【緊急警告】ヴァナモン本家がやられました

※5/1 10:30 追記が増えすぎたので内容を整理しました。

4/27 23:00〜4/29 14:00の間、ヴァナ・ディールモンスター（モンスター情報検索サイト）が改ざんされていました。以前報告された改ざんは管理人様のブログでしたが、今回は情報サイト本家です。

ヴァナモントップページの告知より抜粋。

・エリア別データ・経験値表のHTMLが第三者により改ざんされていた
・発生日時：4/27 23:00〜4/29 14:00
・仕込まれていたのはPCの環境情報を送信するウィルス（パス抜きではない）

[猫の中の人による補足]
・「エリア別詳細」のページを閲覧すると、メニューフレームの中に仕込まれたサイズ0のインラインフレームから天安門広場のある都市に所在するcnzz●comにあるスクリプトの実行を試みていました。4/29 14:00に管理人様により問題のページは削除されましたが、ブラウザにキャッシュが残っている場合、改ざんされたページを再度読み込む可能性がありますのでご注意ください。

・ネ実情報によると埋め込まれていたのは某国のWebサイトではよく使われているアクセス解析サービスのタグだという話もあります。そうだとしても不正に埋め込まれたタグによってユーザーのIPアドレスとセットで環境情報を抜き取っていることには違いなく、危険度は同等であると考えます。

・現在のところ環境情報の抜き取り以外の報告はされていませんが、セキュリティの甘いPCでは何かを仕込まれていた可能性も完全否定はできないようです。詳しくは、革屋さんによる解説をご覧ください。

[今回の特徴]（ネ実関連スレよりまとめ）

・iframe内に表示されるHTMLファイル自体がヴァナモンと同じドメインにあるため、FireFoxの「NoScript」でiframeを制限していても表示は防げない
・スクリプト本体はChina鯖にあるので、PG2で中国をはじいていれば実行されない
・スクリプトの内容は、直接パスワードを抜くものではなく、IPアドレス、使用ブラウザなどの環境変数をチェックするものらしい（→スクリプトのソースのSS（WEBばななのサーバーにありますが、閲覧は自己責任で）
・PG2がなくても、ブラウザやNoScriptの設定でスクリプトの実行を禁止していれば、勝手にスクリプトが実行されることはないはず

※PG2利用者の方へ
危険IPアドレスのリストを提供して下さっているリネージュ資料室のアドレスが3/28から変更されています。新しいURLは「http://lineage.paix.jp/」です。PG2用定義ファイルのURLもこれに伴い変更になっていますので、PG2の「リスト管理」の設定を再確認してください。
　
今回の閲覧で直接パス抜き用のマルウェアが仕込まれるわけではないようですが（断言はできない）、これからアタックを仕掛けるためにIPアドレスと環境を調査している可能性があります。対策をきちんとしているユーザーが気づかない（＝攻撃されないので気づきようがない）うちに、脆弱な環境のユーザーが集中的に狙われる可能性があります。

また、スクリプト本体が敵方にある＝いつスクリプトの内容がさしかえられても不思議ではない、ということなので、決して「今回のはパス抜かれていないから大丈夫」だとは思わないでください。

サポートセンターがゴールデンウィークで休みになる時期を狙って仕掛けたと思われますので、くれぐれも注意してください。

続きは追記（主にネ実関連スレより関連情報を抜粋）　最終更新5/1 10:30
　　

----
※4/29 13:50続報
ヴァナモンの中の人が対応。

539 名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/04/29(火) 13:49:22.80 ID:------
完全にハックされてるが普通に考えてヤバい。想定外
ブログとは全く違うパスワードなのに
4/27 23:26-23:31の間に３つのファイルが書き換えられていた。
該当の３ファイルは今削除した
接続パスワードは変更されていなかった。
ちなみにFC2のブログは数日前に停止した。
xreaにメール送る

・改ざん発生時刻は4/27 23:25前後と特定
・現在、管理人様による対応が進められています。

※4/30 10:50追記
ヴァナモン管理人様により対応済。トップページの告知より抜粋。

・エリア別データ・経験値表のHTMLが第三者により改ざんされていた
・発生日時：4/27 23:00〜4/29 14:00
・仕込まれていたのはPCの環境情報を送信するウィルス（パス抜きではない）

ネ実情報によると埋め込まれていたのは某国のWebサイトではよく使われているアクセス解析サービスのタグだという話もあります。まあそうだとしても不正に埋め込まれたタグによってユーザーのIPアドレスとセットで環境情報を抜き取っていることには変わりないわけで、引き続き警戒が必要だと思われます。

※5/1 10:20追記
管理人様より続報。

80 名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/04/30(水) 23:54:41.71 ID:------
よくフォルダ探してたら変なphpファイル仕込まれてた
中身中国語あり
どっかにソースうｐするわ

90 名前：既にその名前は使われています[] 投稿日：2008/05/01(木) 00:46:05.57 ID:--------
ご丁寧にコメント入ってるね
機械翻訳かけてみよう

92 名前：既にその名前は使われています[] 投稿日：2008/05/01(木) 01:31:56.53 ID:--------
www●4ngel●netがスクリプトの配布元らしい

そこにあった中国語の説明をエキサイトの機械翻訳にかけたもの

> PhpSpyはひとつがPHP言語の編纂するオンラインの管理プログラムを使うので、
> 同時に集めてなりますたくさん海陽のトップネットと類似した機能、同じく言う
> ことができるのが１つのWEBの方式のバックドアで、有り合わせの攻撃の手法を
> 結び付けて、実用的で、簡潔で、精巧な原則に基づいて、このプログラムを開発しました。
> プログラムの性質の問題のため、公然とダウンロードのバージョンに更に多くの操作を
> 提供することはでき(ありえ)ないことを提供します。例えばMSSQL接続、WINホスト
> コンピュータは反発します。

クラックされたコンピュータで似たような遠隔操作プログラムが動いているのを見たことがある
それの中国版ってとこかな

94 名前：既にその名前は使われています[] 投稿日：2008/05/01(木) 01:41:57.14 ID:-------
Webブラウザでファイルを書き換えたりアップロード／ダウンロードしたり、
データベースの内容をいじくったりできる中国製の便利スクリプトが見つかった、
ということ

これがヴァナモンさんのサイトで動作していたかどうかは分からない
ただ、管理者が知らないうちにこんなスクリプトがサーバに置かれていたのは
大変嬉しくない状況

PhpSpyでぐぐっても3件しかヒットしないんですが（言語は不明で怪しいんですが）、やふってみると大量に中国語のページがヒットしました。検索結果についてくるサマリーは92氏の自動翻訳にあるものなので、あちら様ではポピュラーなスクリプトなんだろうか。Baiduあたりで検索すればもっとかかりそうな気もしますがちょっと怖いや(・ω・)

※12:00追記
xrea phpspyでぐぐったらいっぱいでてきた((((゜Д゜;))))
中国語わからないので内容は不明ですが。