2008年01月26日

アカウントハッキング対策(1)〜hostsの設定〜ラグナロクオンライン

カテゴリを「ラグナロクオンライン」にしたものの、以下の操作はきわめて古典的ながらも

・悪意あるスクリプトやプログラムが仕込まれている(と判明している・もしくは疑わしい)サイトにアクセス・または誘導されるのを防ぎたい
 (年末年始に話題になった「HDDをフォーマットするトロイ」など)
・セキュリティ上の問題はないが、そのPCで特定のサイトにアクセスさせたくない
・ウザい広告バナーを無効化したい

という場合に非常に効果的な方法なので、ネットゲームプレイヤー以外の方も、興味を持たれましたらどうぞ。
(古典的な手法ゆえに、知ってる人はとっくに知ってる内容でもあります。「ああ、hostsね」と分かった方は今更読むまでもないでしょう

最初にお断りしておくと、これは単体でも確かな効果を発揮する方法ですが、あくまで

・WindowsUpdateを行い、OSを最新状態にしている
・セキュリティソフトをインストールし、最新定義状態を保っている

ことを大前提にしていますので、上記2点はくれぐれも怠りなきよう。

ものすごく大雑把に言うと、これから紹介する「hosts」というファイルを開き、

127.0.0.1 係わり合いになりたくないドメイン


と追記するだけの単純な作業です。
私の文章が例によってダラッダラと長いために大げさな内容に見えてしまうかもしれませんが、手順は実に簡単です。

<注>
以下の内容において、危険なURLについては、「.」を「■」に置き換えて表記します。(誤アクセス防止のため)

現時点においてかなり有力な対抗策ではありますが、設定を誤った場には、予期せぬ不便や不具合を引き起こす可能性もありますので、作業はあくまで自己責任で行い、もし不具合が出て修正しきれない場合は初期状態に戻してお使いください。


hostsについて詳しくも分かりやすい説明は

セキュリティ対策 (基本的な対策 - IPフィルタ)〜Hosts変更(リネージュ資料室)
hostsファイルの利用(ROアカウントハック対策スレのまとめサイト)

あたりがお勧めです。
(以下の操作の一部は若干上記サイトと異なる部分もありますが、やっていること自体は同じです。)

[hostsファイルの所在]

OSによって異なります。
ラグナロクオンラインが動くのはWindows(98以降)系だけなのでそちらに限定して言うと、

・Windows95系列(95・98・Me)
 Cドライブ→「WINDOWS」フォルダ内→「hosts」

・WindowsNT系列(NT*・2000・XP・Vista)
 windowsをインストールしたドライブ(通常はCドライブ)
 →「WINDOWS」フォルダ内
   →「System32」フォルダ内
     →「drivers」フォルダ内
       →「etc」フォルダ内→「hosts」
です。
WINDOWSフォルダより先を見ようとすると、デフォルトでは色々言われますが構わずにズンズン表示していって下さい。
なお、このファイルには拡張子がありません。

(その他のOSは、Wikipedia「hosts」の項目より「所在」一覧をご覧ください。)

[hostsを開く]

hostsファイルを見つけたらダブルクリックで開きます。
このファイル自身はテキストファイルなので、windows付属の「メモ帳」や「notepad」、または「TeraPad」「秀丸エディタ」などお好みのテキストエディタで開けます。
開くときにアプリケーションを尋ねられますので、任意のテキストエディタを選択します。
特に他のテキストエディタを入れていない場合は、「メモ帳」でもいいのですが、昔のような容量制限はなくなったとはいえ、特定条件下で文字化けが起こる場合があるので、「NotePad」が無難でしょう。

開くと、(XPの場合は)次のような記述があります。

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host


127.0.0.1 localhost


「#」から始まる冒頭部分は、英語でhostsファイルの働きや設定例を示したコメント部分(説明などを自由に書き込める部分で、実際の働きには影響しない)です。
ここは編集しないでください。特に「#」を削除しないようにします。

末尾の
127.0.0.1 localhost

の部分からが実際の設定です。
この一行も絶対に消さないでください。
次の行から独自の設定を書き込んでいきます。

万一編集後に不具合が出たときのために、初期状態を別名でバックアップしておくのもよいでしょう。

本題から外れますが、特に自分で設定した覚えもない、誰かと共有もしていないPCなのに、
127.0.0.1 localhost

以降に何か記述がある場合は、すでにフィッシングにやられている可能性があります。
最初に表示するデフォルトページが変わっていたり、予測と違うサイトに飛ばされた記憶がある場合は危ないかもしれません。最新定義のセキュリティソフトでスキャンするか、オンラインスキャン(カスペルスキーがおすすめ)で状態を確認してみましょう。

[hostsの編集]
127.0.0.1 localhost

の次の行から編集をしていきます。
日本語入力はオフにし、すべて半角英数で入力してください。

たとえば、「yaranaika.co.jp」(架空のネタドメインであり、今のところ実在しておりません。あくまで例です)というドメインのサイトにアクセスしたくない、という場合には、

127.0.0.1  yaranaika.co.jp


と入力します。
「127.0.0.1」と「yaranaika.co.jp」の間にはスペースキーかTabキーで区切りを入れます。
1つ空白が入ればokですが、いくつ空白を入れても支障はありません。

さらに「行きたくないサイト」がある場合には、また次の行に

127.0.0.1 イヤンなドメイン名

を必要なだけ追加していきます。


[既知の危険ドメインリストの利用]

有志による調査や、掲示板などでの報告から、危険度の高いドメインがリスト化され、コピーすればすぐ使えるように加工されたものが提供されています。
危険ドメインは非常に多数にわたっているので、ありがたく利用させていただきましょう。

セキュリティ対策 (危険URL - 危険サイト)
(リネージュ資料室 )
 *あくまでリネージュ関連なので、ROと完全互換ではありません

ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)

 *表示されているものは、「.」が「■」に置き換えられています。
 エディタの「編集」→「置換」機能で、「■(「しかく」で変換できます)」を「.」に置換して使いましょう。
 トップページから、置き換えられていない版のファイルへのリンクもあるので、そちらも便利です。

などの危険サイト一覧をコピー→hostsに貼り付け

して使うのが便利です。

常に最新の情報とは限りませんが、罠サイト誘導の場合は、最終的に飛ばされるサイトは今のところある程度定番の場所が多いようなのでかなり有用でしょう。
もちろん、アカハックスレッドなどで最新情報を仕入れて独自に危険ドメインを追加すればなお効果的です。

[編集の保存]

エディタ上で「上書き保存」をして閉じれば変更完了です。
hostsファイルでの指定は、Windowsでは他の設定よりも最優先されるので非常に強力な手段です。
それゆえに、上書き保存のときに、セキュリティソフトから「hostsを変更しようとしています」という内容のアラートが出ることがあります(カスペルスキーでは出ます)。
「予期せぬ有害サイトに飛ばす」タイプのフィッシング詐欺のスクリプトがhostsファイルを書き換えることがあるためです。
最初はちょっと心臓に悪いですが、むしろ「ちゃんと仕事してくれてる」と評価すべきですね。
アラート上で、手動で「変更を許可」します。
ワームなどによって勝手に書き換えられてはたまったもんじゃないので、「以後ずっと信頼」にはせず、今後編集するたびに許可するようにするのがセキュリティ上吉でしょう。


[なぜ"127.0.0.1"なのか?]

私もネットワーク関連にはあまり詳しくないので細かい説明はここではしません(というかできません;)が、軽く触れておきます。

hostsの設定は、「右のURLを指定されたら左に(強制的に)送る」ものです。
例でいえば、
127.0.0.1  yaranaika.co.jp

という設定は、

「yaranaika.co.jp」というドメインへの接続を指定された場合には、
「127.0.0.1」のIPアドレスに接続しなさい。必ずだよ!


という命令を示したものです。

そして、行き先である「127.0.0.1」とはどこか?と言いますと、
「hostsを設定したパソコン自身」
を示す
ものなのです。これを「ループバックアドレス」といいます。
「yaranaika.co.jp」が示す本来のインターネット上のIPアドレスにあるデータではなく、操作しているコンピュータ自身を無理やり呼び出すわけです。
当然ながら、自身のPC上には該当するデータがあるはずもないので、通信自体が成立するわけもなく、ブラウザ上では何も起こらないというわけです。

ブラウザ表示としては、URLが間違っていたり、サイトが消えていたとき同様「サーバーが見つかりません」もしくは「接続がリセットされました」というものになるはずです。
(試しにご自分のブラウザに「127.0.0.1」と入力してアクセスしてみれば一目瞭然でしょう)

この設定をすれば、該当の記述を削除しない限りは、罠サイトから誘導されたとしても何も起こりません。

[hostsの更新と管理]

危険サイトは日々増えていきます。先ほど挙げたリスト提供元では、定期的に新しいデータを加えてリストを更新していますので、それに合わせてこまめにhostsの内容を編集・上書きしていかなければ安全確保策にはなりません。
「面倒」「つい忘れそう」という方には、更新を自動化したり、ボタン一つで更新作業を行えるフリーソフトやスクリプトもあります。

・PeerGuardian2
 「リネージュ資料室」による説明と導入ガイド

HostRenewScript(アコプリwiki)

非常に便利なものですが、セキュリティソフトと機能が競合したり、システムへの負担もそれなりだったりするので導入は自己責任で。

また、これは「ウィルスやスクリプトによるhostsの不正書き換えを監視して警告する」フリーソフトで、どっちかといえばフィッシング対策ですが、

HostFileManager

もあります。常駐させればhostの書き換えを監視します。
セキュリティソフト側で同様の監視ができれば必要ない、あるいは競合の可能性もありますが、セキュリティソフトが心もとないという場合には心強いかも。
また、編集機能が使いやすいようなので、常駐させずに単にエディタとして用いるのも十分にアリでしょう。

私はカスペ先生がヘソを曲げちゃうのが怖いので、しばらくは手動更新で様子を見ることにしますよ。

[アカウントハック対策以外での活用]

hosts変更は、これ以外にもさまざまな用途に応用可能です。

たとえば、

・年末年始に話題になった「HDDをフォーマットするトロイ」のような、既知の脅威ドメインへのアクセスを遮断する

同様のhosts変更方法の紹介がまとめwikiにあります。
そちらではIP指定が「0.0.0.0」になっていますが、指定内容としては同じです。

・有名サイトと混同させたり、タイプミスを狙った悪質サイトへのアクセスを遮断する

たとえば、以前記事にした「goggle■com」「googke■com」のようなドメインも、同様に

127.0.0.1 goggle■(実際には"."で)com


と指定しておけば、万一のタイプミスの際にも安心というわけ。

・特定のサイトにアクセスさせたくない

例えば
「子供に2chを見せたくない」
「会社のパソコンでmixiばっかりやってんじゃねーよこのバカチンが」

あるいは
「こっそり本音ブログや愚痴吐きサイトを持ってるんだけど、まかり間違ってもニョーボにだけは見られちゃ困るんだよなあ」
というような場合、こっそり見せたくないPCのhostsを書き換えてしまえば、フィルタリングソフトや機能がなくても無問題。

もちろん、相手がhostsを修正してしまえば元通りですが…
少なくともそこまでやれちゃう子供だったら、そんじょそこらの設定では無駄(フィルタリングソフトにパスかけるくらいか)でしょうなあ。

・広告バナーやアフィリエイト表示や、普通のリンクに見せかけて誘導されるのがウザったい

一例として、「ad.jp.doubleclick.net」などの広告ドメインへの通信を「127.0.0.1」にして遮断するだけでかなり心安らかになるはず。

このように、アイデア次第で色々と使えます。

強力なだけに、間違って指定すると、無害・必要なサイトへのアクセスまでも遮断してしまい、「つながらない」「見れない」ということも起こりえます。
その場合はhostsファイルの記述を見直して該当部分を削除するか、どうしても不具合が収まらない場合は、


127.0.0.1 localhost

(くどいようですがこの行自体は絶対に消さないでください)

以下の内容をすべて削除して初期状態に戻してください。
変更はあくまで自己責任でお願いします。

現時点のアカウントハッキングの手口に対してはかなり効果の見込める方法ではありますが、いつまで通用するかは分かりませんので、ネットゲームユーザーの方は常に最新情報に気を配ってください。
posted by 大道寺零(管理人) at 04:28 | Comment(0) | TrackBack(0) | ラグナロクオンライン
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。