David the smart ass

Modern Syntaxが「ネット犯罪者目線で手口を告白、実話をもとにした短編動画」という記事を書いて、トレンドマイクロが１３日に公開した、ネット犯罪の実話をもとにしたショートムービー「サイバー犯罪者たちの告白」を紹介しています。

　→　トレンドマイクロの短編映画：「サイバー犯罪者たちの告白」

例えば、路上駐車のクルマに偽の駐車禁止シールを貼り付け、そのシールに「Webページで確認して手続きを」などと書いてあることから、信用してどんどん手続きを進めていくと、偽セキュリティソフトを購入されてしまうというような手口。

また、SDカードを媒介にして感染する「オートラン」というタイプのウィルスを仕込んだSDカードを、今ではいろんな店先においてあるデジカメ写真の現像機に片っ端からる入れて回ることで、何にも知らないユーザーがSDカードを使って写真を現像に来たときに感染、それをきっかけにどんどん感染していくというように手口とか……。

ネットに毎日のようにつないでいると、怪しいWebページは危ない、ウィルス対策ソフトを入れてないPCは危ない、スパムメールに添付されてるデータは危ないなどというような知識は、すっかり身についていると思っているのですが、こういう、リアルな世界からの何気ないアプローチには、すっかり油断してしまうという感じですね。

実話に基づいた動画ということで、誰かが実際に痛い目を見た体験を下に作ってあるんですね。まさに、他山の石、他人の失敗に学べということです。

また、災害は忘れた頃にやってくるともいいもますので、データのクラッシュに備えたバックアップも大切ですし、同時に、ウィルス対策ソフトを入れているから安心ということでなくて、こうした心構えを注入しておくことが大切だと思います。

ただ、この動画、特に音楽も含めてほんとうに怖くて、右上に「みんなに教える」というボタンがあるんですが、この動画を見た後では、ほんとうに不気味で、そのボタンをクリックする気にならないのが玉に瑕です。ほんと、怖い～ｗ

→　INTERNETWatch：「ネット犯罪者目線で手口を告白、実話をもとにした短編動画 」

今朝、AmazonアソシエイトへFirefoxでログインしようとしたら、こんなエラーが出ました。

検索の利便を考えて、テキストにもしておきましょう。

安全な接続ができませんでした

---

affiliaite.amazon.co.jp は不正なセキュリティ証明書を使用しています。
この証明書は 2009/04/23 8:59 に切れています。
(エラーコード: sec_error_expired_certificate)

---

* サーバの設定に問題があるか、誰かが正規のサーバになりすましている可能性があります。
* 以前は正常に接続できていた場合、この問題は恐らく一時的なものですので、後で再度試し
てみてください。
例外として扱うこともできます。

ちょっと、びっくしりしました。昨日まで普通に使えていたので……。再アクセスしても、しばらく時間を空けて全然ダメだったのでちと検索してみたら、こんなページがありました。
　→　 MozillaZine：「自動更新サービスのエラーについて」

このエラーと厳密には違うのですが（リンク先の例は自分のPCの時計が遅れていたようです）、わたしの場合もあてはまらないかと日付と時間を調べてみたら、どうして狂ったのかわかりませんが、まるっと半年間狂っていました（2009年10月04日となっていました。時刻表示はほぼ合ってました）。

つまり、時間が早すぎたり、遅すぎたりすると、不正なセキュリティ証明書の判定されることがあるということですね。わたしはこれで解決しました（※時間の変更は、Winの場合、通常右下に表示されている時刻表示をダブルクリックすると、カレンダーの設定画面を起動できます）。

はい、解決しました。

ただ、検索をしていくと、こんなに簡単な事情ではなくて、「例外として扱う」ことによって解決する必要のある場合があるようです。

ショートカット (C:\Program Files\VMware\VMware Server\serverui) を https から http へ変更してもいいのですが、 正規な手順はこんな感じ？

1. Firefox3 の [ツール(T)] - [オプション(O)...] - [詳細] - [暗号化タブ] - [証明書を表示(S)...] から「証明書マネージャ」 を起動します。
2. [サーバ証明書タブ] の「例外を追加(X)...」ボタンを押します。
3. URL に（上記のエラーメッセージだったら） 「https://hostname:8333/」 と入力し、「証明書を取得(G)」ボタンを押します。
4. 「セキュリティ例外を承認(C)」ボタンを押します。
5. 証明書マネージャに戻ったら、 「OK」 ボタンを押します。

→　よんだりくわんだり：「firefox の不正なセキュリティ証明書」（旧）
→　Wellvil.com：「firefox の不正なセキュリティ証明書」

ただ、ことがセキュリティに関わるものだけに、やたらにやってしまっては、いかにもまずかろうと思いますね。

ヤフーオークションで、時々買い物というか、オークションをします。NTT系の光にしませんか？　という勧誘電話が来ても、ま、ヤフオクなんかもしたいんで、ま、断っています（いまさら設定を触るのも面倒くさいし）。

そんなわたしのところに、Yahoo! Auctionsより、【重要なお知らせ】が来ました。

From:　　　 □□□＠yahoo.co.jp
　　　　　　　DomainKeys は、このメールが yahoo.co.jp から送信されたことを確認しました。
Subject: 【重要なお知らせです】
To:　　　　 □□□◎＠yahoo.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　Yahoo! Auctionsよりご案内です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつもYahoo! Auctionをご利用頂きありがとうございます。
http://□□□.com/yahoo-auction.co.jp/
よりお客様の会員情報の更新をお願いします。
更新を行われない場合出品制限等の不具合を起こす場合も
ありますのでご協力お願い致します。

※こちらのメールは自動送信メールとなっておりますので、そのままご返信いただきましてもお答えいたしかねます。
Power up the Internet with Yahoo! Toolbar.

なんて内容です。

すでに報告があった例文でして、
　→　ITpro：「ヤフーをかたる新フィッシング、偽の「重要なお知らせ」であざむく 」（2009/02/12）
　→　YOMIURI　ONLINE：「「重要なお知らせ」のヤフー偽サイト」（2009/02/13）

さっそく、こちらの「そのメール 本当にYahoo! JAPAN？　気をつけよう！　フィッシングメールQ＆A」のページから、Yahoo! JAPANに報告のメールの書きました。

まだ返事は来てませんが、当然クロという返事が来ると思いますけれどもね。

何かの参考までに書いておきます。ちなみに、過去にフィッシング詐欺のメールはこんなのが来てます。
　→　過去記事：「「YAHOO!JAPANより重要なお知らせ」が来た」
　→　過去記事：「「Yahoo!JAPAN-ユーザーアカウント継続手続き」が来る」

この二つの方が何倍もてが込んでますね。

これは伝聞で、ブログ記事などネット上で報告されていることを断片的につないだに過ぎませんし、また、わたし自身もけっしてこういうことに詳しいわけではないのですが、ま、少しでも、特に詳しいわけでもないフツーのユーザーに理解してもらおうと、この記事を書くことにしました。したがって、細かな経緯や、専門的な観点からすると、実はちょっと間違っているということがあるかもしれません。それはそれで、コメントなどでご指摘いただければありがたいと思います。

まず、一言で言うと、FC2ブログで、ブログ管理人知らないうちに、テンプレートが勝手に書き換えられ（改ざん）、勝手に外部サイトを読み込むようになっているという現象が発生しました。これは、すでに、昨年末から最近まで、いくつかのゲーム関連のブログ（FC2ブログ）で発生しているようです。

そして、悪いことに（そもそもこれが目的なんでしょうが）、その外部サイトから、RealPlayerの脆弱性を利用したウィルスに感染し、オンラインゲーム（Lineage2）のパスワードを盗み出すようです。すでに被害のあったブログもいくつかあり、そして、その体験から、今までのような事実確認や、その対策が記事になっています。わたしが参考にしたのは、この二つのブログです。
　→　[FF11]-まったり行こうよ！：「管理人の皆さん、ぜひ確認を！」（08/03/03）
　　　　URL：http://winglea.blog.shinobi.jp/Entry/1054/
　→　FF11　ペット狩り黒猫奮闘記
　　　：「ウイルス検出について【報告】」（08/03/01）
　　　　URL：http://petsoro.blog91.fc2.com/blog-entry-171.html
　　　：「ウイルス検出について【情報追記】」（08/03/05）
　　　　URL：http://petsoro.blog91.fc2.com/blog-entry-173.html
　　　：「ウイルス検出について【罠再び！】」（08/03/05）
　　　　URL：http://petsoro.blog91.fc2.com/blog-entry-176.html

わたしが解説を書くより、これらの記事を読む方が、体験談でもあり、対策なども詳しいわけなのですが、ま、早い話が、テンプレートのHTML中に「＜iframe＞」（インフレームタグ）や「＜Script＞」（スクリプトタグ）が書いてあって、そこが、罠URLの内容を読み込むように設定してあるというわけです。

たとえば、
　＜iframe src=”罠URL”＞＜/iframe＞
だとか、
　＜script src=”罠URL”＞＜/script＞
という具合です。

で、この罠URLには、ウイルスが仕込んであるというわけですね。

ブログ管理人のとる対策は次のようです。

■ 管理人の方は今すぐチェックを！ 03/22 20:15加筆
テンプレートをダウンロードしてそのまま使っている（もしくは手を加えて使っている）方は当然のこと、テンプレートは自作！という方も、ご自身のブログからそういった被害者を出さない為にすぐに以下のことを確認してみてください。

まずは今使っているテンプレートの編集画面を開き、そのソース（HTML）に
　iframe
や
　script
が含まれていないかを確認してください。

目視では見落とすこともありますので、「Ctrl＋F」をして検索キーワードに
　iframe
でチェック。
それに加えてscript もチェックしてみてください。

それぞれのキーワードの後に続く文字列が意味の分からないものだったり、
自分の設置した覚えがないものがある場合はかなり危険です。
　　→　[FF11]-まったり行こうよ！：「管理人の皆さん、ぜひ確認を！」（08/03/03）より

※この危険な「＜iframe src=”罠URL”＞＜/iframe＞」や「＜script src=”罠URL”＞＜/script＞」は、これらのタグを削除するもしくはテンプレートを他のものに変更する必要があります。

これが、現在改ざんテンプレートの見つけ方ととりあえず応急処置のようです。

一方ユーザーの側（ブログの読者側）ですが、iframeタグやScriptを働かせないという方法で安全性を高めることもできるようですが、そもそもこんな意見もあります。

ここのところFC2で見つかっているマルウエアは、
１．ウィンドウズの脆弱性
２．IE6の脆弱性
３．リアルプレイヤーの脆弱性
を突いてくるらしいですが、いずれも最新のものにアップデートされていれば問題はないらしいです（自分で確認していないので伝聞）。
　　→　ＦＣ２ブログユーザーフォーラム：「原因究明・セキュリティ強化を」のschutzさんのコメント　　

このあたりはＦＣ２ブログのユーザーに限らず、ま、ネットを頻繁に利用するなら必須条件と思いますので、ぜひ、心がけておきたいところです。