FC2ブログの歩き方ブログ

FC2ブログユーザを応援します。「バックアップとろうよキャンペーン」実施中。トラックバック大歓迎

Entries

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • TB(-) |
  • CO(-) 
  • [Edit
  • [No Tag]

テンプレートの改ざんとウイルスサイトへのリンク [news・security_alert]

アルキカタサイトニュースより転載

FFXI:戦士スキーのブログ:テンプレートが書き換えられている!
FF11 ペット狩り黒猫奮闘記:ウイルス検出について【報告】
某青魔導士のFF11雑記:緊急告知<ブログ改竄>

先日来、オンラインゲーム(ネットゲーム)のアカウントハックを狙う悪質なスパムの話題をお伝えしてきましたが、今回は、FC2ブログのテンプレートが改ざんされ、そのブログにアクセスしたユーザがウイルス感染、アカウントハックを企てられるという事例です。

(2008/3/10現在、※のブログは現在プライベートモードに設定されています)


上記ブログの管理人さんたちは、テンプレートの中に
iframe src="http://www■dda3■net" width="0" height="0"></iframe
を書き込まれていた、と訴えています。

<iframe>~</iframe>
とは、ウェブページの上にフレームを設け、他のページを表示するHTMLタグです。
HTMLタグリファレンス:<IFRAME>

皆さんがよくご覧になるamazonのアソシエイトリンクなどにもこのタグは使われていますが、今回のケースは、
width="0" height="0"
つまり、まったく見えないかたちで、しかしHTML内に確実に存在するという手法が取られています。

このようにすると、ブログを一目見ただけでは、おかしなリンクが張られているということにはまったく気付きません。

上記ブログや関連サイトをあたってみたところ、明確な問題点は次の3つです。

(1)テンプレートの改ざんということで、通常、ブログの管理者にしか行えない行為をなぜ行うことができたのか、ということ。
上記ブログの管理人さんたちがFC2に問い合わせたところ、「推測しやすいパスワードを利用しないように」との回答が返ってきたようで、FC2の問題ではなく個人的にブログの管理画面がハックされたという立場のようです。
※この部分は、後述する様々なサイト(企業サイトを含む)がハックされたことを考えると、システムの脆弱制などそれ以外の理由も可能性として考えられますが、確かなことは明らかではありません。憶測で騒ぐのではなく、「最低限できること」として、「推測しやすいパスワード」は利用しない、を実践することがたいせつです。
FC2ブログ公式マニュアル:パスワードの安全な保管のしかた
@IT:安全性の高いパスワードを作るコツ

(2)<iframe>により、ブログを閲覧すると組み込まれたサイトにアクセスすることになり、そこでウイルスに感染してしまうこと。
これは防ぎようがありません。
対策としては、ブログの管理者は、このような記述をテンプレート内に見かけたら即刻削除すること、閲覧者は、自分のPC内にアンチウイルスソフトをインストールしておくこと、です。

(3)感染したウイルスは、RealPlayerの脆弱制を利用し、PC内のオンラインゲーム(この場合Lineage2のようです)のデータを盗むこと。

「FFXI:戦士スキーのブログ:テンプレートが書き換えられている!」に寄せられた解析人さんのコメントには、こうあります。
引用:
dda3が罠サイトです。利用する脆弱性はRealPlayerで、
スクリプトを見る限り多くのバージョンに対応しています。

dda3がダウンロードし実行するのは/sys.exeで、検体をVirusTotalでスキャンしましたが珍しく「全滅」です。
RealPlayerは最新版の11でも「現時点で」大穴が開いており、塞がれていません。アンインストールを推奨します。

バイナリを見る限りLineage2のパス抜きと思われますが、他にも機能はあるかもしれません。
ブログのテンプレート書き換えが「もし」頻発しているなら2つ考えられます。
・FC2本体が(社内の誰かが踏んだなどで)食われた←あまり考えたくない。
・貴殿がどこかで踏んで、それがブログの管理画面のIDとパスを送信した。←ありがち。

[追記]※RealPlayerについては、最新では昨秋に脆弱性が指摘され、その後パッチが公開されたようですが(参考記事#1#2#3)、その後のニュースは、インストール時の情報開示が不充分ということで「バッドウェアと認定された」というもののみです。したがって、ここでは、ウェブ上の情報として、上記のようなコメントがされています、と書くに留めます。真偽についてはご自身で判断ください。


ユーザサイドでできることとしては、
(1)パスワードを推定しにくい、分かりにくいものに変更
(2)自分のテンプレートを定期的に確認

 テンプレートのソースをエディタにコピー&ペーストし、「iframe」「width="0"」「width="0"」などのキーワードで全文検索してみると良いでしょう。
(3)オンラインゲームの話題を扱っているブログが狙われるケースが多いので、
ブログ上に「オンラインゲームのユーザ」宛に警告を掲載

(4)万が一該当していたら、テンプレートを修正、読者に周知、パスワード変更

他にもありましたらご教示ください。

なお、「FC2ブログだけが狙われているようなので、FC2ブログ内で何かあったのではないか」という憶測もあるようですが、考えたくないですね。
上記のようにFC2ブログとしては原因は社内にはない、という立場を取っているようですし、一部ブログに書かれているような「FC2ブログだけが狙われている」という認識は誤りです。<iframe>というタグをテンプレート内に埋め込むことができる、自由度の高いブログサービスやレンタルサーバ・自宅サーバのブログが狙われているようです。今回は、その攻撃の矛先がFC2ブログであったようで、冒頭にあげたR-typeさんのブログによれば、今回の改ざんは「3/1(土)の夕方から3/4(火)の早朝」になされたようです。

NOtTE://.org:アカウントハック?!ヽ(´Д`ヽ;)(2007/7/6)
アカウントハック ~その弐~(2007/7/26)

上記の他、「iframe 改ざん」でGoogleで検索すると関連情報が多々あります。
Webページを見ただけでボットに感染
攻撃ツール「MPack」による被害が世界規模で拡大
(2007/8/1)
墨猫日記:アカウントハックにご注意ください!(2007/12/28)

結局のところ、自衛手段を強化するしかありません。
アンチウイルスソフトは必須、それ以外にも、危険と思われる行為は回避しましょう。

以下に、オンラインゲームのユーザがまとめたものがあります。
【FF11】アカウント不正ログイン被害まとめ「被害にあわない為に」
リネージュ資料室:セキュリティ対策

このブログ内の関連記事
スポンサーサイト

Comment[この記事へのコメント]

管理人のみ閲覧できます 

このコメントは管理人のみ閲覧できます
  •  
  •  
  • at 2008.04.01 09:42 
  • [編集]

管理人のみ閲覧できます 

このコメントは管理人のみ閲覧できます
  •  
  •  
  • at 2008.08.05 10:29 
  • [編集]

管理人のみ閲覧できます 

このコメントは管理人のみ閲覧できます
  •  
  •  
  • at 2008.08.19 20:15 
  • [編集]

>非公開コメント主さん 

お知らせありがとうございます。iframeでtinyurlを埋め込んでいるブログですね。該当ブログを確認しました。どうやらゲーム関連のwikiにURLを書き込んでは消されているブログのようです。
FC2のほうに連絡を入れました。

こちらに非公開で報告されても、それを私がどうするというのは難しいので、FC2にお知らせいただけると幸いです。


++++++++++++++++++++++++++++++++++++
※お知らせを受けたブログのアカウント名はfuyweです。
  • sugar 
  • URL 
  • at 2008.08.19 22:44 
  • [編集]

承認待ちコメント 

このコメントは管理者の承認待ちです
  •  
  •  
  • at 2014.07.03 14:26 
  • [編集]

Comment_form

管理者のみ表示。

Trackback[この記事へのトラックバック]

トラックバックURL
http://fc2blogwalker.blog21.fc2.com/tb.php/76-056a430e

-

管理人の承認後に表示されます
  • from  
  • at 2013.07.03 20:44

ブログのテンプレート改ざん?

ブログのテンプレートに・・・に、 『/html』タグの後ろに、不要なリンクが貼られていたことを記載しましたが、 遅ればせながら、この件に...

色々と重要なお知らせ!

 めちゃくちゃ忙しかった年度末も終わり、重要なお知らせがあって本当は昨日更新しようかと思ったんですが、昨日だとエイプリルフールのネ...

【注意】テンプレートの改ざんとウイルスサイトへのリンク

FC2ってハックされとるらしーでーという情報をいただき 遅ればせながら調べましたら FC2ブログの歩き方ブログさんに詳しく載ってました 勝手...

応龍来来

※アカウントハックにご注意ください! 今まではあやしいURLは踏まない!で対処できていましたが、現在新しい手口でのアカウントハックが増えてきているようです。 とくにfc2のブログをお使いのかたは、タグやインラインフレームが使用できる設定になっているので被害が...

ブログテンプレートに埋め込まれた罠

ウィルス感染させられる怪しいブログコメントについては先日触れましたが、どうやら他にも大変なことが起きていたらしい。 ブログを見ただ...
  • from Maple+ 
  • at 2008.03.14 22:45

FC2ブログのテンプレ改ざん事件:アカウントハックについて。

FC2ブログのテンプレートが、 管理人以外の第三者に改ざんされる という事件があったようです。 しかも、コレにはオマケがついていて、...

緊急注意:FC2ブログにてテンプレートの改ざんがあったらしい

詳しくはこちら様に記載がありました。 http://fc2blogwalker.blog21.fc2.com/blog-entry-76.html 最近アカウントクラックだのウイルス感染だの言われていた...

Menu

from admin

万が一、記載に誤りのある場合や、追加情報がある場合など、該当記事のコメント欄でお知らせいただけるとありがたく存じます。

sugar

ブロとも申請フォーム

analyzer

カレンダー

09 | 2017/10 | 11
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

StyleChanger

public my share

ブログ内検索

Style Changer

この選択ツールについて up!

見本用記事一覧

アルキカタQ&A検索

アルキカタ版Q&Aの内容を検索します。




複数語は半角スペースで区切って検索してください

analyzer

analyzer

Profile

sugar & FC2blog beauties

Author:sugar & FC2blog beauties
「FC2ブログの歩き方」(アルキカタサイト)FC2ブログ出張所です。このブログは、アルキカタサイトの管理人であるsugarと、協力を申し出たサポータ複数で管理しています。

アルキカタサイト管理人:sugar

&FC2blog beauties(アルキカタサポータ)
 Chako
 cyaimi
 KAI

最近の記事

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。