前々からこのブログで使用していたアクセス解析サイト「Access Analyzer」が、サイト改竄の被害にあっています。
具体的には7日の午前中辺りからすでに改竄があったようですが、私が気づいたのが今日の夜、という…
攻撃対象はWindowsXPでInternet Explorerを使っているコンピュータで、改竄されたウェブサイトを閲覧すると、勝手にJavascriptでトロイの木馬系のプログラムをダウンロードしてしまうのだそうです。
アクセス解析の管理画面を見ようとしたら突然ウイルスバスターが立ち上がったので何かと思ったら、どうやらそのせいだったらしい。
改竄されたのは「アクセス解析サイト」であって「ブログサービス自体」ではありませんので、このブログを閲覧されただけの方にはおそらく被害はないはずです。
但し、万が一このブログに貼ってあったアクセス解析用のバナー(8日23時過ぎに表示から削除済み)をクリックされていると「Access Analyzer」のサイトへ飛んでしまうため、感染の危険があります。
私もあまり技術的な面は詳しくないので、詳細な説明はMicrosoftの公式アナウンスとニュースサイトに譲ります。
Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
(マイクロソフト セキュリティ アドバイザリ (972890))
Video ActiveXコントロールのゼロデイ脆弱性に対応する
(INTERNET Watch 2009年7月8日)
他にも多数のサイトが改竄を受けているようですので、上述のバナーをクリックされていない方も対策しておくのをお勧めします。
対策としては、できればIEを使わないことなのですが、とりあえずの回避策としてMicrosoftが緊急提供している「Fix it」というツールを適用しておくのがよさそうです。
Microsoftのサイト内の下記リンクからダウンロードできます。
「Fix it」ダウンロードページ
(Microsoftサポートサイト内)
ちょっと前に流行ったGenoウイルス対策同様、Adobe ReaderやFlash Playerを最新版にアップデート&JavaScript機能をオフにしておくのも忘れずに。
いやはや、イヤな時代です(´・ω・`)
取り急ぎ、速報でした。
【2009.07.14追記】
上で偉そうに言っててアレですが、実はWindowsXP・IE6のマシンで感染しました(つД`)
突然ウイルスバスターがポップアップして「変更を許可しますか?」と聞かれたから「拒否」したのに感染。・゜・(ノд`)・゜・。
敗因は「Adobe Reader」のバージョンがまだ7だったことかと思われます。
(最新は「Adobe Reader 9」です)
「Adobe Reader」のJavaScriptを切ったり、Flash Playerが最新かどうかの確認はしてたのに、肝心のAdobe Readerのバージョンが古いことに全く気付いてませんでした(´・ω・`)
復帰してから「Adobe Reader」のバージョンを9に上げたのは言うまでもありませぬ。
「ウイルスバスター入れてるから大丈夫!」と思っていたのですが、最初のポップアップで拒否しているにもかかわらず感染しているので、ウイルスバスターだけじゃダメ、ということか。
某巨大掲示板によればウイルスバスターの対応は遅めだったらしいので、そのへんもあって残念な感染をしてしまったのやもしれず。
ちなみにもう1台のVista・IE7でもログイン画面にアクセスしてましたが、そちらはIEツールバーの下に「ActiveX コントロール」がなんちゃら言うブロッカーが起動して無傷でした。
初めてVistaスゲェと思いましたとさ。
-------------------------------------------------------
【2009.07.29追記】
その後、別のアクセス解析を取り付けました。
(右上のカウンターね)
ところが、その後この記事に対して、どこにも書いてない理系単語による検索でやってくる方が急増。
文章中の無関係な単語をつなげて検索して来られるならまだわかるのだが、明らかに書いてない単語で検索されてるのが謎すぎた。
その理系単語を羅列して検索かけてみてビックリ。
↑で出てきた1件目のリンクをクリックすると、なぜかうちのブログのこの記事に飛ぶ、という謎仕様になっていたのです。
え、なんでなんで?
ワタシ何もしてないよ!
来訪者のドメインが悉く「ac.jp」だったりして、せっかく調べ物をしてるのにヘボな日常ブログを見せられる研究者の皆様に、非常に申し訳ない。
なので、おかしくなった記事は削除して、内容を別記事にアップしなおしたのがこの記事。
一体何が起きたんだよコレ…いろいろわからなすぎだわ(´・ω・`)
余談ですが、どうやら「Access Analyzer」の改竄自体はようやく対策されているっぽい。
しかし、今回の対応の遅さから察するに、今後もきっと何かやらかしますよこのサービス(´・ω・`)
【ネットで発見の最新記事】
御迷惑をおかけしました。
転送元のサイトの管理人です。
実は、私のサイトでもアクアナを使っているのですが、多忙のため今回の件の対応が出来ませんでした。
応急処置として、今回の問題を扱っていて、わかりやすく解説しているサイトを探し、そのサイトに.htaccessを使って転送することで、閲覧者に状況を説明しようと考えました。
私のサイトは、アクアナと同じくデジロックが運営しているxrea.comというレンタルサーバーを使っています。
サイトには広告の掲載義務があるのですが、1年ほど前、その広告のサーバーに、今回のアクアナの件と同様の改竄が行われるという事件がありました。
http://sb.xrea.com/showthread.php?t=12839
環境によっては、サイトを閲覧しただけで感染する可能性がありましたので、改竄についてのまとめサイトに転送することでしか、閲覧者に状況を説明する方法がありませんでした。
(サイトで状況を説明したくても、サイトを見せること自体が危険を及ぼすことだったので。)
アクアナの件で、もうデジロックのサービスは使わないと決め、移転先を決めるまでの応急処置として、去年と同様の手続きをしたということでした。
元々アクセスの少ないサイトでもありますし、こんな風に気にされるとは思ってもみませんでしたので、御迷惑をおかけしてしまいました。
後ほど、アクアナのタグを削除した上で、とりあえずはxreaのサーバー上で、元の状態に戻しておきます。
このたびの騒ぎでは、お互い苦労が多かったようですね。
「Access Analyzer」同様、「xrea」が改竄状態にあったことも聞いてはいました。
転送元のドメインが「xrea」だったため、この状況の原因はやはりウイルス関連なのだろうとは疑っていたのです。
ただ、私は転送元のサイト(=Mcguffinさんのサイト)が管理人の意にそぐわぬ改竄を受けてリダイレクト設定されていると思っていたため、検索でMcguffinさんのサイトを訪れる方の失望を恐れて自分の元記事を削除してしまったのでした。
(「ウイルスで改竄されたリダイレクト先がウイルス情報を記した記事」というのも、よく考えれば奇妙な話だったのですが)
私の一人合点で元記事は既に消してしまいましたが、事前にひとこと、コメント欄でおことわり頂ければ…と残念に思います。
>もうデジロックのサービスは使わないと決め
↑の判断は賢明かと思います。
ウイルスコードを全ページに埋め込まれて半月以上放置するような企業が運営するサービスですから、今後も似たような騒動が起こると思って間違いないかと。