エキサイトブログが改竄を受けてた件について   

2009年 01月 05日

一先ず解決(?)したことをお伝えします。

今回の件ですが…エキサイトブログのトップページ(このブログのことではありません。エキサイト自体のトップページ…つまりブログのログインページと思ってください。)が第三者に改竄されていました。
http://slashdot.jp/security/article.pl?sid=09/01/04/0743201

avastを入れてる人は見事にこの改変された部分にヒットし、警告を出してきましたが、不幸中の幸いなのかスクリプトが反応しても、肝心の罠事態はなく例えスクリプトで呼び出されたドメインに飛ばされても今回はウイルスにかかるといったものはなかったそうです。

とりあえずその辺をまとめてくれたコメントがあったので抜粋↓
220  Trackback(774)[sage] 2009/01/04(日) 20:08:04 ID:gnuScgsd

とりあえず現状まとめね。

エキブロのトップページおよびログイン等の画面に、
危険ドメインにおかれている罠Javascript外部ファイル(以下罠js)を呼び出すスクリプトが仕込まれてるのは事実。
ただそのスクリプトが呼び出すはずの、「トロイをダウンロードさせる動作をするはずの罠js」は、
以前は頻繁に更新されるなど危険なものだったけど、先月19日の時点でなぜか削除されており(>>203>>211)、
ウィルス対策ソフトが反応しだした1/3時点では、
罠を呼び出そうと動作するスクリプトはあるものの肝心の罠が無い、よって無害という状態だった。

現時点までに報告にあがってるなかで、avastで感知されてたのは、
「閲覧者に気づかれないままに外部サイトにアクセスしファイルを呼び出そうとする」という
スクリプトの危険なふるまいに対してのもの。トロイの木馬等に反応したものではない。

なので、現時点ではウィルス等の感染があったかどうかについては一応安心してはいいと思う。

・・・ただ、仕込まれていたスクリプトが呼び出していたドメインは、
ブラックリストに乗るようなれっきとした危険ドメインだし、
現時点ではたまたま呼び出されるファイルが削除されていたから大丈夫だったものの、
いつまた復活するかわからない。
ファイルを呼び出そうと動作するスクリプトは現状まだそこに生きているわけで、
エキブロ運営がさっさと削除したり、再改竄を防ぐ手立てを打たない限り
トロイ感染と隣り合わせの危険な状態には変わらないということ。


ちなみにこれはfc2の例の物と同じタイプだそうです。
http://www.lac.co.jp/news/press20081222.html

エキサイトブログ公式にも一応告知が出ています。
http://staff.exblog.jp/7792459/


ここのブログを見る分には恐らく大丈夫です。仕込まれてたのも回避してるんでうちのPCのほうも感染はないようです(一応確認もしてます。)
それでも100%大丈夫!とは言い切れないですから(エキサイト自身が改竄されてますしね…)不安なようでしたら、せっかく来てくださってる方に言いたくはありませんが見ないことをおすすめします。

というわけでお知らせでした。
一応現状は大丈夫とはいえ少し様子見する予定なんで、更新頻度は下がるかもしれません。
ちょっと怪しい感じでしたら移転も考えます。
[PR]

by diehappy | 2009-01-05 19:38 | 駄文

Beautiful Ones - blog -

<< XBOX360 SO4&バイオ... Fable2ですが… >>