-編集中。2chのスレッドに書かれているものとBS-templete (http://smith.xrea.jp/?Security)さんを参照しつつ書いています
-現状コピペで貼り付けてあるだけですが手の空いている人で整理していきましょう
-Todo
--重複部分の整理
--BSWikiさんからの丸コピー部分をちゃんとMoEに合わせる
--PC初心者にも分かりやすくする
--hosts編集や接続禁止IPレンジについてもう少し詳しく
--1CDLinuxについて補足

*安全のために [#i5f97081]
* * * * * * * * 海外(特に中華系)のアカウントハックに要注意 * * * * * * * * [#h623a96e]
**何が起こっているのか? [#x8b121d1]
2006年10月頃から、海外(特に中華系)からオンラインゲームを狙ったアカウントハックが多発しています。~
その多くはRMT(現金取引)の業者といわれています。~
アップローダ http://moe.unofficial.jp/ に上げられている中華のHTML偽装jpgですが

 ドメイン情報 www■zhangweijp■com 61.139.126.10
 country: CN
 CHINANET Sichuan province network (シナ四川省)
 61.139.0.0 - 61.139.127.255

あきらかにROで各種サイトにリンクを貼り付けてアカウントハックの被害を出しまくった
中国人アカウントハック集団のサイトです。(www■zhangweijp■comでググるわかる)

またリネージュでも被害が確認されている老舗(?)アカウントハックサイトです~
tmsn.exeという実行ファイルを強制DLさせられるので注意

これ以外にも様々なものがあります。上記URL以外にも十分気を付けましょう
RagnarokOnlineやリネージュなどが被害の中心でしたが、その範囲はどんどん広まっています。~
Master of Epicも例外ではなく、実際に罠を仕掛けられたことがあります(後述)。

**どんな手を使っているのか? [#r41d621d]
2007年3月段階で確認されているものをあげておきます。時間の経過に伴い新しい手段が出てくると思われます。
-jpg偽装型
--アップローダーにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む
--アップローダーなどにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む
--コメントに「Dツアーおつかれさま」などと書き込み、警戒を解かせ踏む様に仕掛けています
--InternetExplorerやIEコンポーネントのブラウザで踏むとキーロガー等を仕込まれます。
--中身は
 <html>
 <iframe src="http://www■zhangweijp■com/tt2/index■htm" width="0" height="0" frameborder="0"></iframe>
 <center><img src="http://www■zhangweijp■com/jpg/001■jpg"></center>
 </html>
 (上記は元ソースから.(ドット)を■に置き換えてある)
--罠jpgのURLを2chの掲示板などに貼り付けたりということもある
-Wiki編集型
--Wikiの編集しやすさを逆手に取り、リンクをアカウントハックサイトに書き換える
--このWikiでは外部へのリンクに記号がつきます 参考:http://moepic.com/ ←一番右にあるマークが外部リンクの印
--''このWikiでは外部へのリンクに記号がつきます'' 参考:http://moepic.com/ ←一番右にあるマークが外部リンクの印
--外部リンクの際には飛ぶ先が本当に正しいか注意してください
-ネットカフェ仕込み型
--不特定多数の人が使うネットカフェにキーロガーなどを仕込む方法

**何をすればいいの? [#z7749630]
以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』(http://www.higaitaisaku.com/korobanu.html)が参考になるでしょう。

-基本
--定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
--アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
--パーソナルファイアーウォールソフトの導入
--アドレスをホイホイ踏まない。よく確認する。「ソースチェッカーオンライン」などのブラクラチェックサイトを利用する。
--出所の怪しいプログラムやスクリプトを実行しない
-応用
--IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
--IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
--信頼できるSite以外ではスクリプトやActiveXを切る
---インターネットオプションのセキュリティの部分で設定可能
--偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
---インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

**何をすればいいの?もっと詳しく [#j819b7eb]
セキュリティソフト等で61.139.0.0 - 61.139.127.255を接続禁止IPレンジとして登録しておきましょう。万が一踏んだとしても接続拒否しておけば被害を防止できます

-hosts編集 (接続拒否設定)~
--hostsが何かについては[[こちら>http://ja.wikipedia.org/wiki/Hosts%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB]]参照
--Windows XP、Windows Server 2003 の場合 : c:\windows\system32\drivers\etc\hosts
--Windows 2000 の場合 : c:\winnt\system32\drivers\etc\hosts
--編集はtxt editorで行えます
--編集後は上書き禁止にすること
 # Copyright (c) 1993-1999 Microsoft Corp.
 #
 # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
 #
 # This file contains the mappings of IP addresses to host names. Each
 # entry should be kept on an individual line. The IP address should
 # be placed in the first column followed by the corresponding host name.
 # The IP address and the host name should be separated by at least one
 # space.
 #
 # Additionally, comments (such as these) may be inserted on individual
 # lines or following the machine name denoted by a '#' symbol.
 #
 # For example:
 #
 #      102.54.94.97     rhino.acme.com          # source server
 #       38.25.63.10     x.acme.com              # x client host
 
 127.0.0.1       localhost
 0.0.0.0 61.139.126.10

--#の行はコメントなのでなくてもよいです

**PCにウィルス対策ソフトを導入してない方へ [#de27ee03]
※一種類で安心しないように
-avast!アンチウイルス 有料版と無料版があり、どちらも60日目以降はどちらもユーザー登録(+有料版は料金の支払い)が必要
--http://www.avast.com/index_jpn.html
-ZoneAlarm(ファイヤーウォールソフト 基本機能だけの無料版アリ)オンラインスパイウェアスキャンも。
--http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=EU&lang=en
-トレンドマイクロ ウイルスバスターオンラインスキャン
--http://www.trendmicro.co.jp/hcall/index.asp
-Ad-Aware SE スパイウェア対策ソフト 有料の「Professional」「Plus」と無料の「Personal」がある。
--http://www.lavasoft.com/products/ad-aware_se_personal.php
-Spybot 無料のスパイウェア対策ソフト
--http://enchanting.cside.com/security/spybot1.html
-Kaspersky Anti-Virus (体験版) オンライン ウイルス&スパイウェアスキャナもあり
--http://www.kaspersky.co.jp/
-NOD32 アンチウイルス (体験版)
--http://www.canon-sol.jp/product/nd/trial.html

2chのネトゲ実況3のスレにこれらのアドレス(アップローダーのjpgや、アカウントハックサイトそのもの等)のURLが貼られる事が稀に出始めています。
また、このページと同じように警戒を呼びかける文章で、ウイルス対策ソフトや対策ページのURLがアカウントハックサイトのものに変えられている事もあります。
十分に気を付けましょう。

アカウントハックされても基本的に自己責任となり、また、失ったアイテムやアカウントを復元する事は不可能です。
自分の身は自分で守りましょう。

**怪しいファイルを踏んでしまったときには [#l9b237d2]

***感染したと思ったら? [#e87a0d15]
+''まずは落ち着きましょう''
--冷静に対処を行う必要があります
--&color(red){どういう状況で感染したか};(したと思ったのか)をキチンと把握(若しくはメモ)して下さい。再発防止・原因究明に役立ちます
+''LANケーブル/電話線を引っこ抜きましょう''
--既にID&Passを送信されていなければ、単純ですが最も効果の有る処置です([[参考>http://neta.ywcafe.net/000665.html]]) 
--ケーブルを繋いだ状態、若しくは加えてMoEを起動したり公式をブラウザで開いたりは絶対に行ってはいけません。ID/Passwordが漏洩する恐れがあります
+''安全と思われるPCより公式にアクセス、Passwordを変更する''
--ウイルス感染中のPCを決して使用してはいけません。
--他にPCを所持してない場合は、下の『注意』の項を参照の事
+''システムの復元オプションを無効にする'' (Windows Me/XP)
--何とかシステムを復旧させてもバックアップから復活されては意味が有りません
--[[WindowsMEの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020405043621953?OpenDocument&src=sec_doc_jp]] と [[WindowsXPの方法>http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953?OpenDocument&src=sec_doc_jp]] を参考にして下さい (シマンテックSiteより)
--[[WindowsFAQ>http://winfaq.jp/]]も参考になるでしょう
--完全復旧後はこれと逆の操作を行い、復旧オプションを有効化させましょう
+''アンチウイルスソフトとスパイウェア検出ソフトでPCをチェックする''
--必須です。出来るだけ最新の定義ファイルである事が望ましいです ((前項より、常にUpdateする事が大事になります))
--アンチウイルスソフト等が入ってない場合は、速攻買ってくるか安全と思われる別のPC経由で手に入れるべきです ((勿論定義ファイルは最新にする事))
--オンラインスキャンという手も有りますが、Networkに繋がっているという事は危機((ウイルスの再感染&ばら撒き・情報漏洩等))に晒されているのと同義であり、全くお勧め出来ません
--アンチウイルスソフトの探知から逃れるべくウイルスは日々改造されています。よって仮に検出されなくても100%安心できるとは言えません
--上手く削除できない場合はセーフモードやコマンドプロンプトオンリーのモードで起動して対処する事も考慮に入れて下さい (Win98/Meの場合はPC起動時にctrlキーを、WIn95/2k/XPの場合はF8キーを押しつづければOK)
+''それでも不安なら…''
--PCの再セットアップ(OSのクリーンインストール)を行いましょう。セキュリティパッチ等のアップデートは必須です
--アカウントハック関連のウイルスは感染性が弱めなので、感染に対して多少の注意をしながら行えば大体消えてくれます
+''公的機関への届け出''
--実際に被害があった場合は正真正銘の犯罪ですので警察への届出は重要です
--[[警察庁サイバー犯罪対策>http://www.npa.go.jp/cyber/]]あたりから窓口を探しましょう((知識が有る人の居る専門の窓口以外は使用しないほうが良いです))
--また、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)への届出も重要です。~
統計データ上、オンラインゲーム関連の被害が増えている事が明白となれば、研究課題として取り挙げられる可能性も高くなります。
--[[IPA/ISEC 情報セキュリティに関する届出について>http://www.ipa.go.jp/security/todoke/]]
+''ゴンゾロッソへ報告を行う''
--あまり期待は出来ませんが、やっておくに越した事は無いです

-''注意''
--基本は &color(red){感染PCのNetworkからの隔離}; と &color(red){迅速な処置}; です
--安全と思われるPCが無い場合は各自のスキルに依存します。以下の選択枝を考慮してください
+++手動/ソフトによるウイルス削除を頑張って行う (その後にPassword変更)
+++PCの再セットアップを頑張って行う (その後にPassword変更)
+++友人のPCやネットカフェ利用
+++1CD Linuxの利用 (Wikipedia:[[1CD Linux>http://ja.wikipedia.org/wiki/1CD_Linux]])。
--清浄化を確認するまでMoE関連のプログラムやSiteに近寄らずにお掃除作業を行えばウイルスの悪影響から回避出来るかもしれませんが(多くはキーロガーやメモリサーチタイプと推測されるので、ID&Passを打たなければ良いかもしれない)、安全な橋とは言い難いのを付け加えておきます



どう考えてもトロイっぽいのが動いているかどうか、まずはプロセスマネージャで確認

-マカフィーのサイト よくある質問: タスクマネージャを利用して実行中のプロセスを停止させる方法
--http://www.mcafee.com/japan/mcafee/support/faq/answer_f_alert.asp?wk=AR-00008
-Windowsの「タスクマネージャ」を便利に使う3つのTips
--http://www.itmedia.co.jp/bizid/articles/0703/06/news050.html
-プロセス? :マルチタスクOS環境におけるプログラムの実行単位。
--http://www.atmarkit.co.jp/icd/root/78/5787378.html
-Windowsのスタートアップやタスクマネージャに現れるプロセス、実行ファイルのリスト
--http://cowscorpion.com/tasklist/index.html
---プロセスの名前と内容がよく判らない時はここで。通常存在しないプロセスを発見したらググル前にここで調べる事。問題のないプロセスを勘違いして殺さないように。
-ベクター :プロセス関係のソフトウェアDLサービス
--http://www.vector.co.jp/vpack/filearea/win/util/task/


スタート→「ファイル名を指定して実行」→ 名前(O): のところへ msconfig と入れ OK~
システム構成ユーティリティが起動するので一番左のタブ「スタートアップ」を選択

スタートアップ項目、コマンドを確認して その壱で見つけたトロイ実行プロセス(exe)が~
無いか確認する。存在する場合はその部分のスタートアップ項目からチェックを外す~
ちなみに"コマンド"部分にはその実行ファイル(exe)が存在する場所が書かれているので~
そのフォルダを開いて後で削除できるように覚えておく事※1

OKを押すと「システム構成の変更を有効にするには、再起動する必要があります」と表示されるので~
ブラウザなどの実行されているプログラムを全て閉じてから再起動(R)を押す。~
念のために再起動する前にネット接続を物理的に遮断しておくとより安全。~
再起動したらもう一度プロセスマネージャからトロイが実行されていないか確認する。~
プロセスマネージャに存在していなければ※1で調べておいたフォルダを開き、~
該当する実行ファイル(exe)を削除もしくは拡張子をexeからbakなどに変更して実行できなくする。~
万が一、間違っていた場合に備えて拡張子を変更するだけにしておけば復元も出来る


**謝辞 [#f4876a43]
このページを書くにあたり非常に参考にさせていただきました((コピーペーストばかりで申し訳ありません))~
参考: http://smith.xrea.jp/?Security

どうもありがとうございます。
トップ   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS