたり、やたらと広告が表示されてしまったりします。こうした挙動はマルウェアが埋め込んだ拡張機能によるものが多く、放置するとフィッシングサイトへの誘導など、深刻な被害につながりかねません。
Ultralonenマルウェアの具体的な削除手順
それでは、実際に「Ultralonen」マルウェアを取り除く手順を詳しく見ていきましょう。以下では主に4つのステップを段階的に解説します。
1. スケジュールされたタスクの削除
まずはWindowsに標準搭載されている「タスク スケジューラ」を起動し、不審なタスクがないか確認します。名称や説明が怪しかったり、見覚えのないタスクがあればメモを取りつつ削除を試みましょう。
削除後、パソコンを再起動し、依然としてブラウザに不審な動作が見られるかをチェックしてみます。多くの場合、タスクを取り除くだけで再インストール処理やブラウザ改ざんが止まるケースがあります。
2. FRST (Farbar Recovery Scan Tool) を用いた除去
手動操作だけでレジストリをすべてクリーンにするのは難しい場合が多いため、専門ツールの「FRST (Farbar Recovery Scan Tool)」を活用する方法がおすすめです。FRSTを使用すると、不要レジストリやブラウザ拡張機能をまとめて削除できます。
FRSTのダウンロードと注意点
- BleepingComputerなどの公式配布サイトから「FRST64.exe」をダウンロードします。
- ブラウザによっては「ウイルスの可能性あり」と警告される場合がありますが、正規のダウンロード先であれば問題ないため、セキュリティ設定の警告に従って「保持する」または「詳細を表示」から継続してください。
スキャンログの作成
- ダウンロードしたFRST64.exeを起動し、「Scan」ボタンをクリックします。
- すると「FRST.txt」と「Addition.txt」という2つのテキストファイルが作成されます。これらには現在のシステム状況やレジストリの一覧などが記載されているため、削除対象を特定する際に役立ちます。
fixlist.txtを使用した修正
- 作成されたログをもとに不要なレジストリキーや怪しいファイルの場所を調べます。
- メモ帳などで「fixlist.txt」というテキストファイルを作成し、削除したいキーやファイルのパスを指定するコマンドを記載します。
- FRSTと同じフォルダにfixlist.txtを保存し、FRSTを再度起動して「Fix」ボタンを押します。もしくは、FRSTの機能を使ってクリップボードに記載した削除命令を読み込ませることも可能です。
- FRSTが指示どおりに不要ファイルやレジストリを削除して再起動してくれます。
処理結果の最終確認
再起動後、FRSTが「Fixlog.txt」というファイルを出力します。これにより、実際にどのキー・ファイルが削除されたのかを確認できます。問題のあるレジストリキーやブラウザ拡張機能が削除されていれば成功です。最終的にFRSTが作成したフォルダ(C:\FRSTなど)やツール本体は用済みなので削除してもかまいません。
3. 手動でレジストリキーを削除
「組織によって管理されています」という表示を誘発するレジストリキーがPoliciesフォルダなどにあるケースが多く、通常の方法では「アクセスが拒否されました」と表示されて削除できないことがあります。その場合は、以下の手順で権限設定を変更します。
- レジストリエディタを管理者権限で起動し、該当のキーを右クリック→「アクセス許可」を選択。
- 「詳細設定」ボタンをクリックし、「継承を無効にする」あるいは「継承を解除する」を選択します。
- 不要なアカウントや権限を削除し、最終的に自分のユーザーアカウントに完全権限(フルコントロール)を付与します。
- これで再度レジストリキーを削除可能になるケースがほとんどです。
4. Windows Security「メモリ整合性 (Memory Integrity)」有効化に関する対処
マルウェアと直接関係しないように見えて、実はメモリ整合性が無効になっている状態がマルウェアの動きを許容している場合もあります。しかし「互換性のないドライバーが検出されました」とだけ表示され、具体的なドライバー名が出ないケースが厄介です。そうした場合は次の方法を試してください。
- Microsoft公式が配布している「hvciscan_amd64.exe」をダウンロードします。
- 管理者権限でコマンドプロンプトを起動し、hvciscan_amd64.exeを実行します。
- するとレポートが生成され、問題となっているドライバー名が判明する場合があります。ドライバーのアップデートかアンインストールを検討しましょう。
- OSやPCメーカーのサポートサイトに最新のドライバーやBIOSが公開されていないかを確認し、総合的なアップデートを行うのも有効です。
5. ブラウザメッセージ「Your browser is managed by your organization」への対処
レジストリやタスク スケジューラを駆使してマルウェアを取り除いても、ブラウザ上には「Managed by your organization」「組織によって管理されています」といったメッセージが引き続き表示されるケースがあります。これはブラウザ側の設定やポリシーが残留しているためです。
Chromeの場合はchrome://policy、Edgeの場合はedge://policyをアドレスバーに入力すると、どのようなポリシーが適用されているか確認できます。不要な項目が残っているなら、レジストリやブラウザの設定をもう一度確認し、該当するキーやファイルを削除しなければなりません。
表でわかる対策のまとめ
以下に、主要な対策と期待できる効果を一覧表にまとめました。
| 対策 | 使用ツール/方法 | 期待できる効果 |
|---|---|---|
| タスク スケジューラ削除 | Windows標準のタスク スケジューラ | 自動で再インストールされる拡張機能などをブロック |
| FRSTによるスキャン&Fix | FRST64.exe (Farbar Recovery Scan Tool) | 不要レジストリやファイルを包括的に除去 |
| 手動でレジストリ削除 | レジストリエディタで権限調整 | 「組織によって管理されています」を誘発するキーを消去 |
| メモリ整合性の有効化 | Windows Security + hvciscan_amd64.exe | マルウェアの動作を抑止し、システム保護を強化 |
| ブラウザポリシーのリセット | Chrome/Edgeの内部ポリシー設定 | 「Managed by your organization」の表示を除去 |
マルウェア感染の予防策・注意点
Ultralonenをはじめとするマルウェアへの感染を防ぐためには、日頃からのセキュリティ意識が欠かせません。以下の点に気をつけましょう。
- 不審なソフトウェアや拡張機能をインストールしない
出所がはっきりしないアプリや拡張機能は極力インストールを避けましょう。たとえ有名なマーケットプレイスで配布されていても、レビューが極端に少ないものや最近急増しているものは注意が必要です。 - ウイルス対策ソフトを常に最新の状態に保つ
Windows Defenderのような標準搭載ソフトやその他のウイルス対策ソフトをこまめにアップデートし、新種のウイルスに備えましょう。 - レジストリやシステムファイルにむやみに手を出さない
セキュリティ対策の一環として不用意にレジストリを操作すると、逆に悪用されやすい脆弱性を作り出してしまう場合があります。権限設定やセキュリティ保護を十分に理解した上で行ってください。 - 定期的なバックアップの実施
万が一マルウェアに感染した場合でも、OSやデータのバックアップを定期的に行っておけば、最悪の事態から復旧しやすくなります。外部ドライブやクラウドを活用しましょう。 - パスワードの使い回しをしない
感染後はできるだけ早く重要なパスワードを変更し、他のサービスとの使い回しを避けることが大切です。ブラウザに保存していたパスワードが流出するリスクもあるため、二段階認証の導入も検討してください。
まとめ
Ultralonenマルウェアは、拡張機能の乗っ取りやタスク スケジューラへの常駐スクリプト登録など、多角的にシステムを改ざんするため、従来のウイルス対策ソフトだけでは対処しきれないことがあります。そんなときこそ「FRST」などの専門ツールを活用しつつ、タスク スケジューラやレジストリの権限設定を見直すことが効果的です。また、メモリ整合性の有効化やドライバーの更新など、Windowsのセキュリティ機能をフルに活用する姿勢も重要と言えるでしょう。
もしも上記の対策を実行してもなお解決しない場合は、OSの再インストールや、セキュリティ専門家への相談を視野に入れてください。大切な情報を守るためにも、日頃から警戒心をもってパソコンを運用し、常に最新の対策を取り入れることを心がけましょう。
コメント