2008年6月5日頃から17日にかけて、XREAの無料HPスペースを利用したHPで表示義務のある広告バナーにFlashplayerの脆弱性をついた罠がしかけられ、Flashplayerのバージョンが古い場合、閲覧しただけでウィルスに感染する状態にありました。被害報告もすでに多数あがっています。
(※6/17にXREA運営によって対処が行われたため、現在は感染の心配はありません。)
※(6/27追記)6/26 3:21~6/27 2:00前後にかけて問題の広告サーバーが巻き戻っていたようです。現在は問題は発生していませんが、該当期間中は危険な状態にあった可能性があります。念のためチェックと周知お願いいたします。
上記期間中に該当するHPを閲覧された方は、5.対策を参考に感染の有無のチェックを早急にお願いいたします。
今回はXREAが狙われましたが、
今後いつまた、どこで、こういったセキュリティホールを突いた攻撃が行われるかわかりません。
安全なネット利用の継続には、定期的・継続的なセキュリティ面の見直しが必須条件となりつつあります。
注意!:Adobe Acrobat/Readerに脆弱性が見つかっています。
今後の攻撃に備えてアップデートを!
詳しくはこちら※ソフト自体のヘルプ→アップデートの有無をチェック、でもパッチが当てられるようになっています(セキュリティホールmemo様の記事より)(6/27追記)
今後起こりうる事態への他山の石とすべく、今回の問題についてまとめてみました。
※当初「XREA広告改竄問題(暫定)まとめ」として立ち上げました。
有志の方が訂正してくださったタイトルがしっくりきたので変更しました。すみません。
要するに、今回の問題はXREAだけの問題ではない、ということです。
※リンクフリー、無断転載等全然問題ありません。
※2ちゃんねるからの情報も参考にしていますので、「2ちゃんねる絡みだと引用しづらい・・・」という方はこちらをどうぞ。
6月5日頃(※1~6月17日 16:06(※2
※(6/27追記)6/26 3:21~6/27 2:00前後にかけて問題の広告サーバーが巻き戻っていたようです。現在は問題は発生していませんが、該当期間中は危険な状態にあった可能性があります。念のためチェックと周知お願いいたします。
以下XREAスレより抜粋
771 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 00:49:30 0
XREAの広告の 202.181.97.153/ad_iframe.html またやられたというか巻き戻っちゃってるので注意。
772 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 00:50:24 0
タイムスタンプは26日3:21。
786 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 02:00:58 0
>>783 あ、今見たら戻しやがったw 奪い合いになってんじゃないだろうな…
799 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 05:31:59 0
>>797 今は駆除されてる。
ちなみに数日前から犯人の fccja■com:81 は接続可能になっていたけど
駆除された今は接続不能になってる。リアルタイムで攻防があったのかも。
こちらはネ実アカハクスレ
678 名前: 既にその名前は使われています 投稿日: 2008/06/27(金) 00:55:58.60 ID:nkWv/8lE
XREAの広告、またやられたというか巻き戻っちゃってるので注意。
XREAの該当ファイルのタイムスタンプは日本時間26日3:21。
fccjaのトロイのタイムスタンプは18日だけど
こっちはたぶんいじってあるのであてにならない。
714 名前: 既にその名前は使われています 投稿日: 2008/06/27(金) 02:02:18.02 ID:nkWv/8lE
XREAまた修正済みの17日のに戻った。書き換え合戦か?
その後問題の広告サーバーはラウンドロビンから外され、
795 名前: 既にその名前は使われています 投稿日: 2008/06/27(金) 15:08:36.48 ID:nkWv/8lE
XREAの件、202.181.97.153をDNSから外したみたい。
nslookup j1.ax.xrea.com
最初(10日頃?)からやっとけばこんなに被害は拡大しなかったのに。
せっかく外したサーバをまた元に戻した・・・と思いきや19時台から挙動が不審だったもうひとつの広告サーバー(202.181.97.140)もまとめてDNSから外した模様。
839 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 20:33:00 0
あ、(前にやられた)202.181.97.153がDNSに復帰してる。
こいつの影響か? つーか戻すなよ…。
843 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/27(金) 20:47:01
0
2台ともDNSから外したw
; <<>> DiG 9.5.0
<<>> j1.ax.xrea.com
;; global options: printcmd
;; Got
answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 279
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;j1.ax.xrea.com. IN A
;; ANSWER
SECTION:
j1.ax.xrea.com. 157 IN A 59.106.22.138
j1.ax.xrea.com. 157 IN A
202.229.187.26
j1.ax.xrea.com. 157 IN A 202.229.187.26
j1.ax.xrea.com.
157 IN A 210.153.116.18
※1 問題について話題にあがり始めたのは8日頃であるが、5日時点ですでにIPフィルタソフトが危険サーバーのIPをはじいていたとの報告あり
※2 XREA公式の発表、およびXREAスレの以下の書き込み
697 名前: 名無しさん@お腹いっぱい。 投稿日: 2008/06/17(火) 18:13:10 0
XREA対応したな。 imgj.xrea.com ( j1.ax.xrea.com )
59.106.22.138/ad_iframe.html
202.181.97.140/ad_iframe.html
202.181.97.153/ad_iframe.html (元有害サーバ)
202.229.187.26/ad_iframe.html
タイムスタンプ 2008-06-17 16:06(日本時間)
210.153.116.18/ad_iframe.html
これは元の2005-06-10のまま、たぶん忘れてるんだろうけど 元々無害だしいいか。
2008/6/18現在、脅威への対策はなされています。
XREA公式アナウンスは→こちら
周知・対策の方よろしくお願いします。
2008年6月8日20時頃より、 XREAの無料サービスで表示される広告内にウィルスが埋め込まれました。 広告を表示しただけでウィルス感染の恐れがあり、 被害はXREAの無料サービス全体に及んでいます。 6月11日夜の時点では、 広告用のタグが改竄されたままです。 解析を妨げるためか、 条件により「404 Not Found(ページが見つからない)」というエラーを偽装します。 この件に関し、運営会社からのアナウンスは特に出ていません。
ウィ ルス入り広告枠用ページのタイムスタンプは2008-06-08 19:58、 ウィルス入りでない広告枠用ページのタイムスタンプが2005-06-10 18:20となっていることから、 改竄されたのは6月8日の20時頃と推測されます。 ただし、6月5日頃よりウィルスが検出されているとの情報もあるため、 6月8日以前にすでに改竄されていた疑いがあります。 広告ページの置かれているサーバは5か所に分散していますが、 そのうち1台 (202.181.97.153) のファイルのみ改竄されているため、 広告表示時に1/5の確率でウィルス入りの広告が表示されます。
埋 め込まれたのはJavaScriptコードで、 世界的に猛威をふるっているSQLインジェクション攻撃で使用されたのと同じアドレスに置かれています。 Flash Playerの脆弱性を突いて、 オンラインゲームのアカウント情報などを盗むウィルスに感染させようとします。 対象となるオンラインゲームは、わかっているだけでリネージュ、リネージュ2、 RO、FFXIなどがあります。 Flash Playerのバージョンが最新でない場合には、ウィルス感染してしまいます。
こうしたトロイの木馬が盗むのは、ゲームのアカウント情報だけでなくmixi、 MSN Messenger、ブログなどのログイン情報も対象としている場合が多いので、 ゲームをやっていないからと言って放置するのは危険です。
6 月15日夜の時点では、XREA側からの対処はまだされていませんが、 ウィルスが置かれているサーバ (1039045744:81) がダウンして接続ができなくなっています。 ただし、80ポートへの接続は正常に確立するため、サーバ自体が動作停止しているわけではなく、 いつ復活するかわからない状態です。 また、XREA側での対処がされていないため、 今後また別のウィルス置き場のアドレスに書き換えられる可能性もあります。
■ セキュリティーホールmemo → 該当部分
■ XREA公式サポート掲示板の該当スレッド→こちら
なお、今回、問題の広告は手動挿入の場合、特定のタグがあると100%表示され、自動挿入の場合でも何分の1かの確率で表示されていたとのこと。
(※手動挿入はやばくて自動挿入なら大丈夫らしい、という情報も出回っているようですが、
あくまで自動挿入のほうが問題の広告が表示されづらかったというだけです。
「表示される可能性があった」という点では手動も自動も変わりありません)
|
繰り返しますが、これはFlash Playerの脆弱性に起因するものです。 XREA無料サーバの接続・利用限定で起こる問題ではありません。 |
最も怖いのは無対策であった場合、上記のプロセスが自動的に全く気付かないまま進行すること、
「踏まなければ大丈夫」という よくある対策は全くの無意味ということでしょうか。
今回の攻撃はFlashplayerの脆弱性を付くものでした。
しかし、Flashplayerのセキュリティホールについては事前にアナウンスがなされていました。
「Flash Player 9」に危険な脆弱性、アドビがアップデート版を公開(Internet Watch、4月9日)
Adobe Flash Player9リリースノート
Flash Playerの脆弱性にご注意ください(ファイナルファンタジーXI公式ページ、5月30日)
にもかかわらず、多数の被害者が生まれる結果となってしまいました。
同じような事態を起こさないためにも、セキュリティ関連のニュースに対してアンテナをのばしておきましょう。
以下はネ実アカハクスレからのコピペですが・・・
■具体的な自衛策
1:ウイルススキャンソフトを導入する。
・シマンテック、マカフィー、カスペルスキー、トレンドマイクロなどのソフトを有料で購入する。
・avast!やAVGやAntiVirやBitDefenderなどの無料ソフトをダウンロードして使用するという手もあります。
2:WindowsUpdateでWindowsを最新の状態にする
Windowsは最初にインストールしただけで万全というわけではなく、次々と発見されるセキュリティホールを
後付で修正し、それをWindowsUpdateで配布することで安全性を保つようにできています。
一般的には自動更新がされるよう設定されていますが、重いからという理由で自動更新機能を
オフにしている人もいると思います。その場合は必ず定期的に手動で更新を行ってください。
3:ファイアウォールを有効にする
・1に上げた有料ソフト等に同梱されているものや、同じ会社から出ているものを使う
・ベクターや窓の杜などでフリーのファイアウォールソフトを探し、導入する
(2chカテゴリ「ネット関係」>「セキュリティ」板にフリーのファイアウォールソフトの
スレッドがあります。「ファイアウォール」などの単語で検索してください)
4:IPフィルタを導入する
PeerGuardian2というフリーソフトで特定の国(この場合は特に中国)のIPへのアクセスを遮断できます
★PeerGuardian2の導入・設定方法はここから
リネージュ資料室→ リネージュ資料室-基本的な対策-IPフィルタ
このURLを踏みたくない人はgoogleで『リネージュ資料室』で検索してメニューから
セキュリティー対策→IPフィルタ で確認してください。
5:IE以外のウェブブラウザを使用する
Firefox、Opera、Safariなど。
ただしそれぞれのブラウザにもセキュリティホールが見つかることもあるので、ブラウザ自体の
アップデートも行う必要があります。
6:不審な・見覚えの無いURIを踏む必要がある場合は、まずaguse.jpやソースチェッカーを使用する。
aguse.jp
URIを入力するとそのページのSSとドメイン情報、各ブラックリストに照らし合わせた結果が表示されます。
ソースチェッカーにはWebページ上のものと、DLして使用できるフリーソフトがあります。
ソースチェッカー
2008/6/18現在、脅威への対策はなされています。
XREA公式アナウンスは→こちら
xrea.com part132(レンタルサーバー)
(※すでに次スレに以降していますが、問題発生中のやり取りを参考にしていただくため
保存してアップロードしてあります)
●● RMT業者の垢ハックが多発している件21 ●●(ネトゲ実況)
【ネット】 無料サービス「XREA」の広告から「Flash Player」の脆弱性をついたウイルス拡散中…今すぐ対策を(ニュース速報+)