■らぐなしゅがー■

ここはラグナロク世界の片隅で細々と生きる一人のノービスの記録を綴ったサイトです。

かつて「スパノビ」などとも呼ばれていた、転職せずに冒険を続けるノービス。

「らぐなしゅがー」はそんなノービスの一人である「Sugar」の日々を公開しています。

■サイト縮小中
リネージュ資料室さんに今回の件が取り上げられているようです。
以下、リネージュ資料室 - ガイド >> セキュリティ対策 （ウィルス情報 - 感染源サイト）より引用。

2008年6月9日頃〜6月11日の間、 XREAの無料サービスで表示される広告内にウィルスが埋め込まれました。被害はXREAの無料サービス全体に及んでいます。 6月11日に対処されたようで広告からウィルスが消えましたが、運営会社からのアナウンスは特に出ていません。

ウィルスが埋め込まれていた時間帯でも、 6月11日にはすでにウィルス置き場にアクセスできなくなっていたため、実質的に被害に遭う可能性のあったのは6月9日〜6月10日の間と考えられます。

埋め込まれたのはJavaScriptコードで、世界的に猛威をふるっているSQLインジェクション攻撃で使用されたのと同じアドレスに置かれています。 OSの脆弱性の他、Flash PlayerやRealPlayerなど数種類のプラグインの脆弱性をついてウィルスをインストールさせようとするため、最新版にアップデートされていないものがひとつでもあれば、オンラインゲームのアカウント情報を盗むウィルスに感染します。

被害時期の情報などをどこから持ってきておられるのか、詳しいソースがわからなかったため正確な記述かどうか判然としませんが、かなり「黒」寄りの気配が濃厚になってきたと思われます。ひとまず当サイトの表示できるページを縮小し、その全ての広告を（一時的に）削除しました。
上記の記述では「既にウィルス置き場にはアクセスできなくなっている」との事ですが、「原因箇所が特定され、対策された」かどうかがわからないことに加え、XREAから何の説明もないため終息したとの確信がもてません。XREAには一刻も早く何らかのアナウンスをお願いしたいところです。

とはいえここにきて、原因はXREAではないのではないか。それどころか「またさくらか！」じゃないかという話も出てきているようで……
2chレンタル鯖板、xrea.com part131より引用。

633 名前：名無しさん＠お腹いっぱい。 投稿日：2008/06/11(水) 19:28:56 0
tracerouteを取ると、s*.xrea.comは大阪kddi経由で鯖に行っているけど、imgj.xrea.comはSAKURAの中に行っている感じなんだ。
まさか、な……


640 名前：名無しさん＠お腹いっぱい。 投稿日：2008/06/11(水) 20:03:46 0
nslookupすればわかるけど, imgj.xrea.comは以下の5箇所のラウンドロビン：

59.106.22.138 → さくら.
202.181.97.140 → さくら.
202.181.97.153 → さくら.
202.229.187.26 → デジロック直轄. 上位はNTT.
210.153.116.18 → NTT.

IPによって61.238.148.112に繋がる繋がらないの違いがあるかは未確認.


665 名前：名無しさん＠お腹いっぱい。 投稿日：2008/06/12(木) 05:47:22 0
>>640
>202.181.97.153 → さくら.
仕込まれたのは、このIPに該当する鯖だった様子。
やはり、また……

……しかし原因がどこにあれ、改竄があった可能性は高そうです。
繰り返しになりますが、ここ数日の間に当サイト、あるいは他のXREA無料レンタルスペースを使用したサイトをご覧になられた方がおられましたら、ウィルスチェックをして頂けますようお願いいたします。

余談になりますが、仮に今回の件が意図的な攻撃・改竄によるものだと確定したとして、今後この手法が一般化したら正直防ぎ切れる気がしないですね……
チキンですから防御は色々整えているつもりですが、「外部に広告を読みにいくサイト」の全てが潜在的な危険URLになった場合、どう対処すればよいものやらお手上げだという気分です。

■BBS停止・名鑑広告停止
XREAでどうも胡乱な話が出ているようです。以下、MMOBBSのアカウントハック総合対策スレ9より引用。

837 名前：(^ー^*)ノ〜さん 投稿日：08/06/10 11:52 ID:YUJszmOR0
朝から雷鳥Wikiを見ていたらバスターが反応。
無視成功になっていたけれどカスペでオンラインスキャンをしてみたら
i115.swfがExploit.SWF.Downloader.cで引っかかっていました
とりあえず該当ファイルは削除したけど怖いな…


839 名前：(^ー^*)ノ〜さん 投稿日：08/06/10 15:16 ID:SSc+GEmw0
>837
雷鳥Wikiを見ていただけで反応？
罠リンクを踏まない限りは反応しないと思うんだが。
まるでWiki内にiframeの罠でも仕込まれてるように聞こえる。

そしてWikiでは罠らしきものは発見できず。
雷鳥スレでもそんな話出てない。


840 名前：(^ー^*)ノ〜さん 投稿日：08/06/10 15:19 ID:mqDrafA00
拳聖スレにそれらしきコピペがあったのでコピペ。

377 ：(^ー^*)ノ〜さん ：sage ：08/06/09 06:11 ID:zVC/S0gO0
Wikiにあったavast反応の件、関係ありそうなのでコピペ。

422 名前：ヴァナｍ ◆ZrzGMHfgII [] 投稿日：2008/06/08(日) 22:23:01.66 ID:SvqVY72t
どうも6/5〜今日の夕方頃までxreaの自動挿入広告を表示すると
61■238■148■112:81に接続するようになってたようだ。
俺のPGが6/5〜今日までの間このIP弾いてる。
４日まではこんなことはなかった。
ちなみに試しに他のxreaのサイトも確認してみたが、
ヴァナモンだけじゃなくて他のサイトでも61■238■148■112を弾いた。
これをノートンやらセキュリティソフトが反応してたんだと思われる。
丁度えふめもでどうこう言ってるのが出たタイミングと符号する。
PGで弾いてなかったらどうなるのかは不明。
現時点でどのサイトのxrea広告も61■238■148■112には接続しなくなっている。
今日の夕方頃に修正されたようだが
これが危険なものだったかどうなのかはわからない。


867 名前：(^ー^*)ノ〜さん 投稿日：08/06/11 03:12 ID:ngNzTwhJ0
XREAの掲示板見てきた、ガチっぽい
i115[1].swfとorz.exeが報告されてました

当方でもPG2が香港ドメインへのアクセスをブロックしたことを確認しました。
XREAサポートボードを見てみると、CGIページで手動広告を挿入している場合、一部セキュリティソフトの反応もあるようです（avast!でマルウェア警告 - XREA&CORE SUPPORT BOARD ）。
今のところavastの誤検知の可能性もありますし過剰反応かもしれませんが、どうも怪しいので詳細がわかるまでBBSへのリンクを外し、名鑑の広告が表示されないように変更しました（XREAの規約違反ですが、これで文句を言われるようであればさっさと移転します）。
ここ数日の間に当サイト（特にBBS・名鑑）をご覧になられた方がおられましたら、念のためウィルスチェックをして頂けますようお願いいたします。

■追記
CGIでなければ大丈夫という確証もないため、一時的にTOPページの広告も停止しました。他のページはまだ広告が付いたままですので移動される場合はご注意下さい。