2008/03/22 20:15 スクリプトタグを用いた罠について加筆
2008/03/14 16:50 aguse Gateway を簡単に紹介。
3/14
米国でWebサイト改ざん攻撃が多発、2万ページ以上が被害に
3/12
日本のサイトを狙ったSQLインジェクション攻撃が急増
1/11
Webサイトに多数被害、SQLインジェクション攻撃が猛威をふるう
以上、ITメディアニュースより。
今回の内容は昨年からずっと問題になっていたアカウントハックに関連する内容です。
サイト・ブログの管理者だけでなく、セキュリティ対策の面でも
多くの方に読んで頂きたい内容となっております。
少しでも分かりやすくする為に内容をかなり端折っていますので、
より詳しい内容に関しては文中で紹介をさせて頂いているサイト等で
ご確認くださいますようお願いいたします。
なお、文中でご紹介させて頂いてるリンクについては、
自己責任にてアクセスしていただきますようお願いします。
■ これまでは
数多くあるサイト・ブログで当初ターゲットになっていたのはその「BBS」や「コメント欄」でした。
コメントなどの書き込みの際に罠のURLを記入し、
そこにアクセスした人の個人情報を奪う・・・というもの。
管理側で出来る対策としては、
コメントを認証制にしたり、一部のキーワードを入力不可にしたり。
読者側は不用意なクリックをしないように注意をするといった方法である程度の対策が可能です。
この件については、一時期に比べると数が減ったとは言え、まだ安心できない状況にあります。
■ 新しい罠
そして、今度はブログのテンプレートに罠を仕掛けられるという事が起こったそうです。
そのことを初めて知ったのはこちらのブログの記事でした。
「FF11 ペット狩り黒猫奮闘記」様の「ウイルス検出について【報告】」
(ttp://petsoro.blog91.fc2.com/blog-entry-171.html)
3/6 00:50 追記
上記ブログに関して、私自身もその安全性を確認した上でアクセスをしていますが、
不安に思われる方もいるというご意見をいただき、直接リンクはいたしておりません。
該当URLへのアクセスはご自身の判断でお願いします。(「h」を抜いてあります)
3/6 10:30 追記
追加情報が出ています。
「FF11 ペット狩り黒猫奮闘記」様の「ウイルス検出について【情報追記】」
(ttp://petsoro.blog91.fc2.com/blog-entry-173.html)
具体的な対策方法や、今回のウイルスはどういったものなのかなどが
かなり詳しく報告されています。これに伴い、当ブログでも一部加筆をいたしました。
■ どんな罠? 03/22 20:15加筆
まずはインラインフレームタグを用いて、
テンプレートに0×0のサイズでインラインフレームを読み込ませるというもの。
このタグを読み込ませることによって、罠URLの内容もあわせて読み込んでしまうのです。
また、最近ではインラインフレームでの検索を避けてなのか、
スクリプトタグを用いたものが見つかっています。
スクリプトタグは、アクセス解析やブログのサイドバーでの情報表示、
カウンターなどでも使用されるタグです。
特徴としてはこの「罠スクリプト」の部分がエンコードされた状態であるということ。
どういうことかというと、
例えば私の名前「レア」をEUC-JPという文字コードでエンコードすると
「%A5%EC%A5%A2」となります。
つまり、ぱっと見ただけでは意味のない文字列のように見えて、
どんなことが書かれているか分からないわけです。
これらをテンプレートに仕込まれるということは、
よく見に行くブログをいつものように読みにいっただけで、
ウイルスに感染してしまった、個人情報を盗まれてしまった・・・。
そんな事が起こりうる状況になってしまったのです。
今回の原因については、まだはっきりしておらず、いくつもの原因が考えられます。
ただ、憶測で色んな原因を考えることは出来ますが、
まずは被害に遭う方を一人でも減らす為にも、
対策出来る部分はきちんとやっておきたいです。
■ 管理人の方は今すぐチェックを! 03/22 20:15加筆
テンプレートをダウンロードしてそのまま使っている(もしくは手を加えて使っている)方は当然のこと、
テンプレートは自作!という方も、ご自身のブログからそういった被害者を出さない為に
すぐに以下のことを確認してみてください。
まずは今使っているテンプレートの編集画面を開き、そのソース(HTML)に
や
が含まれていないかを確認してください。
目視では見落とすこともありますので、「Ctrl+F」をして検索キーワードに
でチェック。
それに加えて
もチェックしてみてください。
それぞれのキーワードの後に続く文字列が意味の分からないものだったり、
自分の設置した覚えがないものがある場合はかなり危険です。
これから別のテンプレートを変更しようとお考えの方も、
そのテンプレートにこの文字が含まれていないかしっかり確認をしてください。
※ ブログサービスによっては、インラインフレームそのものを禁止しているサービスもあります。
■ もしも見つかったら?
万が一、自分が入れた覚えのないインラインフレームのタグが見つかった場合・・・
速やかに該当部分のソースを削除し、ブログのパスワードの変更、
ならびにブログ運営会社への通報をお願いします。
当然、自身のPCの安全性もご確認下さい。
読者の方への情報の公開、注意喚起をぜひお願いします。
今回は幸いな事に見つからなかった方も、
それで安心せずに定期的にソースの確認をしておくのが良さそうです。
ほかにも、推測されやすいパスワードを使っている方は、
今回の件を機に、分かりにくいパスワードに変更するといったことも
考慮にいれるといいかもしれません。
■ 自衛をしましょう
読者の方には、引き続き、お使いのPCのセキュリティ対策と、
安易にコメントにあるURLをクリックしないようにお願いします。
・ RealPlayerのアンインストール
今回見つかっているウイルスは、
「RealPlayer」の脆弱性を利用したもので、「Lineage2」に関するもののようです。
ただ、他の機能もあるかもしれないという事が危惧されています。
「FF11 ペット狩り黒猫奮闘記」様の記事によりますと、今回のウイルスに感染した場合、
krnb32drv.dll というダイナミックリンクライブラリと
vvsg.bat というバッチファイルをドライブに生成する様に見受けられます。
という事です。
この二つのファイルをドライブ全体で検索してみるのもオススメします。
RealPlayer をご利用になっていない場合はアンインストールしておくというのも方法のひとつです。
・ インラインフレームの無効化
お使いのブラウザのインラインフレームを無効化することにより、
かなりの効果が得られると思われます。
当ブログの閲覧者に多いブラウザでの無効化の設定です。
Internet Explorerの場合・・・
ツール−インターネットオプション−「セキュリティ」を選択。
レベルのカスタマイズを選択すると、セキュリティの設定で「その他」に
インラインフレームを無効化してください。
Operaの場合・・・
ツール−設定−コンテンツ−スタイルオプション−表示設定の項目で
「インラインフレームを表示する」のチェックを外してください。
Firefoxの場合・・・
アドオンでの設定が一番簡単だと思います。
今回は一例として、以前より私も使用しているFireFoxのアドオンをご紹介したいと思います。
「No Script」Add-ons・・・各種のスクリプトを無効化するアドオン
「No Script」そのものの機能説明については今回は省きます。
インラインフレームの無効化の設定にしぼって説明いたします。
1)「No Script」のインストールを行ないます。
インストール後にFirefoxの再起動をすることでとりあえずの設定は完了です。
2)インラインフレームの無効化を行ないます。
ブラウザ上で右クリック「No Script」から「オプション」を選択してください。
3)オプション画面から「PlugIns」を選びます。
「インラインフレームの禁止」にチェックを入れて「OK」を選んで設定完了です。
いずれのブラウザでも設定変更後はブラウザを再起動なさることをオススメいたします。
※ ここに記述をした以上の、ブラウザの設定に関する質問にはお答えいたしかねます。
※ ファイルの変更、プログラムの導入などに関しては自己責任にてお願いいたします。
※ この設定をすると、悪質ではないインラインフレームを使っている一般のサイトも
ご覧いただけなくなりますので注意が必要です。
■ ほかにもこんなものがあります
・オンラインウイルススキャンサービス
カスペルスキーオンラインスキャナ
・・・ 3/4時点で今回のウイルスの検出が可能となっているそうです。
・リンク先が安全か事前にチェック!
Dr.WEB リンクチェッカー
・・・Webブラウザにウイルス・スパイウェアなどのマルウェアチェック機能を付加します。
・IPフィルタリングソフト
PeerGuardian2(リンク先のページの下の方にあります)
・・・「リネージュ資料室」様(ttp://lineage.nyx.bne.jp/misc/security/id_basic-ipfilter.html)で
分かりやすく説明されていますので、よく読んでから導入されることをオススメします。
・しらべる
aguse.jp
・・・入力したサイトがどういうサイトなのか調べることができます。
また、β期間中ということですが、
aguse Gatewayもオススメです。
そのサイトに設置されているリンクが安全なものかそうでないかを確認できます。
β期間中であるということを考慮にいれたうえで、使い方をよくご確認のうえご利用ください。
ここに書かれたことを全て行なったとしても100%安心ではありません。
安全性の「目安」程度に考えておくくらいでちょうどいいです。
■ 最後に
「FF11 ペット狩り黒猫奮闘記」第七猫様(ttp://petsoro.blog91.fc2.com/)
多くの方にご参照頂いている当記事ですが、
本内容は第七猫様の報告記事が元となっています。
第七猫様の注意喚起の記事がなければ、気がつかない方も多くいたと思います。
リンク方法に関する件も含めまして、ありがとうございました。
「FF11-asura鯖のきろく」やんぼう様(ttp://yambowasura.blog85.fc2.com/)
Firefoxの設定(CSSを書き換えて「非表示」にする方法)に関する
疑問を投げかけてくださいました。
結果、当初の案内では不完全である事が判明し、
またその方法はこのブログで説明するには少々難しいと判断し、
現在の記述に変更させて頂いております。
その他、参照のサイト
「マイケルサイト本部セキュリティ対策室」
「FFXI Virus問題 まとめサイト」
「リネージュ資料室」セキュリティ対策
■ 追記(03/13 14:25追記)
「FF11 ペット狩り黒猫奮闘記」さんにて新たな情報が追加されています。
「ウイルス検出について【罠再び!】→ ttp://petsoro.blog91.fc2.com/blog-entry-176.html
内容は「FF11 ペット狩り黒猫奮闘記」さんと同様に、
テンプレート改竄という被害を受けながらもその後十分な対策を講じて再開された
「FFXI :戦士スキーのブログ」さんや「某青魔道士のFF11雑記」さんにて
二度目のテンプレート改竄が発覚・・・という内容です。
※申し訳ありませんが、両ブログへのリンクは控えさせていただきます。
戦士スキーさんの方は更なる対策を講じて一連の件に関する情報の公開をして下さっています。
また、某青魔道士さんに関してはブログは一時閉鎖中で、
ご自身のサイトである
「青魔道士研究所」(ttp://www16.ocn.ne.jp/~ff11blue/index.html)にて、
かなり詳しく状況説明をして下さっています。
今回、その舞台となったのは私も利用しているFC2ブログでした。
FF11関連のブログも多く存在するこちらのサービスですが、
そのブログすらも気軽に読みに行けなくなるのかも・・・と思うと本当に残念でなりません。
また他社のブログサービスを利用なさっている管理者の方も、
こういった事例があったことを踏まえて、今後ご注意いただきたいと思います。
※本記事の内容は冒頭にも書いたとおり、詳細な情報までは扱っておらず、
端折った内容となっておりますが、それでもお役に立てるようでしたら、
記事の引用・リンクについてはご自由にしていただいて問題ございません。
-----------------------------------------
■当ブログでの対策
当ブログでは
テンプレートが改ざんされていないかの確認を
定期的に行なうようにいたします。
その報告については右側のメニューの「PROFILE」にて
最終確認日を記録するようにいたします。
ご覧頂く方にとっては気休めかもしれませんが、
何らかの目安になれば・・・と思っています。
ブログのリンク先について
右メニューに表示されているサイトについては、
全て
Dr.WEB リンクチェッカーにて
「CLEAN!(安全)」と出たサイトのみを表示
させていただいております。
ただし、毎日全てを確認している訳ではないので、
実際にアクセスされる際には、
自己責任にてお願いいたします。
最終確認日については、「BLOG LINKS」の見出しの下部をご参照下さい。
過去関連記事
罠コメントに関する注意PR
