David the smart ass

心のダイエット!~時には辛口メッセージを~

スポンサーサイト

-----------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

FC2ブログのテンプレート改ざん事件~IFRAMEタグとJavaScript

2008-03-31-Mon
これは伝聞で、ブログ記事などネット上で報告されていることを断片的につないだに過ぎませんし、また、わたし自身もけっしてこういうことに詳しいわけではないのですが、ま、少しでも、特に詳しいわけでもないフツーのユーザーに理解してもらおうと、この記事を書くことにしました。したがって、細かな経緯や、専門的な観点からすると、実はちょっと間違っているということがあるかもしれません。それはそれで、コメントなどでご指摘いただければありがたいと思います。

まず、一言で言うと、FC2ブログで、ブログ管理人知らないうちに、テンプレートが勝手に書き換えられ(改ざん)、勝手に外部サイトを読み込むようになっているという現象が発生しました。これは、すでに、昨年末から最近まで、いくつかのゲーム関連のブログ(FC2ブログ)で発生しているようです。

そして、悪いことに(そもそもこれが目的なんでしょうが)、その外部サイトから、RealPlayerの脆弱性を利用したウィルスに感染し、オンラインゲーム(Lineage2)のパスワードを盗み出すようです。すでに被害のあったブログもいくつかあり、そして、その体験から、今までのような事実確認や、その対策が記事になっています。わたしが参考にしたのは、この二つのブログです。
 → [FF11]-まったり行こうよ!:「管理人の皆さん、ぜひ確認を!」(08/03/03)
    URL:http://winglea.blog.shinobi.jp/Entry/1054/
 → FF11 ペット狩り黒猫奮闘記
   :「ウイルス検出について【報告】」(08/03/01)
    URL:http://petsoro.blog91.fc2.com/blog-entry-171.html
   :「ウイルス検出について【情報追記】」(08/03/05)
    URL:http://petsoro.blog91.fc2.com/blog-entry-173.html
   :「ウイルス検出について【罠再び!】」(08/03/05)
    URL:http://petsoro.blog91.fc2.com/blog-entry-176.html

わたしが解説を書くより、これらの記事を読む方が、体験談でもあり、対策なども詳しいわけなのですが、ま、早い話が、テンプレートのHTML中に「<iframe>」(インフレームタグ)や「<Script>」(スクリプトタグ)が書いてあって、そこが、罠URLの内容を読み込むように設定してあるというわけです。

たとえば、
 <iframe src=”罠URL”></iframe>
だとか、
 <script src=”罠URL”></script>
という具合です。

で、この罠URLには、ウイルスが仕込んであるというわけですね。

ブログ管理人のとる対策は次のようです。

■ 管理人の方は今すぐチェックを! 03/22 20:15加筆
テンプレートをダウンロードしてそのまま使っている(もしくは手を加えて使っている)方は当然のこと、テンプレートは自作!という方も、ご自身のブログからそういった被害者を出さない為にすぐに以下のことを確認してみてください。

まずは今使っているテンプレートの編集画面を開き、そのソース(HTML)に
 iframe

 script
が含まれていないかを確認してください。

目視では見落とすこともありますので、「Ctrl+F」をして検索キーワードに
 iframe
でチェック。
それに加えてscript もチェックしてみてください。

それぞれのキーワードの後に続く文字列が意味の分からないものだったり、
自分の設置した覚えがないものがある場合はかなり危険です。

  → [FF11]-まったり行こうよ!:「管理人の皆さん、ぜひ確認を!」(08/03/03)より

※この危険な「<iframe src=”罠URL”></iframe>」や「<script src=”罠URL”></script>」は、これらのタグを削除するもしくはテンプレートを他のものに変更する必要があります。

これが、現在改ざんテンプレートの見つけ方ととりあえず応急処置のようです。

一方ユーザーの側(ブログの読者側)ですが、iframeタグやScriptを働かせないという方法で安全性を高めることもできるようですが、そもそもこんな意見もあります。

ここのところFC2で見つかっているマルウエアは、
1.ウィンドウズの脆弱性
2.IE6の脆弱性
3.リアルプレイヤーの脆弱性
を突いてくるらしいですが、いずれも最新のものにアップデートされていれば問題はないらしいです(自分で確認していないので伝聞)。
  → FC2ブログユーザーフォーラム:「原因究明・セキュリティ強化を」のschutzさんのコメント  


このあたりはFC2ブログのユーザーに限らず、ま、ネットを頻繁に利用するなら必須条件と思いますので、ぜひ、心がけておきたいところです。

にほんブログ村 ブログブログへ

COMMENT



今日は~

2008-04-01-Tue-05:31
出人さん今日は。
どのように改ざんするのかという点が一番知りたいところですが、テンプレートの目視の確認の他に、安全を確認したテンプレートをテキストデータに保存し、そのファイルサイズを照らし合わせるのも、一発で分かる方法ではないでしようか?。

リンクが仕込まれた場合でも、バイト数は一目瞭然で変化するように思います。

FC2自身の脆弱性?

2008-04-01-Tue-10:42
出人さん、ご無沙汰です。(NAMEをローマ字にしました)
こういうネタだとすぐ飛びつく私としてはテンプレートにある脆弱性を突かれて侵入され、これは出人さんのようなブログ管理者の問題ではなく、ブログツールそのものの問題と思いました。

攻撃の方法はわかりませんが、管理者のパスワードを知らなくても侵入してテンプレートを編集できてしまう方法がブログツールに存在するのだと感じました。

右側のプロバイダーリンク先から
http://staff.blog1.fc2.com/blog-entry-325.html
FC2インフォメーション、この記事にある多数のコメントからは、やはりそういう基本的な問題と感じます。
プロバイダーさんのバージョンアップを待つしか無いのではないかと感じます。
記事にお書きになったように、読者側でWindowsやブラウザにある脆弱性を常に修正しておく必要性はインターネットを利用する限りつきまといます。

☆Aikoさん

2008-04-01-Tue-23:04
コメントありがとうございました。
ほんとうに、どういう具合になっているのかよくわかりません。

「テキストデータで保存して、ファイルサイズを照らし合わせる」というのは、なかなかわかりやすい方法です。ありがとうございました。これだったら、システムに表示させることができませんかしらん。HTMLのサイズを比較して、前回と変化が見られたのはいつなのかということを、テンプレート一覧のページに表示すれば、わかりますよね。

☆ictさん

2008-04-01-Tue-23:11
お久しぶりです。

どういうしくみでテンプレが書き換わってしまうのか、正直わかりません。おっしゃるように、ブログツールなりなんなりの脆弱性をついているのか、あるいは、何か別の手法によるものか?

いずれにしても、運営サイドは、現状把握と同時進行的に、その実態と、ユーザー(ブログ主)や読者が取るべき処置(確認方法、発見時の対策、今後の予防)などを公式の場面で告知してほしいと思います。そりゃ、原因が特定できてその対策をとれるのが、あるいは美しいのでしょうけれど、被害が拡大しないようにするというのは、ことはウィルス絡みだけに大切だと思います。

横溝正史館の、ご長男の講演(1周年記念)にはいかれましたか~?

夢のような出会い、とか

2008-04-04-Fri-15:17
どんなプロバイダーでもユーザーのみならずインターネット界全体に責任があると私は思っていますから、出人さんのおっしゃるとおり、告知は大切ですね。
横溝正史館1周年に私は行かれませんでしたが、竹中英太郎記念館の館長さんがお出かけになり、ブログ日記に残されています。
http://takenaka-kinenkan.jp/diary/log/eid528.html
「夢のような出会い・・・」 と(^o^)

☆ictさん

2008-04-05-Sat-08:12
館長日記拝見しました。

そうか、館長さんが行かれたのですね。そうかぁ。写真をはじめて拝見しましたが、お元気そうで。そして、おきれいな方ですね。

わたしの中では、なにせ、館長=手術で入院というイメージなもので、もっとなにか、もっと年長で、しかも病気に苦しんでいらっしゃイメージでした。(心の中で謝っておきます~)

こんばんは

2008-04-05-Sat-22:48
三毛猫です。
検索の方法を教えていただいて、早速やってみました。
一個出ました。怖くなりました。

☆三毛猫さん

2008-04-06-Sun-07:47
おはようございます。確かに不安ですよね。

danielさんが、IFRAMEタグを見つけるブックマークレットを試作して公開なさっています。
 → http://pcafe.blog3.fc2.com/blog-entry-555.html

自分のところだけでなく、訪問先もチェックできます。

ただ、IFRAMEタグがすべて悪いというわけではありませんよね。わたしもわからないことがたくさんあって、不安ですが、ま、皆さんに助けられてなんとかやってます。

攻撃方法が判明

2008-04-06-Sun-18:15
2008/04/04の日経BPの記事で攻撃の様子が判明しました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080404/297969/
一連の攻撃の手口は,SQLインジェクションというWebアプリケーションのぜい弱性を突いたものだった。SQLインジェクションは,Webシステムのバックエンドにあるデータベースを不正に操作する攻撃。Webページで入力された不正なSQLコマンドをアプリケーション側で検知・排除できないために,データベースのデータを不正に参照・更新される。攻撃者はこの方法で,Webコンテンツにiframeタグを埋め込んだ。

など詳しい記事です、iframeの埋め込みということでFC2の被害もこれだと思います。以上取り急ぎのお知らせ。

☆ictさん

2008-04-07-Mon-08:51
どうも情報ありがとうございます。

FC2ブログだけの事情というよりも、マイクロトレンドなどのWebページが改ざんにあってウィルスがばらまかれたことがあったと思いますが、共通するところがあるのでしょうね。

使わないのが一番なんて解決では困ると思うのですけど、う~む。

コメントの投稿












※スパム対策のため、半角英数字のみのコメントは禁止設定してあります。
また、半角「-」の5文字以上連続もコメント内に書き込めません。



秘密にする

TRACKBACK

※この記事のトラックバックURL(コピーしてお使い下さい)
  
http://smartass.blog10.fc2.com/tb.php/2009-ebe27d68

※管理人が承認したトラックバックのみ表示します(12時間以内には表示処理をするつもりです)。

ITmediaの記事がブログに書きやすくなったことについて~月別集計

最近、ちょっと、FC2ブログの関連の記事かいてないし、例のアクティブユーザー数のグラフも掲載してないのですが、正直、アメーバがFC...

「前向きなエラー」~週別集計

satokotoさんところで前向きなブログパーツを紹介なさっていて、ちょっとおもしろそうだったんですが、記事を読もうとしてもエラーが出てしまい...
HOME
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。