FF11 ペット狩り黒猫奮闘記

2025/01/11 (Sat)

こ…こんにちわ…第七猫です…(´；ω；｀)

もう泣きそうです、のっけからスイマセン…

表題の件の通り、遂に２度目の改竄が発生しました。
付きまして緊急でプライベートモードに移行しておりました。

週末の９／２９（日）夕方、発見しました。
大変申し訳有りません、そしてお手数ですが週末ＰＣにてアクセスして頂いた
皆様、ウイルススキャンを是非ともお願い致します。

・カスペルスキーオンラインスキャン

今回、注入されていたスクリプトで落ちてくるウイルスは
現在カスペルで検出可能みたいです。

【どんな改竄が？】

・テンプレートヘッダに＜script〜＞が注入されており、
　1039045726:65535/jp●jsというアドレスへ不正にアクセスさせられる。

またもや以前に起こった改竄と同じく、テンプレートを改竄し＜script〜＞を
用いて不正に上記アドレスへとアクセスさせる物です。

FlashPlayerが最新で無い、ウィンドウズのバージョンが最新で無い方は
至急バージョンアップをお願い致します…(´；ω；｀)

アクセス先と思われるアドレスの確認。

1039045726（１０進数）
　　↓
3DEE945E（１６進数）
　　↓
61●238●148●94（２桁ずつ分解し、１０進に展開しＩＰ化）
　　↓
061238148094●ctinets●com（ＩＰ→ホスト変換）
（このアドレスには絶対にアクセスなさらない様にしてください。）

こういう流れなのかな？うーん、ちょっと不明ですが…



↑改竄が発覚した時のソース写し

タイトルヘッダのスグ後ろに、＜script〜＞が挿入されています。

【犯人の足取りに関して】

今回の改竄に関して、某スレでも話に出ています戦士スキーさんのブログでの
情報と同じく、当方のブログでも同じ様なアクセス痕跡が見られたので
合わせてご報告致します。



当方にて設置していますアクセス解析のログを見てみました。

すると上記アドレスからの不正アクセス（らしい）痕跡が見られます。

ホスト名: # OFSfb-10p2-211.ppp11.odn.ad.jp

恐らくこれが犯人かと思われます。

ちょっと分かり難いと思いますが、上記ログが指す意味は

参照元: # hｔｔp://blog91.fc2.com/control.php?mode=design

というアドレスから

hｔｔp://blog91.fc2.com/

へのアクセスがありましたよ。という物です。

この参照元のアドレス：hｔｔp://blog91.fc2.com/control.php?mode=design
なんですが、このアドレスは通常管理者しかアクセスできない管理画面の
アドレスを示しています。



このアドレスに私がアクセスすると、このテンプレート編集画面になります。

即ち、OFSfb-10p2-211.ppp11.odn.ad.jpは何らかの方法を用いて管理画面に
入りテンプレを編集した後、トップページへアクセスしているという訳です。
（実際に編集画面まで入れているかは不明ですが…）

また同様のアクセスログが他にも３〜４回見られますがその中で



これだけ明らかに、不明なコードと英数字の文字列（？）が見られました。

>hｔｔp://blog91.fc2.com/control.php?mode=
　　　　　　setting&process=1&cr=28f2f9文字列c5a68ad5f
（文字列には半角英数字が入っています）

通常、管理画面から普通にログインするだけでは、process=1以降の

>&cr=28f2f9文字列c5a68ad5f

という物は現れないハズ…というか、何でしょうかこれは…（汗

>hｔｔp://blog91.fc2.com/control.php?mode=setting&process=1

というアドレスは「管理画面の環境設定」のページを示しますが、その後の
コード「&cr=28f2f9文字列c5a68ad5f」が何を指すのか第七猫には理解不能
でした…（´・ω・`）

キャリッジリターンっぽい記述ですが、ウィンドウズの場合はラインフィールド
（ＬＦ）との組み合わせで改行だったような？

この長い文字列も１６進→１０進変換で…と思ったんですが、桁数多くて
良く分かりませでした…

第七猫の拙い知識ではココが限界でした、本当すいません…(´；ω；｀)

もし何かしらの情報あればコメント頂けるとありがたいです。

【現在の対応について】

・取り合えず上記の＜script〜＞の記述を削除済み。
・ＦＣ２ＩＤのパスワード変更済み。
・ＦＣ２へ上記を連絡し、回答待ち。

という状況になっています。

…が、正直ココまで来ると管理がどうしても後手に回る可能性が非常に大です。

大変お手数ですが、アクセスされる場合は各自で安全性をお確かめ下さいます様
宜しくお願い申し上げます(´；ω；｀)

【各ブログ、サイト管理者様へ】

すいませんが、当サイトへのリンクは各管理者様の判断の元切って頂く等の
処置を行って下さって結構です。

大変悲しい事ですが、流石に事態が事態です(´；ω；｀)
何より皆様のアカウントを大切に考えると致し方有りません。

ＦＦ１１と同じ位楽しみにしていたブログですが、こんなに大変な事態を
引き起こすのでは存続を含め、今後の事も検討中です。

またＦＣ２からの何らかの回答あれば、情報発信します。

この度はご迷惑をお掛けしまして、見に来て頂いております皆様に
大変なご心配をお掛けしました事、深く謝罪したいと思います。

本当に、本当に申し訳有りません。

　　〜　０８年０９月２９日　第七猫　〜

2008/09/29 (Mon) その他 Trackback() Comment(37)

皆さん、週末如何お過ごしでしょうか？第七猫です、こんにちわ！(　＾ω＾)

またしてもこのエントリーが登場するハメになりました…（´・ω・`）
最近、公式の方でもこのような発表があったのを見てらっしゃると思います。

●プレイオンラインへの一部接続元からの接続制限について

どうやら以前、ＦＣ２でも起こったテンプレ改竄からのアカウントハックですが
最近別経緯からの猛威を振るっているらしく、被害報告が多発しています！
(´；ω；｀)ブワッ

今回、何故そのような状況になっているのか？

現時点で、感染経緯までの特定には至っておりませんがウィルスの概要が
判明したらしくマズは情報をアップして注意発起を。
特にＰＣ版でプレイされている方は必ず確認を宜しくお願い致します。
ヽ(´Д`；)ﾉｱｩｱ...

記事を書くにあたり、大変参考にさせて貰いました

●● RMT業者の垢ハックが多発している件28 ●●

のスレ住人の有志の方に、この場を借りて感謝を。

【今回のウィルスの脅威】

・各種アンチウイルスソフトで検出が不可能（７／１３に一部対応済み）
・現時点で感染経路が不明確（Flashplayerの脆弱性が狙われた可能性大）
・パスワードの保存、手動入力等関係無しで被害に遭う
・ＩＤやパスの定期的な変更も効果無し

以上の点が挙げられます！

ウイルスソフトで検知不可能な上、パスワードを手動入力し定期的な変更を
していても被害に遭うというのは、考えるだけで恐ろしい…

【感染の前兆】

特に報告の多かった、アカウントハックの被害者からの報告で共通のＰＣの
挙動として挙げられたものは以下。

?ＰＯＬの強制終了
?WindowsUpdateの失敗
?Windowsのシャットダウンの遅延

等の報告が多く見られたようです。

皆さん、思い当たる節は無いでしょうか？

【どういったウィルスなのか？】

概要は

●ＰＯＬの接続先をスクエニから、

罠サーバーへ変更する。

という恐ろしい物…((((ﾟДﾟ；))))ガクガクプルプル

つまり入力したパスワードとＩＤが、そのまま不正な接続先へ送信される。
しかもＰＯＬからの送信なのでファイアーウォールやＰＧ２等でも
食い止める事が難しい…

以下、某スレを転載。分かる範囲で見てください。

>★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　暫定まとめ改訂案
>
>wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)の
>レジストリを、正規のプロセスC:WINDOWSSystem32svchost.exeを使って罠サイトへ
>パスを送るwzcsvbxm.dllに書き換える。
>
>ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
>(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
>7/13付けで検体爆撃済み　かたじけのうござる。
>
>判明している送信先(置き換えではなく●を単純に削る)
>引退：wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
>現役：googlesy●dition.com 74.86.1●85.101
>
>【%SystemRoot%System32wzcsvbxm.dllを探す方法。】
>スタート→ファイル名を指定して実行→regedit
>HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx（xxxは数字）
>→Services→wuauserv→Parametersと
>HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv
>→Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
>
>C:WINDOWSsystem32wuauserv.dllならそのままクローズ(この件の感染はしていない)
>C:WINDOWSsystem32wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、
>感染している可能性が極めて大　まず安全な環境でパス変更。
>
>wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
>ただし　すぐに戻ってしまう報告もあるため　修正後要確認。
>
>本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても
>完全に駆除されているか分かりませんので、
>
>感染が確認された場合は『クリーンインストール推奨』。

という一時報告が見られましたが、更に以下へ修正追記。

>★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　現状まとめ(>>653の挙動周り修正)
>
>【レジストリ】
>　WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
>　・キー位置
>　　HKEY_LOCAL_MACHINESYSTEMControlSetxxx（xxxは数字）ServiceswuauservParameters
>　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters
>　・感染時エントリ（値）
>　　%SystemRoot%system32wzcsvbxm.dll
>　　（未感染Windowsでは%SystemRoot%system32wuauserv.dll）
>　wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
>　エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
>
>【POL】
>　wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllは
> svchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
>　svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に
> 変更されていると考えられる。
>　乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了？
>　そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で
> 許可している場合は検知は難しい。
>　現時点で確認されている送信先(置き換えではなく●を単純に削る)
>　・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
>　・ooglesy●dition.com 74.86.1●85.101（←Googlesyのコピペミスと思われます）

【つまりどういう事？】

第七猫のＩＮＴよん？の頭で分かる範囲で概要を説明すると…

?とある感染源からウィルスに感染
　　　↓
?WindowsUpdate機能のdllを改竄し、その後起動したPOLのプロセスを乗っ取る。
　　　↓
?本来ならスクエニに繋がるはずのPOLは、罠を仕掛けた犯人の鯖へ接続。
　　　↓
?POLからID/PASSを犯人の鯖へ送信し、送信後異常終了させる。。

という流れらしいです…((((ﾟДﾟ；))))ガクガクプルプル

やってる本人にしたら

「あれ？POLがシャットダウンした？まぁいいか。もう一回起動…っと。」

って感じで、気づかない人はスルーしてしまう勢いですよね…

つまり報告にあった異常内容である

?のWindowsUpdateのdllを改竄している→WindowsUpdate失敗

?のPOLからID/PASSを送信し、送信後異常終了。→POLの異常終了

という報告と一致する…
なんとなく…納得できますね…恐ろしい…(´；ω；｀)ブワッ

WindowsUpdateの機能を改竄し、POLの接続先を罠サイトへ指定する。

この恐ろしいプロセスが実行されている危険があるようです！！
((((ﾟДﾟ；))))ガクガクプルプル

この現象が見られた場合は、至急以下のチェックをされる事を強く勧めます。
ヽ(´Д`；)ﾉｱｩｱ...

ちなみに転載中の記事にもありますように、一番恐ろしいのは

>(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。

という一文。現在カスペルスキーにて検出が可能（7/13付け）らしいですが
Windowsシステムファイルのふりをしているので駆除できないようです。

検出のみならこちらでも可能な様ですので、心配な方はチェックを。

・カスペルスキーオンラインウィルススキャン

【至急チェックすべき内容】

細かい内容までは把握できなくとも、なんとなく分かって頂けましたか？
では、そのような現象が起こった場合何を確認すればいいのか？

また過去に起こったかもしれないけど、ハッキリ覚えてない…という方は
以下のチェックを大至急実施する事を、強くお勧めします。
ヽ(ＴДＴ)ﾉ

●不正レジストリの検索

まず、スタートメニューから「ファイル名を指定して実行」を選択。



ここをクリックすると、下のようなダイアログボックスが現れます。



「regedit」と入力しリターンを押しましょう。



そうすると、このような【レジストリ　エディタ】が開きます。
普通にＰＣに触るだけの方だと馴染みの無いエディタで、ややこしいですが
頑張りましょう。(・∀・)ｂ

まずは

HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx→Services→wuauserv→Parameters
（xxxは数字）を探す。



よし、じゃ順に見て行きましょうか。

?のHKEY_LOCAL_MACHINEの＋をクリック。

すると、その下のフォルダが見れますのでその中の?SYSTEMをクリック。

そうすると、?ControlSetxxxというのが「001」と「002」というのが
あったので取り合えず「001」から見て行きます。



「001」を開くと?Servicesがありますので、それの＋をクリック。

?Servicesの下にはフォルダが一杯ありますが、アルファベット順に並んで
いるので、ずーっと下へ移動して行きましょう。



?wuauservなので、最後の方にあると思います(・∀・)

見つけたら?wuauservの＋をクリックして、その直下の?Parametersを
?クリックしてみましょう。

そうすると、エディタの右側の欄に「ServiceDll」というダイナミック
リンクライブラリがあるので、その中の「データ」の部分をチェック。

>C:WINDOWSsystem32wuauserv.dll　がある場合　→　○感染無し。
>C:WINDOWSsystem32wzcsvbxm.dll　等それ以外　→　×感染の恐れ大
〜０８０７２９追記〜
WindowsVistaをお使いの方は「wuaueng.dll」となり、これで感染無しです。
〜〜ここまで〜〜

となります。((((ﾟДﾟ；))))ガクガクプルプル

幸い第七猫のＰＣは「C:WINDOWSsystem32wuauserv.dll」となってます。

これと同様に、先ほどの?ControlSetxxxの002も確認してみましょう。
同じ様なフォルダ構成になっていますので、簡単に見つかると思います。



「002」のフォルダを開き、Servicesを開きましょう。

同様に沢山のフォルダの最後の方にある「wuauserv」を探します。



見つけたwuauservを開いて、その直下のParametersをクリック。

そうすると、右の欄に同じ様なデータ「C:WINDOWSsystem32wuauserv.dll」
が見られますのでここも確認ですね。

どうやら２つとも「wuauserv.dll」だった模様…ヽ(´Д`；)ﾉふぅ…

さて、xxx（数字の部分全て）を見終わったら残るは↓

>HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv
>→Parameters

こっちも見ないといけません。



同じ様に、001、002と同列の中に「CurrentControlSet」があるので開く。
すると中に「Services」がありますね！これを開くとまた大量にフォルダが
あるので、下の方を探しましょう。



wuauserv→Parametersと開くと、右の欄に同じ様なdllのデータが見られます。

これも無事「wuauserv.dll」だったか…

以上の確認が出来れば、今回のウィルスには感染していないと思われます。

万が一、wuauserv.dll以外の物が登録されていたり、wzcsvbxm.dllという物が
見られた場合は感染の可能性大です！！ヽ(´Д`；)ﾉｱｩｱ...

【万が一感染が確認された場合】

今回のウィルスで一番厄介なのが、Windowsのレジストリを改竄している！
という所。(；＾ω＾)ｂ

つまり修正しようと思った場合、

?セーフモードでＰＣを起動し、レジストリをいじれるだけの知識が必要。

?これを実施したとしても、完全に駆除できるとは限らない。

という２点が挙げられます…（´・ω・`）

特にOSのレジストリという部分をいじるので、最悪PCが起動不能になったり
動作異常を起こすきっかけになりかねませんので、ここで簡単に説明を
出来るレベルじゃねーぞッ！って事です…

(´；ω；｀)ブワッ

しかも危険を冒してレジストリ修正しても、１００％じゃないとすると…

「感染が見られた場合は、クリーンインストール」

これしかありません…ヽ(´Д`；)ﾉｱｩｱ...

正直、ＰＣをサラにしてもらうのが一番確実です…

【今後どうすればいいのか？】

一番恐ろしいのが、現時点でウィルス感染の経路が明確になっていない。
という所…((((ﾟДﾟ；))))ガクガクプルプル

これが一番恐ろしい…今後、被害が拡大する恐れが十分あります。

恐らくですが、「Flashplayerの脆弱性」が狙われている可能性もあるようです
ので、もし「Flashplayer」をインストールされている場合はアンインストールを
検討頂くのが良いかもしれません（´・ω・`）

第七猫のＰＣも、テンプレ改竄以来Flashplayerは入っていません（汗

しかしこれ以外にも感染経緯がある可能性は、十分考えられますのでお使いの
ＰＣのアップデートや、ウイルス駆除ソフトの更新等は忘れずに実施されるのが
まずは必要かと考えます。

正直、一部広告から云々かんぬんという報告も考えると…

●ＦＦをするＰＣではウェブ閲覧を控える

●余計なソフトはインストールしない

というのが、最大の防御策でしょうかねぇ…ヽ(´Д`；)ﾉｱｩｱ...

もうね…いい加減にした方が良い(＃＾ω＾)ﾋﾞｷﾋﾞｷだお…

＊文中に誤記、修正必要箇所ありましたらコメント頂けると幸いです。

2008/07/15 (Tue) その他 Trackback() Comment(49)

みなさん、とうとうモグボナンザの当選発表が有りましたねッ！！(・∀・)９ｍ

ラッキーな当選者が全サーバーに５６人居るみたいですが、遂に第七猫もレアなアイテムを

てに入れる時がきたようだなッ！！ログインしチェックした数字とボナンザのナンバーを

てらし合わせてドキドキの瞬間。すでに調べ終わってハズれたフレが、おもむろに第七猫に

乙と言って来るが可哀想で仕方が無い。第七猫程の運の良さがあれば当選確実。

でも何が当たったかは、そう簡単には教えられない。第七猫が当たった物を聞いたら皆

しっとの嵐で頭がおかしくなって死ぬ。これは確定的に明らか。(　＾ω＾)

たぶん第七猫が当たった物聞いたら、マジでビックリしてお茶とか噴くよ？良いの？






　(´；ω；｀)ブワッ

2008/07/02 (Wed) その他 Trackback() Comment(7)

今北、こんにちわ！第七猫です！(　＾ω＾)ノ

昨日、非公開コメントにて情報を頂いておりましたが出先だったので
遅れてしまいました！ヽ(；´Д｀)ノ
既に某掲示板やえふめもさんの掲示板にも注意発起が書かれています。
かなりメジャー所のＨＰなだけに、目を疑いたくなりますが…

現在では、管理人様の対応により対応は済みとの事です(・∀・)ｂ

・Vana'diel Monsters　様
（ｔｔp://ff11.s33.xrea.com/index.shtml）

いわずと知れた通称ヴァナモン様Σ(ﾟдﾟ)

以前の記事で、ヴァナモン様のブログが改竄され管理人の知らない所で修正
（ＦＣ２が独自で修正したらしく、事後報告があったそうです）
されたという事がありましたが…

今回はなんと通常のＨＰの方が改竄されたらしいです！！
Σ(ﾟДﾟ；≡；ﾟдﾟ)?

?発見。

以下、某掲示板を抜擢。

＞ソース見てみた。ヴァナモンひらいてメニューがでてくるがその一番上の
＞エリア別モンスターデータのリンク先にインラインフレームが埋め込まれてて
＞その先でs111●cnzz●com/に飛ばされてる。
＞アーガスでみたら北京のサイトだった。
＞インラインフレーム有効にしてるブラウザで見ないほうがいいね。

＞エリア別モンスターサーチのリンク先の
＞エリア別詳細　と書いてある左上のフレームに
＞＜iframe src=top■htm height=0 width=0＞＜/iframe＞
＞が仕込まれてる。top.htmはクラッカーが仕掛けたであろうページで
＞＜script src='http://s111■cnzz■com/stat■php?id=508863&web_id=508863'
＞language='JavaScript' charset='gb2312'>
＞がさらに仕込まれている。

どうやらエリア別詳細から飛べるＨＰの一部を改竄し、罠が仕込まれた
ページへと飛ぶ仕掛けらしいです！

送り先は毎度お馴染み、s111■cnzz■com　(＃＾ω＾)ﾋﾞｷﾋﾞｷ…

?管理人様からのコメント抜擢

＞名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/04/29(火) 13:49:22.80 ID:usez71CN
＞完全にハックされてるが普通に考えてヤバい。想定外
＞ブログとは全く違うパスワードなのに
＞4/27 23:26-23:31の間に３つのファイルが書き換えられていた。
＞該当の３ファイルは今削除した
＞接続パスワードは変更されていなかった。
＞ちなみにFC2のブログは数日前に停止した。
＞xreaにメール送る

どうやら４／２７（日）２３時３０分以降、不審な改竄の後が見られ
３つのファイル書き換えが行われていた様子です！
((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

そして４／２９（火）１３時過ぎには対処済みとの報告が。

もし４／２７（日）２３：３０〜４／２９（火）１３：００までの
期間でヴァナディールモンスター様を閲覧した方が居ましたら、至急ＰＣの
ウィルスチェックを実施される事をお勧め致します。

?今回の罠の内容。

＞・以下の情報をcnzz■comにIMGタグのオプションとして送る
＞　navigator.userAgent ユーザーエージェント取得
＞　document.referrer リンク元URL
＞　navigator.appName ブラウザ識別(IE ネスケ等)
＞　navigator.systemLanguage システム言語
＞　navigator.platform プラットフォーム識別(Win32 MacPPC等)
＞　navigator.appVersion ブラウザ識別(IE version等)
＞　screen.width 画面幅
＞　screen.height 画面高さ

どうやら今回アクセスさせられるアドレスでは、以上の情報を抜き取られて
送信させれられるっぽいです。((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

直接ＰＯＬのＩＤ、パスを抜く物では無いらしいです。

?つまり…？

フレやＬＳメンに情報を回して、ウィルススキャンや注意発起を！
特に利用者の多いサイト、そして日時ですので…
もし回りに知らずに利用していた方が居た場合、パス変更＋ウィルススキャンを
薦めてください！

ブログ以外でもいよいよ手口が広がって来たのでしょうか…(´・ω・`)
通常のＨＰの部分で改竄が見られると…今後の拡大が恐ろしいですね…

こうなってくると流石に手が広がりすぎて、はっきり言って全てに対処が
非常に困難です、後手になりがちです。
特にＧＷに入り、休日が続きますので警戒を怠らないようにしてください！
(´；ω；｀)ブワッ

以下、要チェック！

・Ｗｉｎｄｏｗｓ最新ヴァージョンにアップデート。
・ＲｅａｌＰｌａｙｅｒ最新版へのアップデート、もしくはアンインストール。
・ウィルスソフトの最新版へのアップデート。
・インラインフレーム、ＪａｖａスクリプトのＯＦＦ。

特にウィルス感染経緯は、上記の上から２つが主ですので必ず実行を
お願いいたします。(｀･ω･´)ｂ

しかし今回はコメント頂いてたのに、記事アップが遅れてしまって
申し訳無いです〜ヽ(；´Д｀)ノ
ＧＷ恐ろしいなぁ…別の意味で（笑

お世辞にも安心とは言えないので、罠が多発する可能性が高いと思われる
連休中は、極力ＦＦ１１の入っているＰＣでのウェブ閲覧を控えられるのが
良いかと思います((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

サイトやブログによっては、携帯で閲覧可能な所もありますのでもしどうしても
という事であれば、携帯で覗いてみてください！(・∀・)ｂ
ちなみにＦＣ２ブログであれば、大抵が携帯閲覧に対応しております。

↓ちなみに以下、ヴァナモンさん騒動最中に投下された怪しいアドレス。

＞557 名前：既にその名前は使われています 投稿日：2008/04/29(火) 〜
＞?
＞もっと詳しく知りたい奴はここ見てくれ
＞●●　RMT業者の垢ハックが多発している件14　●●
＞hxxp://yy65■60■kg/monci/

あの流れでサクッと張られていますが…

よく見たら見慣れないアドレス、しかもＡｇｕｓｅでチェックした所どうみても
罠の掲示板へ飛ぶようです！ヽ(`Д´)９ｍ

飛ぶ前に必ずソース先をチェックする癖をつけましょう…(´・ω・`)
折角のＧＷ、もっとゆっくり楽しく遊びたいよね！
ちっくしょうぅぅぅうう！(´；ω；｀)ブワッ

ちょっと乗り遅れましたが（汗
一旦記事にしてアップしてみました。
誤字、修正、追加等ありましたら、コメントにてご指示をお願いします。

2008/04/30 (Wed) その他 Trackback() Comment(9)

こんにちわ、第七猫です(　＾ω＾)

２月末に当ブログから発覚し、その後数多くのブログ様で同じ様な被害が
発生しております「ＦＣ２テンプレートの改竄」に関して。

朗報（？）があったので、今現在書き掛けのエントリーを一旦中止して（笑
これを緊急でアップします。
特にＦＣ２ブロガーの皆様、そして読みに来て頂けて居ます皆様。

遂にＦＣ２公式からの正式発表が有りました！！ヽ(`Д´)９ｍ

以下を参照下さい。
（ＦＣ２が発信しています、ブログ管理者に向けたお知らせ用ブログです。）

〜〜　ブログ管理者用お知らせ　〜〜
●現在の対応状況に付きまして（４／１７）
●不正ログイン対策対応状況につきまして（４／１７）
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

上記エントリー２つに、今回のテンプレ改竄だと思われる内容の報告がアップ
されております(`･ω･´)ｼｬｷｰﾝ

まず、「現在の対応状況に付きまして」のエントリーから一部抜擢。



機能の改良点や仕様変更点がズラッーと告知されていますが…

その下の文章！注目ッ！！Σ(￣ロ￣)９ｍ



おおおお！なんかそれっぽい内容の報告を別途しますよとの告知がッ！！

「不正ログイン」と記されたこれは…もしかして…(；＾ω＾)ゴクリ…

この告知からまさに１〜２時間後位でしょうか。

次の「不正ログイン対策対応状況につきまして」のエントリーがアップ！
この別途詳細を…の内容が遂に報告されましたヽ( ﾟ∀ﾟ)/

以下、内容の抜擢！！注目！！



おおおおお！ページ改ざんとある！まさにソレだッ！！ヽ(`Д´)ﾉ

って「報告が遅くなり…」て、遅すぎるよーヽ(´Д`；)ﾉｱｩｱ...



２月から頻繁に発生は良いとして、１１月からのも分かってた訳ですｋ（汗

オンラインゲームを取り扱うブログ中心。となれば間違い無いでしょう。

で、肝心の対策はというと…！




ほう、ＦＣ２での対策は概ね完了しており今現在も検証が進んでいる…と。

ひとまずＦＣ２側で現象の確認、対策が実施されているみたいでとりあえず
ですが一安心という所でしょうか。

しかしまだ納得行かない…というか明確じゃないなぁと個人的に思う事。

?結局、何が原因で不正ログイン出来たのか？

　→できればもう少し詳細な情報が欲しい。何が原因だったのか？
　　が明確に分からない点。ＦＣ２システムが原因なのか？

?青線で書いてある所ですが、以下の２通りの解釈が出来るのですが…

「不正アクセスされやすい対象としてましては…」という分に対し、この文の
「不正アクセス」とは何を指すのか？

　→１．ＦＣ２ＩＤに不正アクセス。よってブログ改ざんを受けますよ。

　　　　つまり管理者のセキュリティの甘さを指摘しているのでしょうか？
　　　　この場合、被害を受けるのはブログ自身。

　→２．自ＰＣに不正アクセス。よって色んな個人情報が抜かれますよ。

　　　　つまり改ざんされたブログを踏んだ後、ウィルスを感染させられ
　　　　不正アクセスを受け、色んな情報が漏れる事を指しているのか？
　　　　この場合、被害を受けるのは閲覧者。

どっちの事を指して言っているんでしょう？(；＾ω＾)？

なんというか…いまひとつスッキリしない内容ですが…

なにはともあれ、一応ＦＣ２からの発表がありました。

そして対策を取り、それ以降不正アクセスは見られないとの事です。

どこまで信用出来るモノか…不安は残りますが…（´・ω・`）
（対応の遅さからも、信頼性は低くても仕方ないですよね…）

ま、個人的に一番納得がいかなかったのは…

不正アクセスを受け、改ざんがあった事に対するお詫びが一言もなかっｔ（爆
＼（＾o＾）／

報告が遅れた事に対してのお詫びはありましたが…

改ざんが発生した事に対してＦＣ２からの

「ご心配、ご迷惑をお掛けしまして、大変申し訳ありませんでした。」

くらいの一文があっても良かったんじゃないかな？と思う次第です。
責任は感じてくれて…ますよね？（；´д｀）ゞ

尚、今回の件に関して偶然かもしれませんが…

実は第七猫さん、あまりにもＦＣ２からの報告が無く(＃＾ω＾)ﾋﾞｷﾋﾞｷだお…
流石にストレスがマッハになったので（笑
ちょっと強気に以下のメールを４／１５に送った所でした。

＞ＦＣ２ブログを利用させて貰っています第七猫と申します。
＞
＞ブログのテンプレート改竄の件に関しまして、前回３／１７に
＞問い合わせのメールを入れてから１ヶ月、改竄が発覚した問い合わせから
＞凡そ１．５ヶ月が経っております。
＞しかし未だに公式からの正式発表、並びに調査結果、対策等の告知が
＞まったくありません。
＞どうなっていますでしょうか？
＞
＞以下、ＦＣ２フォーラムにも以下のスレッドが立っておりますので
＞必ずご一読を宜しくお願い致します。
＞http://blog.fc2.com/forum/viewtopic.php?t=20829
＞ここは基本的にユーザー同士の情報交換がメインの所ですので
＞基本的に御社が見る必要は無いと思いますが、このスレッドは必ず目を
＞通してください。
＞
＞発生より既に１．５ヶ月。調査中ですので…という回答メールより
＞事実確認をされている事は確かだと思います。
＞調査がたとえ途中だろうと、原因・対策が不明だろうと構いませんが
＞公式からのテンプレ改竄の事実を正式発表をお願いします。
＞（もちろん調査結果等あれば尚良いですが）
＞
＞特に今回ターゲットとなったオンラインゲーム「ＦＦ１１」に関する
＞多くのＦＣ２ブログ様は、御社の対応の状況からブログの閉鎖、もしくは
＞別のブログサービス様への移転を行われているようです。
＞
＞４／２５（金）までに公式でのテンプレート改竄に関する発表を
＞お願いしたいと思います。
＞（事実発覚から２ヶ月経過にもなるタイミングです。）
＞
＞万が一その期日までに返信なり、公式発表が無い場合は御社はこの件に関し
＞「公式発表・調査報告・対策実施の意思は無い」物と判断させて頂きます。
＞
＞黙って見過ごす事の出来ないレベルの問題だと言う認識をお願い致します。

あまり苦情ばかりを書いても反応無いだろうと、とりあえず要点だけ。

そして勝手に４／２５と期限を区切り、催促してみました。
こういうのって期限が無いとダラダラ行っちゃうんですよねぇ（´・ω・`）
期限までに何も反応無ければ…とハラくくってました。

タイミング的に丁度良かったのか分かりませんが、公式（？）の発表が来て
一安心です。

アレ以降毎日欠かさず、ブログソースのチェックを行っています(´；ω；｀)ブワッ
そんな同じ思いをしているブロガーの皆様、そして見に来て頂けてます皆様へ。

とりあえずＦＣ２の動きが見えたので、速報でした！ヽ( ´；ω；｀)/

さ、本来のエントリーの仕上げに掛からないと（笑

2008/04/17 (Thu) その他 Trackback() Comment(17)