2008年03月14日

fc2ブログで発生したテンプレート改ざん・アカウントハッキングにご注意くださいSPAM

<要点>

オンラインゲーム「リネージュ2」のユーザー情報を抜き取るための、「アカウントハッキング」としての手口です(現時点で判明している範囲。別の個人情報抜き取り機能がある可能性もあります)

fc2ブログユーザーのIDやパスを破り、不正なタグを混ぜたテンプレートに変更(見た目には変わらない)するもので、本来のユーザーのほとんどには悪意はなく、改ざんの事実に気づいていない場合も多いです。
この時点でブログ管理者がクラック被害に遭っているわけです。

*改ざんされたブログを閲覧した人が被害対象になります。
不正なテンプレートに組み込まれたタグの働きにより不正なファイルをダウンロードして自動的に実行されます。さらにその人がリネージュ2のユーザーだった場合に実質的な被害に遭う可能性があります。

改ざんが行われたブログのジャンルは、オンラインゲームなどの特定のものに限らず、すべてのfc2ユーザーのブログに可能性があります。

*今回発覚したのはfc2ブログですが、Iframeタグを使える(例:Amazonアフィリエイトなど)ブログサービス、及びサーバーで自己管理しているブログ等についても、管理パスさえ抜かれれば十分にあり得る事態ですので、fc2以外だからといって過信は禁物です。

*悪意プログラムは、RealPlayerの脆弱性を悪用したものらしいです。

*有害ドメインを見る限り、アカウントハッキング王国である中華の仕業です。


<この問題について詳しい記事>

FC2ブログの歩き方ブログ: テンプレートの改ざんとウイルスサイトへのリンク [news・security_alert]

FF11 ペット狩り黒猫奮闘記 | ウイルス検出について【報告】

テンプレートが書き換えられている!

↑現在fc2ご利用の方がセルフチェックする方法について分かりやすく示されています。

また、困ったことに、ブログ管理者側がID/パス変更+ツールが仕掛けられている可能性もあるのでPCのクリーンインストールを行ってもなお再び改ざんが行われたという報告もあり、管理側での有効な手段が見つからない状態のようです。

FF11 ペット狩り黒猫奮闘記 | ウイルス検出について【罠再び!】
上にも書きましたが、この手のものは判明している以外にもどういった悪意プログラムを含むか分からず、「リネージュやってないから」「ネトゲしてないから」関係ないとは言い切れない部分があります。ユーザー情報を盗み出すという動作は、クレジットカードや銀行口座など、全ての重要情報についても応用できるからです。

<閲覧者側の対策>

基本的には他のアカウントハッキングや悪意プログラムへの対応と同じです。

*セキュリティソフトを最新の状態に保つ
*WindowsUpdateも常に最新状態に


基本中の基本です。万が一踏んでしまっても、対応済みのセキュリティソフトがあれば警告を出し、食い止めてくれます。

*セキュリティソフト、もしくはオンラインスキャンサービスで感染がないかスキャンして確かめてみる

カスペルスキーオンラインスキャンが確実に対応しているようです。
感染している場合、
Trojan-Downloader.Win32.Agent.khm (Kaspersky, AntiVir)
Trojan-PSW.Win32.Nilage.cbr (Kaspersky)
といった名前が検出されるらしいので参考に。

*RealPlayerが入っている場合、ひとまずアンインストールする

今回の悪意プログラムは同プレイヤーの脆弱性を利用するものであり、かつReal側から特にセキュリティホールへの効果的な対応も見られないため、これがかなり有効なはずです。

*ブラウザをIE以外に変更
*JavaScriptを基本Offに
*「Iframe(インラインフレーム)」の表示・実行をOffにする

ネトゲ以外にも様々な攻撃が確認されている現在、上記3つはかなり有効です。
個人的には「Firefox」に「NoScript」の組み合わせがお勧めです。普通に閲覧する分にはインラインフレームを切って困ることはあまりありませんし、NoScriptなら必要な部分だけを許可して実行することができます。

*ソースチェッカを利用

「怪しいURLかな?」「いつも行ってるサイトだけど、ブログ形式だから不安かも?」とちょっとでも感じた場合には、
ソースチェッカーオンライン
などのサイトで飛び先やソースの安全を確認してから移動しましょう。

hostsファイルの管理

中級者以上&現在オンラインゲーム利用中の方向け。最初だけちょっと面倒ですが、絶対に表示されないという安心感は大きい。でも有害サイトは日々変更・増加していますので過信しすぎないようにしましょう…

*もし閲覧中・閲覧前に改ざんに気づいたら…

セキュリティソフトのアラートなどで改ざんの事実・悪意プログラムへの誘導タグの埋め込みに気づいたとき、さらに管理者がその事実を知らなさそうな時には、メールなどで知らせた方がいいでしょう。
対応&パス・テンプレート変更後も再度改ざんに遭うケースも報告されているので…

*油断しない

インラインフレームを許可しているのはfc2だけではありません。今後別のブログサービスにも飛び火する可能性が高いので、閲覧者も管理者も、上記対策を怠らないようにしましょう。ブログ・サイト管理者全体にも言えることです。



<ブログ管理者側の対策>

*まずは改ざんされているかどうかチェック

管理画面にログインし、テンプレートのソースの中に「0サイズのインラインフレーム」「悪意あるサイトのURL」が含まれていないかを検索します。通常、デザイン上の必要でサイズ0のIframeが含まれていることはないので、検索して見つかったら既に改ざん済みと考えていいでしょう。
また、fc2の管理者に報告した方がいいでしょう。

*ID・パスワードの変更

今回の改ざんは、fc2側のアナウンスによれば、「推測されやすいパスワードを用いたために総当たり式で手作業的に破られたのでは?」というのが原因とされています。
テンプレートを替えられたということはすでに管理パスが漏れているということなので、何はなくとも早急に変更する必要があります。
パスワードクラックのルートとしては

・総当たり手作業で破られた
・管理パスワードを盗み取る悪意プログラムを既に読み込まされていた


という大きく分けて二つのルートが考えられます。後者は今のところfc2管理側は否定しているようですが、可能性がないわけではありません。
後者の場合、感染しているPCからパス変更をしても新しいパスが漏れてしまうだけで無意味ですので、安全の意味で、普段ブログを編集するPCとは別のPC・もしくは携帯電話などからログインして変更手続きを行うのがいくらかでも安全だと思います(ただしネットカフェや公共の場所のPCではまたそれはそれで危険が伴うのでやめた方がいいです)。
いずれにしても、メールアドレスやブログ名・ハンドルネームなどから容易に推定できるようなパスワードは避け、できるだけ単語の意味をなさない・数字を適当に混ぜたものにすることを推奨します。
さらに不安材料を払しょくするためには、非常に面倒くさいですがPCのクリーンインストールも有効です。

*テンプレートの変更

検索して見つかったIframeの部分を削除(この際に有害サイトURLを誤ってコピペ&クリックしてしまわないように注意!)するか、一度削除して別のテンプレートを選択、念のためにもう一度ソースを検索して適用する。

*改ざんの事実を周知する

トップ記事・タイトル下の告知文など見やすい場所に、改ざんがあった事実と推定される改ざん期間などを記し、閲覧者へのセルフチェックや各自の対策を呼び掛けましょう。

*コメント・トラックバックを承認制にする

しばらくはこれも併せて行った方がいいかもしれません。

しかし、クリーンインストールまで行っても改ざんされた例も報告されているので、管理側として有効な打つ手は見つかっていないのが現状のようです…
いくら対策を打っても改ざんが行われる場合は、不本意なことでしょうがしばらくブログを非公開にする、もしくは引っ越しも視野に入れなければならない場合もあるでしょう。

いずれにしても、fc2のブログアカウントを取得して、しばらく放置状態…という方は特に気をつけた方がいい(スパムやハック入りのコメントやトラックバックがウヨウヨしているかも…)かもしれません。
posted by 大道寺零(管理人) at 14:07 | Comment(0) | TrackBack(0) | SPAM
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:[基本的に空欄を推奨します。詳細はこちらをご覧ください。]

ホームページアドレス:

(コメント投稿後、表示に反映されるまで時間がかかる場合がございますのでご了承の上、重複投稿にご注意ください。)
コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/89551548

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。