Home > Archives: April 2008
アーカイブ: 2008/04/29
【緊急警告】ヴァナモン本家がやられました
- 2008.04.29 Tuesday
- セキュリティ関連
※5/30 13:30追記
5/27?〜5/28 1:42の間に再度改ざんが発生していた模様です。現在、一時的な措置として、トップページがhttp://www.vanamon.com/に移動しています。以下はモンスターデータ収集スレ5より転載。
※5/1 10:30 追記が増えすぎたので内容を整理しました。
4/27 23:00〜4/29 14:00の間、ヴァナ・ディールモンスター(モンスター情報検索サイト)が改ざんされていました。以前報告された改ざんは管理人様のブログでしたが、今回は情報サイト本家です。
ヴァナモントップページの告知より抜粋。
[猫の中の人による補足]
・「エリア別詳細」のページを閲覧すると、メニューフレームの中に仕込まれたサイズ0のインラインフレームから天安門広場のある都市に所在するcnzz●comにあるスクリプトの実行を試みていました。4/29 14:00に管理人様により問題のページは削除されましたが、ブラウザにキャッシュが残っている場合、改ざんされたページを再度読み込む可能性がありますのでご注意ください。
・ネ実情報によると埋め込まれていたのは某国のWebサイトではよく使われているアクセス解析サービスのタグだという話もあります。そうだとしても不正に埋め込まれたタグによってユーザーのIPアドレスとセットで環境情報を抜き取っていることには違いなく、危険度は同等であると考えます。
・現在のところ環境情報の抜き取り以外の報告はされていませんが、セキュリティの甘いPCでは何かを仕込まれていた可能性も完全否定はできないようです。詳しくは、革屋さんによる解説をご覧ください。
[今回の特徴](ネ実関連スレよりまとめ)
・iframe内に表示されるHTMLファイル自体がヴァナモンと同じドメインにあるため、FireFoxの「NoScript」でiframeを制限していても表示は防げない
・スクリプト本体はChina鯖にあるので、PG2で中国をはじいていれば実行されない
・スクリプトの内容は、直接パスワードを抜くものではなく、IPアドレス、使用ブラウザなどの環境変数をチェックするものらしい(→スクリプトのソースのSS(WEBばななのサーバーにありますが、閲覧は自己責任で)
・PG2がなくても、ブラウザやNoScriptの設定でスクリプトの実行を禁止していれば、勝手にスクリプトが実行されることはないはず
※PG2利用者の方へ
危険IPアドレスのリストを提供して下さっているリネージュ資料室のアドレスが3/28から変更されています。新しいURLは「http://lineage.paix.jp/」です。PG2用定義ファイルのURLもこれに伴い変更になっていますので、PG2の「リスト管理」の設定を再確認してください。
今回の閲覧で直接パス抜き用のマルウェアが仕込まれるわけではないようですが(断言はできない)、これからアタックを仕掛けるためにIPアドレスと環境を調査している可能性があります。対策をきちんとしているユーザーが気づかない(=攻撃されないので気づきようがない)うちに、脆弱な環境のユーザーが集中的に狙われる可能性があります。
また、スクリプト本体が敵方にある=いつスクリプトの内容がさしかえられても不思議ではない、ということなので、決して「今回のはパス抜かれていないから大丈夫」だとは思わないでください。
サポートセンターがゴールデンウィークで休みになる時期を狙って仕掛けたと思われますので、くれぐれも注意してください。
続きは追記(主にネ実関連スレより関連情報を抜粋) 最終更新5/1 10:30
5/27?〜5/28 1:42の間に再度改ざんが発生していた模様です。現在、一時的な措置として、トップページがhttp://www.vanamon.com/に移動しています。以下はモンスターデータ収集スレ5より転載。
593 :名も無き軍師:08/05/28 04:00:46 ID:******
うちの鯖スレより。またですかね?
551 :既にその名前は使われています :2008/05/28(水) 01:23:44.93 ID:******
また、ヴァナモントロイの木馬仕込まれてた
どうせやるならアンチウィルスソフトに引っかからずやってほしい
554 :既にその名前は使われています :2008/05/28(水) 01:54:07.79 ID:******
左上の方にFireFoxのNoScriptで抑止されてるスクリプトがあるけどそれかな?
596 :ヴァナm ◆ZrzGMHfgII :08/05/28 06:38:00 ID:******
>>593
どこの鯖スレかkwsk
597 :名も無き軍師:08/05/28 10:50:08 ID:******
>>596 ソース元も貼るべきでした、すいません。
ネ実にあるValeforサーバーのスレです。自分は真贋わかりません。
ttp://live27.2ch.net/test/read.cgi/ogame/1211452941/551-
598 :ヴァナm ◆ZrzGMHfgII :08/05/29 00:59:36 ID:******
>>597
ちょっとやばいねぇ。
5/27 ???〜5/28 1:42の間に書き換えられている。
どうもすぐに戻したらしくてその時間が1:42。
書き込み時間からするとその書き込みの直後。
だけど鯖スレなんかをその犯人が監視してるワケないだろうし。
2chにヴァナモン見れないって奴にレスしたのも昨日だったんだよな。
xreaにいつ頃からなのかとか、原因とか問い合わせてるけど
前回もロクな回答得られず終わってるからなぁ。
一応またいくつか対策はしたけれど、それでも安心はできないので
移転を考慮しつつ、一時的にというか実験的に移動してみます。
ついでに明日警察にも相談してみる。
※5/1 10:30 追記が増えすぎたので内容を整理しました。
4/27 23:00〜4/29 14:00の間、ヴァナ・ディールモンスター(モンスター情報検索サイト)が改ざんされていました。以前報告された改ざんは管理人様のブログでしたが、今回は情報サイト本家です。
ヴァナモントップページの告知より抜粋。
・エリア別データ・経験値表のHTMLが第三者により改ざんされていた
・発生日時:4/27 23:00〜4/29 14:00
・仕込まれていたのはPCの環境情報を送信するウィルス(パス抜きではない)
[猫の中の人による補足]
・「エリア別詳細」のページを閲覧すると、メニューフレームの中に仕込まれたサイズ0のインラインフレームから天安門広場のある都市に所在するcnzz●comにあるスクリプトの実行を試みていました。4/29 14:00に管理人様により問題のページは削除されましたが、ブラウザにキャッシュが残っている場合、改ざんされたページを再度読み込む可能性がありますのでご注意ください。
・ネ実情報によると埋め込まれていたのは某国のWebサイトではよく使われているアクセス解析サービスのタグだという話もあります。そうだとしても不正に埋め込まれたタグによってユーザーのIPアドレスとセットで環境情報を抜き取っていることには違いなく、危険度は同等であると考えます。
・現在のところ環境情報の抜き取り以外の報告はされていませんが、セキュリティの甘いPCでは何かを仕込まれていた可能性も完全否定はできないようです。詳しくは、革屋さんによる解説をご覧ください。
[今回の特徴](ネ実関連スレよりまとめ)
・iframe内に表示されるHTMLファイル自体がヴァナモンと同じドメインにあるため、FireFoxの「NoScript」でiframeを制限していても表示は防げない
・スクリプト本体はChina鯖にあるので、PG2で中国をはじいていれば実行されない
・スクリプトの内容は、直接パスワードを抜くものではなく、IPアドレス、使用ブラウザなどの環境変数をチェックするものらしい(→スクリプトのソースのSS(WEBばななのサーバーにありますが、閲覧は自己責任で)
・PG2がなくても、ブラウザやNoScriptの設定でスクリプトの実行を禁止していれば、勝手にスクリプトが実行されることはないはず
※PG2利用者の方へ
危険IPアドレスのリストを提供して下さっているリネージュ資料室のアドレスが3/28から変更されています。新しいURLは「http://lineage.paix.jp/」です。PG2用定義ファイルのURLもこれに伴い変更になっていますので、PG2の「リスト管理」の設定を再確認してください。
今回の閲覧で直接パス抜き用のマルウェアが仕込まれるわけではないようですが(断言はできない)、これからアタックを仕掛けるためにIPアドレスと環境を調査している可能性があります。対策をきちんとしているユーザーが気づかない(=攻撃されないので気づきようがない)うちに、脆弱な環境のユーザーが集中的に狙われる可能性があります。
また、スクリプト本体が敵方にある=いつスクリプトの内容がさしかえられても不思議ではない、ということなので、決して「今回のはパス抜かれていないから大丈夫」だとは思わないでください。
サポートセンターがゴールデンウィークで休みになる時期を狙って仕掛けたと思われますので、くれぐれも注意してください。
続きは追記(主にネ実関連スレより関連情報を抜粋) 最終更新5/1 10:30
1/1
Home > Archives: April 2008