安全のために のバックアップ差分(No.31)

[ トップ ]   [ 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• 安全のために へ行く。
  • 1 (2007-05-25 (金) 20:38:51)
  • 2 (2007-05-26 (土) 10:08:35)
  • 3 (2007-05-26 (土) 13:25:36)
  • 4 (2007-05-26 (土) 15:11:12)
  • 5 (2007-05-26 (土) 15:51:10)
  • 6 (2007-05-26 (土) 15:53:26)
  • 7 (2007-06-03 (日) 08:50:35)
  • 8 (2007-06-26 (火) 12:14:15)
  • 9 (2007-07-02 (月) 16:20:57)
  • 10 (2007-08-31 (金) 14:45:07)
  • 11 (2007-09-02 (日) 11:15:51)
  • 12 (2007-09-08 (土) 17:14:27)
  • 13 (2007-09-08 (土) 17:14:47)
  • 14 (2007-10-03 (水) 15:55:22)
  • 15 (2007-10-03 (水) 15:55:39)
  • 16 (2007-10-03 (水) 15:59:48)
  • 17 (2007-10-10 (水) 16:36:43)
  • 18 (2007-10-10 (水) 18:56:25)
  • 19 (2007-10-10 (水) 19:27:17)
  • 20 (2007-10-12 (金) 12:44:03)
  • 21 (2007-10-12 (金) 12:45:00)
  • 22 (2007-10-13 (土) 09:38:35)
  • 23 (2007-10-13 (土) 19:10:54)
  • 24 (2007-10-16 (火) 10:52:03)
  • 25 (2007-10-23 (火) 18:32:45)
  • 26 (2007-12-04 (火) 10:03:32)
  • 27 (2007-12-09 (日) 14:59:17)
  • 28 (2007-12-09 (日) 15:05:11)
  • 29 (2007-12-09 (日) 15:08:38)
  • 30 (2007-12-09 (日) 15:12:21)
  • 31 (2007-12-09 (日) 15:18:12)
  • 32 (2007-12-09 (日) 15:50:11)
  • 33 (2007-12-09 (日) 16:11:20)
  • 34 (2007-12-15 (土) 11:19:36)
  • 35 (2007-12-20 (木) 18:30:05)
  • 36 (2008-03-15 (土) 17:39:43)
  • 37 (2008-03-19 (水) 15:58:33)
  • 38 (2008-03-20 (木) 09:17:55)
  • 39 (2009-07-10 (金) 15:55:35)
  • 40 (2009-11-26 (木) 20:14:43)
  • 41 (2009-11-26 (木) 20:18:09)
  • 42 (2010-02-25 (木) 14:48:20)
  • 43 (2010-05-02 (日) 22:19:50)
  • 44 (2010-05-02 (日) 22:22:39)
  • 45 (2012-05-22 (火) 16:30:28)
  • 46 (2012-05-22 (火) 16:44:48)
  • 47 (2012-12-19 (水) 10:23:56)
  • 48 (2013-01-23 (水) 08:27:07)
  • 49 (2013-05-06 (月) 22:51:45)
  • 50 (2013-06-01 (土) 01:53:57)
  • 51 (2013-06-01 (土) 02:05:46)
  • 52 (2013-06-01 (土) 02:19:39)
  • 53 (2013-06-01 (土) 02:22:06)
  • 54 (2013-06-11 (火) 15:13:46)
  • 55 (2014-04-22 (火) 17:48:03)
  • 56 (2014-04-23 (水) 10:29:40)
  • 57 (2014-06-10 (火) 16:02:51)
  • 58 (2014-06-10 (火) 16:10:27)
  • 59 (2016-09-26 (月) 18:52:41)
  • 60 (2016-09-26 (月) 18:52:58)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

#topicpath
*安全のために [#i5f97081]
&color(red){''海外（特に中国人）のアカウントハックに要注意''};

#contents

**何が起こっているのか？ [#x8b121d1]
2006年10月頃から、海外（特に中国）からオンラインゲームを狙ったアカウントハックが多発しています。~
その多くはRMT（現金取引）の業者といわれています。~
アップローダに当時（2006/10）上げられた中国のHTML偽装jpgですが

 ドメイン情報　www■zhangweijp■com 61.139.126.10
 country: CN
 CHINANET Sichuan province network (シナ四川省)
 61.139.0.0 - 61.139.127.255

あきらかにROで各種サイトにリンクを貼り付けてアカウントハックの被害を出しまくった
中国人アカウントハック集団のサイトです。(www■zhangweijp■comでググるわかる)

またリネージュでも被害が確認されている老舗(?)アカウントハックサイトです~
tmsn.exeという実行ファイルを強制DLさせられるので注意

これ以外にも様々なものがあります。上記URL以外にも十分気を付けましょう~
RagnarokOnlineやリネージュなどが被害の中心でしたが、その範囲はどんどん広まっています。~
Master of Epicも例外ではなく、実際に罠を仕掛けられたことがあります（後述）。~

**どんな手を使っているのか？ [#r41d621d]
2007年3月段階で確認されているものをあげておきます。時間の経過に伴い新しい手段が出てくると思われます。~
大まかな手口としては、
+偽装やその他の手段で悪意のあるプログラムを設置してあるサイトへ誘導する
+セキュリティの穴をついて悪意のあるプログラムを仕掛ける
+悪意のあるプログラムがPC内の情報を、どこかに送信する
といったことが行われます。
-jpg偽装型
--アップローダーなどにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む
--コメントに「Dツアーおつかれさま」などと書き込み、警戒を解かせ踏む様に仕掛けています
--InternetExplorerやIEコンポーネントのブラウザで踏むとキーロガー等を仕込まれます。
--中身は下記のようなものが一例
 <html>
 <iframe src="http://www■zhangweijp■com/tt2/index■htm" width="0" height="0" frameborder="0"></iframe>
 <center><img src="http://www■zhangweijp■com/jpg/001■jpg"></center>
 </html>
 （上記は元ソースから.（ドット）を■に置き換えてある）
--罠jpgのURLを2chの掲示板などに貼り付けたりということもある
-Wiki編集型
--Wikiの編集しやすさを逆手に取り、リンクをアカウントハックサイトに書き換える
--''このWikiでは外部へのリンクに記号がつきます''
---参考：http://moepic.com/ ←一番右にあるマークが外部リンクの印（JavaScriptが無効だと出ません）
--外部リンクの際には飛ぶ先が本当に正しいか注意してください
-Blogコメント型
--個人の運営するBlogに、興味を持つようなコメントを付けることでURLへと誘導する手口。
--例えば、「Blog移転しました、今度からはこっちをブックマークお願いします」など。
-ネットカフェ仕込み型
--不特定多数の人が使うネットカフェにキーロガーなどを仕込む方法
-ゲーム内URL表記型
--募集チャンネルなどに鍵付きでURLのみを記載、疑問に思ったプレイヤーをアクセスさせる

**何をすればいいの？ [#z7749630]
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』（http://www.higaitaisaku.com/korobanu.html）が参考になるでしょう。

-基本
--定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
--アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
--パーソナルファイアーウォールソフトの導入
--アドレスをホイホイ踏まない。よく確認する。「ソースチェッカーオンライン」などのブラクラチェックサイトを利用する。
--出所の怪しいプログラムやスクリプトを実行しない
-応用
--IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
--IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
--信頼できるSite以外ではスクリプトやActiveXを切る
---インターネットオプションのセキュリティの部分で設定可能
--偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
---インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

**何をすればいいの？もっと詳しく [#j819b7eb]
-接続禁止IPレンジの設定
--セキュリティソフト等で61.139.0.0 - 61.139.127.255を接続禁止IPレンジとして登録しておきましょう。万が一踏んだとしても接続拒否しておけば被害を防止できます
--ファイアウォールソフトごとに設定の可否、またその方法も違うようです

-hosts編集 (接続拒否設定)~
--hostsが何かについては[[こちら>http://ja.wikipedia.org/wiki/Hosts%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB]]参照
--Windows XP、Windows Server 2003 の場合 : c:\windows\system32\drivers\etc\hosts
--Windows 2000 の場合 : c:\winnt\system32\drivers\etc\hosts
--編集はtxt editorで行えます
--編集後は上書き禁止にすること
 # Copyright (c) 1993-1999 Microsoft Corp.
 #
 # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
 #
 # This file contains the mappings of IP addresses to host names. Each
 # entry should be kept on an individual line. The IP address should
 # be placed in the first column followed by the corresponding host name.
 # The IP address and the host name should be separated by at least one
 # space.
 #
 # Additionally, comments (such as these) may be inserted on individual
 # lines or following the machine name denoted by a '#' symbol.
 #
 # For example:
 #
 #      102.54.94.97     rhino.acme.com          # source server
 #       38.25.63.10     x.acme.com              # x client host
 
 127.0.0.1       localhost
 0.0.0.0 61.139.126.10

--#の行はコメントなのでなくてもよいです

**PCにウィルス対策ソフトを導入してない方へ [#de27ee03]
※一種類で安心しないように
-avast!アンチウイルス　有料版と無料版があり、どちらも60日目以降はどちらもユーザー登録（＋有料版は料金の支払い）が必要
--http://www.avast.com/index_jpn.html
-ZoneAlarm（ファイヤーウォールソフト　基本機能だけの無料版アリ）オンラインスパイウェアスキャンも。
--http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=EU&lang=en
-トレンドマイクロ　ウイルスバスターオンラインスキャン
--http://www.trendmicro.co.jp/hcall/index.asp
-Ad-Aware SE　スパイウェア対策ソフト　有料の「Professional」「Plus」と無料の「Personal」がある。
--http://www.lavasoft.com/products/ad-aware_se_personal.php
-Spybot　無料のスパイウェア対策ソフト
--http://enchanting.cside.com/security/spybot1.html
-Kaspersky Anti-Virus (体験版)　オンライン ウイルス＆スパイウェアスキャナもあり
--http://www.kaspersky.co.jp/
-NOD32 アンチウイルス (体験版)
--http://www.canon-sol.jp/product/nd/trial.html

2chのネトゲ実況3のスレにこれらのアドレス（アップローダーのjpgや、アカウントハックサイトそのもの等）のURLが貼られる事が稀に出始めています。
また、このページと同じように警戒を呼びかける文章で、ウイルス対策ソフトや対策ページのURLがアカウントハックサイトのものに変えられている事もあります。
十分に気を付けましょう。

アカウントハックされても基本的に自己責任となり、また、失ったアイテムやアカウントを復元する事は不可能です。
自分の身は自分で守りましょう。

**怪しいファイルを踏んでしまったときには [#l9b237d2]

***感染したと思ったら？ [#e87a0d15]
+''まずは落ち着きましょう''
--冷静に対処を行う必要があります
--&color(red){どういう状況で感染したか};(したと思ったのか)をキチンと把握(若しくはメモ)して下さい。再発防止・原因究明に役立ちます
+''LANケーブル/電話線を引っこ抜きましょう''
--既にID&Passを送信されていなければ、単純ですが最も効果の有る処置です([[参考>http://neta.ywcafe.net/000665.html]]) 
--ケーブルを繋いだ状態、若しくは加えてMoEを起動したり公式をブラウザで開いたりは絶対に行ってはいけません。ID/Passwordが漏洩する恐れがあります
+''安全と思われるPCより公式にアクセス、Passwordを変更する''
--ウイルス感染中のPCを決して使用してはいけません。
--他にPCを所持してない場合は、下の『注意』の項を参照の事
+''システムの復元オプションを無効にする'' (Windows Me/XP)
--何とかシステムを復旧させてもバックアップから復活されては意味が有りません
--[[WindowsMEの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020405043621953?OpenDocument&src=sec_doc_jp]] と [[WindowsXPの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953?OpenDocument&src=sec_doc_jp]] を参考にして下さい (シマンテックSiteより)
--[[WindowsFAQ>http://winfaq.jp/]]も参考になるでしょう
--完全復旧後はこれと逆の操作を行い、復旧オプションを有効化させましょう
+''アンチウイルスソフトとスパイウェア検出ソフトでPCをチェックする''
--必須です。出来るだけ最新の定義ファイルである事が望ましいです ((前項より、常にUpdateする事が大事になります))
--アンチウイルスソフト等が入ってない場合は、速攻買ってくるか安全と思われる別のPC経由で手に入れるべきです ((勿論定義ファイルは最新にする事))
--オンラインスキャンという手も有りますが、Networkに繋がっているという事は危機((ウイルスの再感染＆ばら撒き・情報漏洩等))に晒されているのと同義であり、全くお勧め出来ません
--アンチウイルスソフトの探知から逃れるべくウイルスは日々改造されています。よって仮に検出されなくても100%安心できるとは言えません
--上手く削除できない場合はセーフモードやコマンドプロンプトオンリーのモードで起動して対処する事も考慮に入れて下さい (Win98/Meの場合はPC起動時にctrlキーを、WIn95/2k/XPの場合はF8キーを押しつづければOK)
+''それでも不安なら…''
--PCの再セットアップ(OSのクリーンインストール)を行いましょう。セキュリティパッチ等のアップデートは必須です
--アカウントハック関連のウイルスは感染性が弱めなので、感染に対して多少の注意をしながら行えば大体消えてくれます
+''公的機関への届け出''
--実際に被害があった場合は正真正銘の犯罪ですので警察への届出は重要です
--[[警察庁サイバー犯罪対策>http://www.npa.go.jp/cyber/]]あたりから窓口を探しましょう((知識が有る人の居る専門の窓口以外は使用しないほうが良いです))
--また、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)への届出も重要です。~
統計データ上、オンラインゲーム関連の被害が増えている事が明白となれば、研究課題として取り挙げられる可能性も高くなります。
--[[IPA/ISEC 情報セキュリティに関する届出について>http://www.ipa.go.jp/security/todoke/]]
+''ゴンゾロッソへ報告を行う''
--あまり期待は出来ませんが、やっておくに越した事は無いです

-''注意''
--基本は &color(red){感染PCのNetworkからの隔離}; と &color(red){迅速な処置}; です
--安全と思われるPCが無い場合は各自のスキルに依存します。以下の選択枝を考慮してください
+++手動/ソフトによるウイルス削除を頑張って行う (その後にPassword変更)
+++PCの再セットアップを頑張って行う (その後にPassword変更)
+++友人のPCやネットカフェ利用
+++1CD Linuxの利用 (Wikipedia：[[1CD Linux>http://ja.wikipedia.org/wiki/1CD_Linux]])。
--清浄化を確認するまでMoE関連のプログラムやSiteに近寄らずにお掃除作業を行えばウイルスの悪影響から回避出来るかもしれませんが（多くはキーロガーやメモリサーチタイプと推測されるので、ID&Passを打たなければ良いかもしれない）、安全な橋とは言い難いのを付け加えておきます



どう考えてもトロイっぽいのが動いているかどうか、まずはプロセスマネージャで確認

-マカフィーのサイト よくある質問: タスクマネージャを利用して実行中のプロセスを停止させる方法
--http://www.mcafee.com/japan/mcafee/support/faq/answer_f_alert.asp?wk=AR-00008
-Windowsの「タスクマネージャ」を便利に使う3つのTips
--http://www.itmedia.co.jp/bizid/articles/0703/06/news050.html
-プロセス? :マルチタスクOS環境におけるプログラムの実行単位。
--http://www.atmarkit.co.jp/icd/root/78/5787378.html
-Windowsのスタートアップやタスクマネージャに現れるプロセス、実行ファイルのリスト
--http://cowscorpion.com/tasklist/index.html
---プロセスの名前と内容がよく判らない時はここで。通常存在しないプロセスを発見したらググル前にここで調べる事。問題のないプロセスを勘違いして殺さないように。
-ベクター :プロセス関係のソフトウェアDLサービス
--http://www.vector.co.jp/vpack/filearea/win/util/task/

-怪しい常駐プログラムを動作させなくする方法
--スタート→「ファイル名を指定して実行」→ 名前(O): のところへ　msconfig　と入れ OK
--システム構成ユーティリティが起動するので一番左のタブ「スタートアップ」を選択
--スタートアップ項目、コマンドを確認して その壱で見つけたトロイ実行プロセス(exe)が無いか確認する。
--存在する場合はその部分のスタートアップ項目からチェックを外す
--ちなみに"コマンド"部分にはその実行ファイル(exe)が存在する場所が書かれているので
そのフォルダを開いて後で削除できるように覚えておく事※1
--OKを押すと「システム構成の変更を有効にするには、再起動する必要があります」と表示される
--ブラウザなどの実行されているプログラムを全て閉じてから再起動(R)を押す。
--念のために再起動する前にネット接続を物理的に遮断しておくとより安全。
--再起動したらもう一度プロセスマネージャからトロイが実行されていないか確認する。
--プロセスマネージャに存在していなければ※1で調べておいたフォルダを開く
--該当する実行ファイル(exe)を削除もしくは拡張子をexeからbakなどに変更して実行できなくする。
--万が一、間違っていた場合に備えて拡張子を変更するだけにしておけば復元も出来る
//この段落の「その壱」はどこのことでしょう

**アカウントハック以外の「安全のために」 [#y750d2b1]
上記のように直接アカウントへのアクセスを試みる業者の他に、単純な宣伝や愉快犯的な存在もあります。~
これらはアカウントハックを行うことを主な目的としないと思われるため、IDやPASSを盗み出す可能性は低いと考えられます（全くないわけではないが）。~
次のようなことが行われているようです。
-アダルトサイトやRMTサイトなどへの誘導
-ブラウザクラッシャーへの誘導

直接的な被害は大きくありませんが、怪しいURLは開かない事にこしたことはありません。~
怪しいと思ったときには
-[[ソースチェッカーオンライン:http://so.7walker.net/guide.php]]http://so.7walker.net/guide.php
-[[aguse.net:http://www.aguse.net/]]http://www.aguse.net/
こういったところで、ソースやサーバーなどの情報を調べるのがよいでしょう。

**謝辞 [#f4876a43]
このページを書くにあたり非常に参考にさせていただきました((コピーペーストばかりで申し訳ありません))~
参考： http://smith.rowiki.jp/?Security

どうもありがとうございます。

*ゲーム内の中国人と思われる集団について [#v82eb0bf]
**狩り場にて [#sdf576b2]
-以下のような特徴を持つ集団が全サーバーで確認されています。
--主にエイシスケイブやスコーピオンキングに現れる
--ほぼ24時間、集団のうちの誰かが活動している
--ピンイン語を主に使う
-彼らの多くは「中国人で、RMT目的とした業者」です。
-運営のゴンゾロッソは「直接、迷惑行為など被害を受けた場合」に限り、以下のものをあわせて連絡することで、「調査対象」とするようである。
--該当キャラクター名
--該当する発言の会話ログ
--該当する行為および発言を受けた日時
--該当する行為および発言を受けた場所
//-ゴンゾロッソは「海外からの接続は禁止していないが、サポート対象ともしていない」。
-事実上、狩場を長時間占有している（これ自体はほめられはしないが禁止でもない）に過ぎないため、上記のような証拠をプレイヤーで押さえることは難しい
-単純なMPKなどはロールプレイの範疇とされるようで、BANされるほどの迷惑行為と認定されるのは難しいようである
-迷惑な存在ではあるがRMT業者であるという直接的な証拠もないのでいかんともしがたい
-あくまで「一般プレイヤー間の問題」ということで、フィルターに入れるなど各個人の対策に委ねられているのが現状
-弊害として、彼らの典型的なスタイルである
--サムライ（ブレードマスター）
--エルモニー（特に女）
--伸びきった髪、わき放題の蠅
--フィヨルバル装備やラス、戦闘技術兜など攻撃力重視の装備
--Memoが空白
--主な狩り場がエイシスケイブ
-といった特徴を備えるプレイヤーがよくRMT業者と間違えられるということがある。


*MoE関連の事件履歴 [#kb4429f2]
-2006年10月
--アップローダーに「Dツアーおつかれさま」というコメントともに偽装JPG（踏むとキーロガーを仕込まれる）が投稿される。
-2007年5月
--ゲーム内募集チャンネルで鍵付きでURLのみ書かれたチャンネルがたてられる。
-2007年7月
--このWikiのメニューバーほとんど全域にわたって日本語アダルトサイト行きリンクに書き換えられる。
-2007年8月30日
--このWikiのメニューバーの数カ所がウィルス「VBS/Psyme」（キーロガーと思われます）の仕込まれているサイトへのリンクに書き換えられる。
-2007年9月中旬〜10月10日
--作りたてと思われる旅人キャラが課金アイテムを相場より格安で大量に販売する露店が目撃される
--2007年10月10日、クレジットカードの不正利用があったと公式アナウンスが出る。
--そのアナウンスによると、公式はこの件に関し当該アカウント・関連アカウントに対し128件+追加で37件の計165件の停止措置、および調査を行ったということであった
-- [[07-10-10 クレジットカードの不正利用者に対する取り組みについて:http://moepic.com/top/news_detail.php?hidden_key=11afc820501eef04091f90eb00aaeafef158a2cfde1d41e0d8805e1264f632dbd1a52e64f7e1ea3c56d12c699dfe87]]
-- [[07-10-11 クレジットカードの不正利用者に対する取り組みについて・補足:http://moepic.com/top/news_detail.php?hidden_key=022c8759a4acbef2ac4af7553320da278d7041cded88392c9e76cedc27b9d5aa1907cebfb97739dd02c6ead959d53f]]
-2007年10月21日
--Topページのリンクが海外の正体不明のサイトへのリンクへとすべて書き換えられる。

-2007年12月4日
--クレジットカードの不正利用およびゲーム内の不正利用者への取締り強化の一環として海外からの接続を制限する試みが始まる。
-2007年12月7日
--日本語（利用規約を完全に理解できる日本語力）でのコミュニケーションを基本とし、日本語で対話入力ができないユーザーには適切な手順をおってアカウントに対する措置をするという方針が発表される。
*コメント [#iebb1b29]
''わからないことは[[外部掲示板>Link/質問スレ]]の該当スレなどで聞きましょう。''~
//一応どんなかたちで使われるか分からないがコメントを付けてみる
#pcomment(安全のために/コメント,8)

     

Site admin: goryu

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.29. HTML convert time: 0.114 sec.