アカハック対策委員会コミュの公式サイトクラッキングなどの報告

近年、オンラインゲーム公式サイトや官公庁、企業などの「公式サイト」が改ざん（クラッキング）されたり、広告に悪質コードが忍び込むなどの被害が起きています。
単にそのサイト上の情報が書きかえられただけなら閲覧者には不快感以外の被害はありませんが、最近はそうした際にも個人情報を盗み取るマルウェアが設置される事例が報告されています。
よく見たらそうした情報を共有するトピックがありませんでしたので、勝手ながら立てさせて頂きました。

近年報告された、マルウェア設置の疑われる事例。

無料ホスティングサービス「xrea.com」広告にウィルス混入（2008年6月17日）
…Webサイトスペースなどのレンタルサービス「xrea.com」にて、無料会員ページに表示されるFLASH広告の一部に、ウィルスをダウンロードさせるリンクを仕組む手口。
ImpressWatch；http://internet.watch.impress.co.jp/cda/news/2008/06/18/19977.html

ゲームポッド『スカッとゴルフ・パンヤ』公式サイト改ざん（2008年7月5日）
…公式サイトの一部コンテンツが改ざん、閲覧者を悪意のあるサイトへ誘導し、複数の悪質プログラムをダウンロードさせる手口。
4Gamer.net；http://www.4gamer.net/games/014/G001477/20080711047/

Google広告に「偽FlashPlayer」サイト（2008年10月22日）
…改ざんではありませんが、当時リリースされたばかりの「FlashPlayer10」をGoogle検索した閲覧者に対し、マルウェアをダウンロードさせる偽サイトを“公式広告”として最上位に表示させる手口。なお、Googleでは何度か同様の問題が発生しており、現在も解決できたかどうか不明です。
RBB TODAY；http://www.rbbtoday.com/cgi-bin/news/pict/20081022/55148/jpg/55148-3-3.html

ゲームオン『RED STONE』『眠らない大陸クロノス』公式サイト改ざん（2009年5月31日）
…詳細は不明ながら、同社にて改ざんが確認され、両ゲームプレイヤーの全てのパスワードが変更されました。恐らくクロスサイトスクリプティング（公式サイトから入力したパスワードなどの情報を、外部に送信させる手口）の疑いがあるとのこと。
4Gamer.net；http://www.4gamer.net/games/018/G001877/20090601038/

とりあえず注目されるものとしてはこのくらいでしょうか。
細かいものも含めると、すごい数になると思うので…

。

コメント(13)

最初
全て
最新の40件

[1] mixiユーザー 07月10日 07:16

■「トキメキファンタジーラテール」でアカウントハック被害？　利用者はパスワード変更を
（4Gamer.net‐2009/07/09 22:46）
http://www.4gamer.net/games/029/G002986/20090709066/
■【重要】不正なログインの被害と対応について
（ゲームポット「トキメキファンタジーラテール」お知らせ‐09/07/09 18:59）
http://www.latale.jp/notice_newsview.aspx?seq=685
ゲームポットのMMORPG『トキメキファンタジーラテール』で、第三者が不正に他人のアカウントにログインし、そのアカウントにある仮想アイテムを盗み出す被害が、運営元のゲームポットにより確認されています。

同社では同ゲームに属する全アカウントを一旦凍結し、パスワードを変更しないとログインできない状態になっている模様です。
ログインしようとして「このIDは利用停止になっています」と表示された方は、まずパスワードを変更してからログインなさってください。

なお、mixiにおける一連のアカウントハック書き込みの対象として、『トキメキファンタジーラテール』関連コミュニティが攻撃されたことが過去に何度かありましたので、もし不審なURLをクリックしてしまった覚えのある方は、ログインなさる前に、ノートンやカスペルスキーなどのオンラインウィルススキャンを実施なさることをお勧めします。

あと、同社の『CABAL ONLINE』でも6月に同様の被害が確認されている様です。
こちらは、まだ原因調査中とのことですが、プレイヤーの方で過去に不審なURLを見かけてアクセスなさった覚えのある方は、上記同様にオンラインウィルススキャンをお勧めします。

[2] mixiユーザー 10月28日 12:53

確証がないので一応報告まで。

ここ最近mixiを見ていただけで(TOPページ等で、外部リンクのアクセスは無し)
ウィルス検索ソフトが反応した、ということが起きているようです。
(検索してみたところ、10/6には既に同じ事例が発生しているようですね)
mixi自体が…？というのはちょっと考えたくないのですが
もしも周囲で同じ事例があったーという方がいらっしゃれば、と思いまして。

検出ウィルス→HEUR:Trojan-Downloader.Script.Generic

[3] mixiユーザー 10月28日 15:39

ウイルス名で検索したところ、カスペルスキーへの問い合わせページで
「yahooメールを開いたらこのウイルスを検知したんだけど、どうなってるの？」（英語で）
という書き込みがありました。
その後のやりとりで、
>Its a "heuristic" detection from Kaspersky - the detection you got implies Kaspersky is saying "its likley there is a malicious script on the website".

It may be a false-positive.

訳）その検知はカスペルスキーがウェブサイト上で悪意のあるスクリプトらしき動きを検出したという判断なので、誤検知の可能性があります。
と回答されてました。
もーちょい調べてみますね＞＜ｂ

[4] mixiユーザー 10月28日 15:40

あ、ちなみに↑のソースは
http://forum.kaspersky.com/lofiversion/index.php/t134154.html
です

[5] mixiユーザー 10月28日 16:47

＞フォルマジオさん
わぁぁありがとうございます…！
今のところ反応したのが分かっているのはカスペルスキーと、
名前は聞いていないのですが無料のウィルス検索ソフトのようです。

[6] mixiユーザー 10月28日 17:07

ちなみにカスペルスキーのアップデートで誤検知がなくなったという話も。
てる子さんもお試しくださいね＾＾

[7] mixiユーザー 10月28日 17:31

関係あるか分かりませんけど、一部のmixiアプリを起動した際に「クロスサイトスクリプティングが検出された」との理由で強制終了されたことがあります。
mixiアプリは外部サーバとデータのやり取りをするものが多く、一方で最近はプロフィールトップページにmixiアプリをガジェット表示する人も増えましたから、もしかしたらmixiアプリのそうした動作が誤検知された可能性もありますね。

もっとも、他のサイトでFLASH広告が改ざんされた事例もありましたし、もしかしたらmixiアプリでも同様の悪意ある行為が行われる危険性も否定できませんから、安心は出来ないと思うのですが…。

[8] mixiユーザー 10月28日 18:12

カスペルスキー先生は結構誤検知してくれるからなぁ…。
ちなみに、NOD32はmixiでは検知したこと無いですね

しかし、mixiアプリって外部サーバでやってのね…。
mixiのリソースでやってると思ってた(´・ω・`)
まぁ、外部サーバーだろうがmixiのサーバだろうが悪意のある脆弱性突いたコード書けるのは一緒なんですがね

[9] mixiユーザー 10月28日 18:30

えーともう1件、こちらもご報告までに。
↑で書いたものとはまた別に、mixiを見ていたら反応したという知り合いがいまして。
検出されたのは「トロイの木馬BackDoor.Generic12.BOF」とのことです。
こっちに関しては検索をかけてもほとんど出てこないんですよね…(・ε・｀)

[10] mixiユーザー 10月29日 09:59

AVG is flagging Ruby OCRA as a BackDoor.Generic12.DAD "infection". Good times #WednesdayMorningFail
っていうtwitterの投稿がありました。
直接関係するかは分からないのですが、これも誤検出っぽいなぁ･･･

[11] mixiユーザー 10月29日 14:10

Yahoo!知恵袋にこんな質問がありました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1432307629
これによると、「AVG Anti-Virus」という海外製の無料アンチウィルスソフトでブラウザの日本語検索プラグイン「Jword」をトロイの木馬として検出したのかもしれない、とあります。

「BackDoor.Generic12」で検索したところ、同じように「AVG Anti-Virus」絡みで検出されたとの報告があり、「Jword」が絡んでいると述べている人も複数見受けられます。

ちなみに「Jword」プラグインは割と知らない間に入れられている場合もあり（フリーウェアによく組み込まれています）、検索されるキーワードに沿ったスポンサーサイトを表示するために収集した情報を外部サーバへ送信する機能がありますから、これをスパイウェアと検知するセキュリティソフトがあっても不思議ではないかも知れません。

あるいは、「AVG Anti-Virus」は最近、検知機能を強化したとありますから、強化した検知機能が「トロイっぽい動作」をも検出してしまうということかも知れません。

[12] mixiユーザー 11月06日 10:25

Kingsoftのマルウェア検出で「Jword」は未知のプログラムとして検出されてましたよ

[13] mixiユーザー 05月19日 13:59

■「シール」ウィルス混入のお詫びとして，ドロップ率UPイベントを開催
（4Gamer.net 5月18日付）
http://www.4gamer.net/games/009/G000915/20100518049/
「シールオンライン・プラス」で、今年4月20日に配布されたクライアント修正パッチがウィルスに感染していた、とのことです。

現在は正常なクライアント及びパッチが配布されているとのことですが、4月20日以降に一度でも「シールオンライン・プラス」のクライアントを起動なさった方は、公式サイトにて配布されている検出・駆除ツールを使ってスキャン・駆除を試して欲しい、とのこと。
なお、これに対する「お詫び」として昨日よりイベントが開催されているそうです。

ワシ自身は詳しくないタイトルなのでご報告が遅くなりました。
これまでも公式サイトが改ざんされる被害はありましたが、パッチサーバへの攻撃も懸念されますね。同業他社にもぜひ、注意して頂きたい話です。

ログインすると、みんなのコメントがもっと見れるよ