since.2003.09

Calendar
Sun Mon Tue Wed Thu Fri Sat
   1234
567891011
12131415161718
19202122232425
262728293031 
<< August 2018 >>
こんたくと2&
新着情報
こめんと
とらっくばっく
かてごり〜
ぷろふぃ〜る
過去ろぐ
りんく
OTHERS

■FF11■ある革職人の軌跡

オンラインゲームFF11のカーバンクルサーバに生息するおきらく革職人「革屋」こと
Andの合成が思ったより中心になってない適当なプレイ日記です

凹んだりズッコケたり大食いだったりしますがポジティブに生きていますので長細い目で応援してやってください




リアル知り合いにばれない様にひっそりやってたつもりだけど・・・
バレちゃったから(ノД`)完全リンクフリーでどうぞ

当ホームページに記載されている会社名・製品名・システム名などは、各社の登録商標、もしくは商標です。

スポンサーサイト

一定期間更新がないため広告を表示しています

| - | - | - |

※某所の改竄について
とほほ・・・・・
なんか間違った情報が飛び交っているんで解る範囲での見解を書いておきます(´Д`)
例によって結果から言うと以前書いたようにFF環境切り離さないと危ない時代になってるのぉ(゜ーÅ)


○今回の改竄について(知ってる範囲)
・大手人気サイトのヴァナモンさんの一部ページ(確認したのはエリア別モンスターデータ)に
 ハッキングサイトと思われる部分への参照が組み込まれていた
・発覚は4/29 1:00くらい、その後4/27 23:00 に改竄された可能性があるとの発表
 対応完了は4/29 14:00(管理者発表)
・ルートはエリア別モンスターデータ(改竄)>罠サイト呼び出しhtml(改竄設置)
 >その先でなんらかのPCの情報を送信>(以下詳細不明)


○なんてわざわざ取り上げたの?
人気サイトってのもあるんだけど前回のFC2と同じようにこの問題が
「新しい手口」「非常に根が深い」なところにです

さーて、眠くなるかもしれんがちょっと話を聞いてくれ(´Д`)


「新しい手口」と言うのは既存コンテンツの改竄だけでは無く同一サーバ内に
新たにコンテンツを設置し、それを経由してトロイを仕込もうとしている所

表部分はユーザーも管理者もチェックしやすいだろう、知らないURLを見たらすぐに解る
だけど同一サーバのコンテンツへのリンクだった時に果たしてその先までチェックするだろうか?
作者本人が作って設置しているコンテンツと見分けが付きにくいのが問題
正直なところhtmlソースを流し見しただけでは気が付かないかもしれない
(今回はiframe使ってたから少し怪しいと気が付いたけどねw)
具体例を出すとこんな感じです(画像データだよ)


 
明らかに怪しい(ー∇ー;)・・・・・・
そこ有名だしすぐに業者と解るぜええwww

 
なんか不自然で怪しいな(´・ω・)・・・・
おっと変換してみたら業者サイトだ、危ない危ない

 
iframeはちょっと怪しいけど同じサイトだしなぁ・・
作者の人が解析のために置いてるのかな?( ・ω・)?


と、まぁ以前に比べると格段に解りにくい状態(だと思う)
ありがちなファイル名な上に同一サーバって点が安全って見えやすいですし
ヘタしたら作者の人も気が付かないかもしれない(´・ω・`)


そしてそれより問題なのはもう一つの「非常に根が深い」
理由は「レンタルサーバを使用して単独運営しているサイトの改竄」だから

あきらかにFFをターゲットに狙いを絞り、人気サイトを改竄している点
なんらかのハッキングされているはずなのだがその経路と原因の特定が絞り辛い

特に後者が問題なんですよね・・・
今の時点ではレンタルサーバの器側に穴があったのか
それとも設置コンテンツの作り方に問題があったのか
その両方にも言えるけど周知のセキュリティホールでは無く未知のセキュリティホールや
ゼロデイアタック(対策前の脆弱性を突く)だと個人レベルではどうしようも無い
某セキュリティ会社なんかが改竄受けてたみたいに企業でも怪しいっすよ
管理者が自衛するってレベルを越えている可能性が高いです(´ Д`)=3




○今回はウィルスでは無かったと聞いたんだけど・・・・

例によってそんな保証はどこにもありません!

自分も該当の部分を追跡してたけど実体は拾えなかった
だけど解っている情報を状況を元に考えてみましょう

1:改竄時期がサポートが休みになるゴールデンウィーク直前
2:改竄内容はハッキングサイトへPCの情報を送っている

まず1、この時期を狙って仕掛けてくる以上なんらかの効果を期待してる可能性が高い
2の部分が問題なんですが今回トロイの実体を拾い切れた人が居ないから出た話だと思う
だけどあの改竄内容はPCの情報を送信した後になんか生成コンテンツが帰ってきてます
んーつまり簡単に言えば・・・・・

「送った情報を元にトロイが仕込めると判断出来た環境のみ送ってくる可能性がある

この可能性が完全に否定出来ない限り安全とは言えないんですよね(ー∇ー;)
この場合はちゃんとアップデートをかけ対策をしている人はトロイ実体を引き出せない
テストで情報を作って送るにしても該当条件が解らないから絞り込み難い・・・・


○結局どうすればいいの?
今回の件で業者がやる気を出せば単一サイトの改竄(条件付き)も出来ると解った
エレメンさんや他の人気サイトが次の標的になる可能性も捨てれない

すまんがスクエニがパスワード認証部分をなんか大幅に変えてくるまでは
以前書いたようにFF環境切り離さないと危ない気がするわ・・・
PG2等である程度ガードは出来るが完全では無いしね(´Д`)


最後に・・・・・


○ヴァナm(ryって2回も改竄されてるし管理甘いんじゃね?

それはビックな間違いだ!ヽ(`Д ´)ノ

1回目のブログ改竄はFC2が悪かった、ブログ作者としては手の出しようが無い
そして今回の改竄についても個人レベルで自衛出来ていた内容では無いと思う
個人のパスワードの管理が悪いとかそんな次元の話では無いんです!

正直サイト閉じちゃうってのが一番気楽で簡単かもしれない
だが(個人的には)ヴァナモンさんにまだまだ頑張って貰いたい!

ずっとお世話になっていたヴァナモン
今でもお世話になっているヴァナモン
これから先もお世話になるヴァナモン

FFをこれから先も楽しむために自分はがっつり利用させて貰うつもり
しがない革ブログだがこっそり応援させて貰うぜ!!

がんばれヴァナモン!ヽ(`Д ´)ノ 負けるなヴァナモン!
| 【FFXI】プレイ日記 | comments(7) | trackbacks(0) |
| ←いっこ前 | とっぷ | いっこ次→ |

スポンサーサイト
| - | - | - |

あのサイトを作ってくれているだけで大感謝なのに、攻撃に負けずに対応してくれるだけで大大感謝なのに、「管理甘いんじゃね?」なんて、誰じゃーそんな事言うやつは!
口の中にピーマン突っ込むよ!!


いつもながら大変わかりやすい記事ありがとうございます。
こちらの記事と1つ前の記事引用させてもらいました。
事後報告ですみません…。

しかし…ホントやろうと思ったらあいつらなんでも出来るんですね…。

| ちょろ |
詳しい解説ありがとうございます。

とりあえずHDD付きPS2を探してますが・・・最近見かけなくなったなぁ。
PS2用のFFXIのソフトも買わないといけないんで、スクエニさんになんとかPS3対応させて頂きたい・・・(個人的には比較的移行する気になりやすいので)

正直PS2でFFXIは最初からPCだった身には結構キツイものが・・・。


しかしほんと、技術力の無駄遣いというかなんというか・・・別の方向に活かせよ!と言いたいものです。
| 梟 |
ぶっちゃけ、サイト閉じちゃうってのが一番楽なんですよね。
私自身、(ウィルス問題ではないけど)ブログ閉じちゃった人間なんでよくわかります。

特に最近は、アフィで儲けてるんだから運営・管理は当たり前だろ、
っていう考え方の人が多い気がしますね・・・

私はメールもネットブラウジングもMacOS9でやってるのでFFXIと切り離せてますが
デザインが崩れて見れないサイトも多くなってきました(´Д`;
そんな中、革屋さんのとこはOS9のIEでもデザインが崩れないので助かってます。
重いフラッシュ系ツールがないところも嬉しいところです。
| ナッパ |
先生質問 ノ
FFインストールしてにゃくても
リンクコミュニュティー登録してある
PCはあぶにゃいんですよね〜
| 骨屋にゃ〜 |
続報きましたね。ファイルマネージャー的なスクリプトが管理人さんの知らないうちに置かれてたとか。

サーチエンジンで見える範囲ですがxreaの利用ガイドらしきものが中国語であちこちにあるので(もちろん公式ではない)同じサーバーにユーザーを作られてそこからadminを盗られたんかねえ……
| にゃんこ |
なんだかネットの世界も遊びにくくなってきちゃいましたねぇ;; おなじみサイトさんがハッキング受けたりすると衝撃も大きいです。私も火狐使ってネットはみるようにしたりしてますが、自衛手段以上に攻撃のバリエーションが増えてるようで心配になったりします(つД`)
| ちぜ |
> ちょろ さん
俺なんて鼻にしいたけ詰めてやるぜo(`ω ´*)o
でも実際ネ実とか見るとよくわかってない人がこんなこと言ってるんだよねぇ・・・
だからちょっと書いておきました(´・ω・`)

> 梟 さん
PS3ネイティブなFF11出せば本体ごと馬鹿売れ確定なのにね(´Д`)
XBOXと同じくらいのクォリティでいいから俺も欲しいぜ・・・・

> ナッパ さん
うちは不良社員&低スペックPC仕様ですからww
見かけなんて気にしない('Д')b 実用(?)第一


> 骨屋にゃ〜 さん
記憶が確かならスモールPOLみないな感じだった>リンクシェルコミュニティ
POL配下でPCにパスワードが保存されているって意味では危ないよ(´・ω・`)

> にゃんこ さん
俺もみてたー
同じサーバの他ユーザ権限でやられてたならFC2事件と同じくらい回避出来ないな・・・
設置スクリプトに穴がある方ならいんだが(´Д`)

> ちぜ さん
まぁ自衛意識がみんな強くなっている点はいいことだ
FFやって無い人の自衛意識はもっともっと低いですからねぇ(゜ーÅ)
| 革屋 |




http://and2u.jugem.cc/trackback/1544