アカウントハック対策・セキュリティ 総合スレ Lv.5

1 ：（○口○*）さん ：09/10/30 17:20 ID:OKbHXAgz0

■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

!! 報告及び質問の前には、注意点 (>>2)を必ず読んでください !!
!! これを怠ると投稿が削除対象となる可能性があります !!

・ 報告用＆質問用テンプレ (>>2)
・ 対策の参考情報アドレス (>>3)
・ このスレでよく出てくるアプリケーションやサイトとオンラインスキャン (>>4)
・ 安全対策の簡易まとめ、アカウントハック対応の要点とFAQ (>>5,>>6)
・ その他関連(>>7)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立ては>>970がしてください。反応がなければ以降10ごとに。

【過去スレ】
【過去スレ】
・アカウントハック対策・セキュリティ 総合スレ Lv.4 ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/
・アカウントハック対策・セキュリティ 総合スレ Lv.3 ttp://enif.mmobbs.com/test/read.cgi/livero/1227396646/
・アカウントハック対策・セキュリティ 総合スレ Lv.2 ttp://enif.mmobbs.com/test/read.cgi/livero/1220220582/
・アカウントハック対策・セキュリティ 総合スレ ttp://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(ttp://rosafe.rowiki.jp/)へ

553 ：（○口○*）さん ：10/03/02 20:35 ID:3h8XSZAl0

ワンタイムパスワード利用権てガンホーIDごとに買わなきゃダメなの？
昔まちがってID二つ作っちゃったから二重に料金取られちゃう

554 ：（○口○*）さん ：10/03/02 20:54 ID:zf3wzFvG0

［F1］キーを押さないで！---Windowsに新たな脆弱性
http://itpro.nikkeibp.co.jp/article/NEWS/20100302/345226/

555 ：（○口○*）さん ：10/03/02 21:41 ID:xD1gSufp0

※携帯アプリ（SecureOTP Mobile）は、複数のガンホーIDに登録できます

556 ：（○口○*）さん ：10/03/02 21:48 ID:aPUg2MOLO

ものすごい申し訳ない質問なのですが、先日安めのノートパソコンを買いました。
thinkpadのR60です。

すごい美品で、快適にサブとして利用できるかなと思い、とりあえずリカバリー（Thinkpadは起動時にｷｰ押しで工場出荷状態へ）してみました。

リカバリー後にトレンドマイクロオンラインスキャンをして、AVGのフリーウィルスソフトを導入して全スキャン。

ここまでで異常ないようなのですが、これやっておけ的なことって他にありますでしょうか？

異常なまでに心配性で、そのくせ新品買わなくてすいません。

長文駄文失礼しました。

557 ：（○口○*）さん ：10/03/02 21:55 ID:AxxOCDZS0

>>556
HDDフォーマットしてWindowsクリーンインストール

558 ：（○口○*）さん ：10/03/02 22:14 ID:aPUg2MOLO

>>557
わかりました。やってみます。ありがとうございました！

559 ：（○口○*）さん ：10/03/02 22:21 ID:MA+UKK5F0

>>556
LANケーブルを引っこ抜いて、無線LANも切って、二度と繋がない。

560 ：（○口○*）さん ：10/03/02 22:32 ID:zf3wzFvG0

>>556
クリーンインストールしてる間は物理的にネットへつながない
アンチウイルスだけじゃなくFWもいれたほうがいいんじゃね

561 ：（○口○*）さん ：10/03/02 23:36 ID:aPUg2MOLO

>>560

ありがとうございます。LAN抜きながらやります。

ROの為に3PC目ですが、潔癖症なら新品にしたほうがよかったと痛感しました。

次アンインスコしたらカスペお試し入れてみます。


カスペオンラインスキャンできないのがつらいです。

562 ：（○口○*）さん ：10/03/03 00:02 ID:WlZkgbAw0

ニフティもだめなの？

563 ：（○口○*）さん ：10/03/03 00:31 ID:TEdzGe2o0

いい加減皮肉られてることに気付いて引っ込め。

>>557は>556でやってるリカバリと同等。違いは、余分なアプリが入るかどうかだけなので、セキュリティ的に無関係。
>>559は明確な煽りだが、趣旨としては>560の応用。やればセキュリティ的には完璧。

WindowsUpdateは全てあてろ（セキュリティ万全のPCでSP+メーカー使ってFixディスク作ると便利）
セキュリティソフトはパターンを最新に更新しろ
PeerBlockで適切なIPブロックしとけ
AcrobatReaderではScriptを切れ
Adobe関係は全て最新に更新しとけ
オートランは切れ、USBメモリやその他の記憶媒体を繋ぐな
…Etc

セキュリティに完璧はありませんので悪しからず。

564 ：（○口○*）さん ：10/03/03 00:42 ID:M3Si2wCC0

セキュリティ的には完璧とか言っておきながら完璧はありませんって・・・
クリーンインストールとリカバリを同等扱いしてる人はすごいですね

565 ：（○口○*）さん ：10/03/03 00:55 ID:TdK9qUgb0

ちょっと質問なんだけど、ガンホーのログイン画面に入るとページタブのアイコンがうんこマークになるんだが、これはなんなんだろうか
症状はサブＰＣのみでメインのほうはガンホー社のロゴがでるんだが

566 ：（○口○*）さん ：10/03/03 02:59 ID:9QBfXdeH0

糞会社だけに

567 ：（○口○*）さん ：10/03/04 06:49 ID:4lCEGOrz0

すみません明け方から申し訳ないのですが質問でこちらに来ました。
まだアカハック被害にはなってないのですがされてしまうかもと思い、対策を聞きにきました(´･ω･｀)


【　 　 　 気付いた日時　 　 　 　 　 】 3月4日午前3時頃
【不審なアドレスのクリックの有無　】 2chのｽﾚ　http://www■4gameranking■com/flash/0020856■zip
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 Yes　最終利用日は1月です
【　 　　 OS　 　 】 WindowsVista、ServicePack1
【使用ブラウザ 】 InternetExplorer7
【WindowsUpdateの有無】 ちょっと分かりません･･･どうやって調べるのでしょうか･･･
【　アンチウイルスソフト 】 ｳｨﾙｽﾊﾞｽﾀｰ2010
【その他のSecurty対策 】 ﾙｰﾀｰで無線って事なのでしょうか･･･
【 ウイルススキャン結果】 いくつか出てきましたがよく分かりませんでした
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】無　
【PeerGuardian2の導入】無
【説明】 3月4日の午前3時頃にｱｶﾊｯｸのURLを踏んでしまいました。
　　　　　踏んでしまった際にｳｨﾙｽﾊﾞｽﾀｰの警告画面になり、ｱｶﾊｯｸURLを踏んでしまったと気づきました。
　　　　　踏んでしまったﾒｲﾝPCでROを起動したままでﾛｸﾞｱｳﾄ後にｱｶﾊｯｸにあってしまうのではと不安です。
　　　　　警告画面なので感染してしまったのか分からなく、対策を聞きにきました。
　　　　　気を抜いていて踏んでしまった自分が本当に情けないです。
　　　　　踏んでしまった直後にｻﾌﾞPCでｱﾄﾗｸｼｮﾝIDの変更を行いました。
　　　　　こういう事は初めてで、専門的なことは分からなく説明不足かもしれませんが教えていただけると助かります。

568 ：（○口○*）さん ：10/03/04 09:16 ID:dNbeJpvJ0

>【不審なアドレスのクリックの有無　】 2chのｽﾚ　http://www■4gameranking■com/flash/0020856■zip

どう見ても、アカハック間違い無しです。

>【WindowsUpdateの有無】 ちょっと分かりません･･･どうやって調べるのでしょうか･･･

IEを起動し、ツールからWindowsUpdateを実行。

>【 ウイルススキャン結果】 いくつか出てきましたがよく分かりませんでした

幾つか出てくる時点でアウトです。早急にPCリカバリ、またはOSの再インストールを行ってください。

>　　　　　警告画面なので感染してしまったのか分からなく、対策を聞きにきました。

正確なメッセージや、スキャンによる検出結果がないと、エスパーじゃないのでなにもわかりません。

基本的にzipは落としただけでは感染せず、解凍して実行しなければ動きませんが、拡張子偽造などなら
そのまま感染することも。

>　　　　　踏んでしまったﾒｲﾝPCでROを起動したままでﾛｸﾞｱｳﾄ後にｱｶﾊｯｸにあってしまうのではと不安です。
>　　　　　踏んでしまった直後にｻﾌﾞPCでｱﾄﾗｸｼｮﾝIDの変更を行いました。

起動中に踏む→ログアウト（まだパスワードは盗まれていない）
クリーンなPCからパス変更（パスワードは盗まれない）
感染したPCでパスワード入力・変更を行わなければ基本的には大丈夫です。

【行わなければならないこと】
必要なデータのバックアップを行った後（ROならSSやエンブレムキャッシュ、一般アプリなら作成したデータ、
メールソフトのデータやIEのお気に入りなどもバックアップすると良いでしょう）、PCのリカバリorｵS再インストール。

569 ：567 ：10/03/04 09:38 ID:4lCEGOrz0

567です教えていただきけてうれしいです。ありがとうございます(´･ω･｀)

スキャンの結果ですがセキュリティの脅威のCookie検出と出たのでウィルスなんでしょうか･･･

ROはｱｲﾃﾑの移動とﾛｸﾞｱｳﾄした時間をﾒﾓとったりして一旦ログアウトさせました。

Windowsアップデートも行いました。
URLを踏んでしまったﾒｲﾝPCで装備移動させるためにｷｬﾗｸﾀｰｾﾚｸﾄのﾊﾟｽﾜｰﾄﾞを入力したしまったので
今から急いでｻﾌﾞPCでﾊﾟｽﾜｰﾄﾞを変えようと思います。

ﾊﾞｯｸｱｯﾌﾟも今から方法を調べてやってみます。ﾘｶﾊﾞﾘか再ｲﾝｽﾄしてまた気合で無線LANの設定もしてみます(´･ω･｀)

ｻﾌﾞPCもﾒｲﾝPCも無線LAN接続なのですがｻﾌﾞPCには何の影響も無いのでしょうか･･･？
何度も聞いて申し訳ありませんorz

570 ：（○口○*）さん ：10/03/04 10:12 ID:JA3e1Bto0

>>569
ウイルス感染後に、サブPCとメインPCでファイルのやりとりをしていなければ、問題無いです。

571 ：（○口○*）さん ：10/03/04 10:27 ID:dNbeJpvJ0

＞URLを踏んでしまったﾒｲﾝPCで装備移動させるためにｷｬﾗｸﾀｰｾﾚｸﾄのﾊﾟｽﾜｰﾄﾞを入力したしまったので
＞今から急いでｻﾌﾞPCでﾊﾟｽﾜｰﾄﾞを変えようと思います。

大馬鹿者〜最悪のことを…キャラパスだけだからまだいいものの…WindowsUpdateより先に、PCのリカバリだろうが。

１．（仕方ないので）サブPCでキャラパス変更
２．メインPCをネットワークから物理的に切断
３．最低限必要なデータをバックアップ
４．PCリカバリorOS再インストール
５．WindowsUpdateを全てあてる（ここで初めてネットワークに接続）
６．セキュリティソフトの導入とパターン更新
７．必要なアプリの導入
８．バックアップしたデータをスキャンして不審なファイルが見つからないことを確認した上で戻す
９．ROをプレイ

572 ：（○口○*）さん ：10/03/04 11:15 ID:Msen2nR30

個人的にこういう検体の情報はありがたい。
拾ってみた。ファイル名はzipだけど実際はrar。
解凍すると MS-aionPlayncmaohuaJP■exe AIONのファイルを偽装しているくさい。
700kB以上とトロイにしちゃデカすぎるので7-Zipで解凍したら
2008年のコミケの同人絵(たぶん増量用のダミー)と
製造日が2月2日のmxd■exe。PcClient系バックドア。
ttp://www.virustotal.com/analisis/512be79b4fb0d0830c316723525422875e1ad3159b6692859f7e5f970c080a54-1267668496
バスター(Trendmicro)はスカったので提出済み。

573 ：（○口○*）さん ：10/03/04 18:53 ID:eJMlRrcs0

>>569
メーカー製PCならリカバリ後に古いAdobeReader(AcrobatReader)が
インストールされる可能性がある
そこらへんもちゃんとアップデートさせましょう
Readerに関しては使わないならアンインストール
Javaランタイムもだな

574 ：（○口○*）さん ：10/03/04 21:07 ID:O9ZkQ9/R0

一通りアップデートが終わったと思ったら、SecuniaPSIを走らせるのだ。
あれ、オンラインサービスになったらいいのにね。

575 ：（○口○*）さん ：10/03/04 22:14 ID:s/rK1BEV0

SecuniaOSI というオンライン版あるよ！

576 ：（○口○*）さん ：10/03/04 22:17 ID:0c0S7hai0

>>574
SecuniaOSI
MyJVN バージョンチェッカ

577 ：（○口○*）さん ：10/03/04 22:19 ID:O9ZkQ9/R0

あ、あったのかすまんorz

578 ：（○口○*）さん ：10/03/06 15:32 ID:t9d99j2b0

Operaブラウザに深刻な脆弱性、パッチは未公開
ttp://www.itmedia.co.jp/enterprise/articles/1003/05/news014.html

あまり細かく書かれていないけど、回避方法は別のブラウザを使う以外は無いと言うことかな？

579 ：（○口○*）さん ：10/03/07 01:52 ID:Qk0PyMul0

【　 　 　 気付いた日時　 　 　 　 　 】 3/6 22:00頃
【不審なアドレスのクリックの有無　】 R.M.CのHeimdalレア装備板 http://jpan■jp/?Qw3x
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【 　 　ツールの使用の有無　 　 　 】 No
【　 ネットカフェの利用の有無　 　　】 Yes
【　 　　 OS　 　 】 Windows 7 64bit
【使用ブラウザ 】 FireFox 3.6
【WindowsUpdateの有無】 昨日に確認
【　アンチウイルスソフト 】 ESET Smart Secrity 4.0
【その他のSecurty対策 】 特に無し　FirefoxのNo Script使用程度です。
【 ウイルススキャン結果】 上記アンチウィルスソフトで検索結果、HIT無し
【スレログやテンプレを読んだか】 今から読みます
【hostsファイルの変更】　無
【PeerGuardian2の導入】　無
【説明】
サブPCで、R.M.C(http://www5.big.or.jp/~haya/rmc/)のHeimdalレア装備板で
「買）アンフロ風鎧38M」の記事内【その他コメント】欄にあるURLをクリックしたところ
以下の警告がESETより発せられました。

--------------------------------------------------------------------
http://www■matubusi■net/zhu/yanyan■rar
Win32/Kryptik.BMの亜種 トロイの木馬
接続が切断されました - 隔離しました
--------------------------------------------------------------------

ファイルをDLしようとしたみたいですが、行っておりません。
速やかに有線LAN及び無線LANを切断し、ウィルスキャンを行ったところ
脅威となるものの検出は行われませんでした。

その後、メインPCでガンホーID/PWの変更、キャラクターの全PW変更を行いました。

現在メインPCで確認しておりますが今のところ何らかのアクションは無いようです。


こういったrar形式やzip形式をDLさせるタイプは
URLを踏んだだけでアカウントハックが実行されるのでしょうか。
それともDLを行ったファイルを解凍しなければ問題ないのでしょうか。

今からテンプレとスレログ確認してきます。

580 ：（○口○*）さん ：10/03/07 02:21 ID:fjnquMeo0

怪しいＵＲＬは絶対クリックしません
怪しいＵＲＬは絶対クリックしません
怪しいＵＲＬは絶対クリックしません

モニタのとこに付箋でも貼っておきましょう

581 ：（○口○*）さん ：10/03/07 03:14 ID:DKnmX56R0

>>579のURLをhttp://www.gred.jp/でチェックしてみたけど、どっちも安全って……

ひょっとしてダメチェッカー？

582 ：（○口○*）さん ：10/03/07 04:08 ID:VAcBYa+z0

>>581
単に転送しているだけだしね。でもチェッカーを過信するのは阿呆。

>>579
解凍して実行しないと発動はしない。

ただし、他の何かを同時にダウンロード・起動させていてすり抜けている可能性もあるため安全である保証はできません。
ESETだとなんか抜けてそうな気がしなくもない。

安全策をとってOS再インストールコースにするか、ダウンロード前にブロックしたと安心して(複数のエンジンでオンラインスキャン
をするなどしてチェックした上で）使い続けるかは自己責任になります。

583 ：579 ：10/03/07 05:49 ID:Qk0PyMul0

>>582

やはり確実に安全とは言えませんよね…

今回は安全策としてOSを再インストールしました。

今後は不用意にURLをクリックしないようにしたいと思います。

ありがとうございました。

584 ：（○口○*）さん ：10/03/07 08:11 ID:91x/TYdC0

>>578
これみてSecuniaPSIやったら
firefoxとoperaが(査定： 安全にブラウジングできません。このブラウザを使用した場合、少なくとも 1 個の致命的な攻撃ベクターが存在します。)
でIEが(査定： このブラウザに対し少なくとも 1 個の攻撃手法が存在します。下記重大性の評価を参照してください)とか
IEのほうがまだ安全じゃないか？という変な状態になっていた

585 ：（○口○*）さん ：10/03/07 09:02 ID:BSGIYZDs0

>>568にて
>必要なデータのバックアップを行った後（ROならSSやエンブレムキャッシュ、一般アプリなら作成したデータ、
>メールソフトのデータやIEのお気に入りなどもバックアップすると良いでしょう）
と書かれていますが>>570にて
>ウイルス感染後に、サブPCとメインPCでファイルのやりとりをしていなければ、問題無いです。
↑はつまり感染したPCからバックアップしたデータファイルなどをリカバリorクリーンインストールしたHDDに
入れちゃだめって事ですか？

586 ：（○口○*）さん ：10/03/07 10:38 ID:orCBlruk0

>>585
あんまり突き詰めようとすると、誰も何も答えられなくなるよ。
世の中に絶対なんてあり得ない。

587 ：（○口○*）さん ：10/03/07 11:18 ID:VAcBYa+z0

>>585
バックアップしたデータの中に、感染したファイルがまぎれていないか確認してから戻しましょう。
つまり、OS入れなおしたPCにバックアップデータを戻すよりも、セキュリティソフトの導入とパターン更新を先にやれ。

588 ：（○口○*）さん ：10/03/07 11:19 ID:dqiTQkBx0

p://www.itmedia.co.jp/enterprise/articles/1003/04/news064.html

FirefoxはこのPNGライブラリの脆弱性が塞がれていない
IEは塞がれているからIEの方がまだ安全という結果になったのでは?

589 ：（○口○*）さん ：10/03/07 22:47 ID:YwM3+Wa/0

>>580
どれが怪しいURLかわからなくなってるから
それは言わない方が良いんじゃね

590 ：（○口○*）さん ：10/03/07 23:57 ID:6HhBZZYL0

ニフティの常時安全セキュリティ24で、
自分自身が作ったファイル（base169.kdc）に誤爆するみたい。
除外してアップデートすると直るそうだ。

591 ：（○口○*）さん ：10/03/10 15:19 ID:InTVW0050

月例age 計2件 (重要 2件)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms10-mar.mspx
ttp://blogs.technet.com/jpsecurity/archive/2010/03/10/3317967.aspx

592 ：（○口○*）さん ：10/03/10 19:18 ID:MYjj91If0

IE 6と7に未修正の脆弱性見つかる、既に標的型攻撃の発生も
ttp://www.itmedia.co.jp/news/articles/1003/10/news025.html

IE8は影響なし　らしい

593 ：（○口○*）さん ：10/03/11 05:01 ID:cMaq3b/00

クルパラスレにあったもの。よく見掛ける日本のあぷろだに置かれるトロイかな。

172 ：ere544 ：10/03/11 03:59 ID:/S+AU8X+0
ＲＯ スパノビ冒険日記 ： 最終指令「転生ＤＯＰ６人を全て倒せ!!」
tp://www■dotup■org/uploda/www■dotup■org715002■zip

594 ：（○口○*）さん ：10/03/11 05:06 ID:cMaq3b/00

>>593
日本で使われてそうなベンダーは対応済みぽい。

zip(30/41)
ttp://www.virustotal.com/analisis/b5fbec15109e2229b7ab0d8d2524916ceff4e369fcaae3a22a8fd64e1d4a4a13-1268251315

exe(31/41)
http://www.virustotal.com/analisis/772e1ad370c65b5c83f294ad89cbc1663eba28c74ec10a49e94610de4958055b-1268251345

595 ：（○口○*）さん ：10/03/11 07:02 ID:mgj50bGO0

バスターがスカってる。

596 ：（○口○*）さん ：10/03/11 10:56 ID:cMaq3b/00

>>595
>TrendMicro 9.120.0.1004 2010.03.10 PAK_Generic.001

マルウェアというよりパッカーとして引っかかってるだけなんで、提出したら別の名前つくかもしれんけど
一応スカってはいないようですよ。

597 ：（○口○*）さん ：10/03/11 12:05 ID:exdpO9HB0

>gred AntiVirus アクセラレータアップデートのお知らせ
>新機能！未知のウイルスの検知を強化する、ヒューリスティック型エンジン
>「ETHOS（エトス）」を搭載しました。

だそうな。どんなもんだかね。

598 ：（○口○*）さん ：10/03/11 13:07 ID:cMaq3b/00

>>597
いれてみた。

検体のzipを解凍して、セキュリティソフトの警告を無視にして解凍完了させた。
ファイルが一瞬出た直後に隔離され、ファイルが存在しなくなった。
隔離から戻すを押しても戻ってこなかった。

Gumbler系とかの新種への対応という意味では保険的に入れといてもいいかもしれない。
動作自体は軽い。普通のセキュリティソフトと併用してもいいかもしれない。
誤爆隔離された場合に戻らないかもしれない危険もあるが、再インストールして、除外設定すれば済むことだ。

検体提出しようという人にとってはあるとやりにくい。という訳で私はアンインストールした。

599 ：（○口○*）さん ：10/03/11 22:22 ID:mgj50bGO0

>>596
某セキュ板のバスターユーザーによると
Packer検知は実物では引っかけないんすよ。
できれば subwiz.trendmicro.com あたりから送っといてください。

600 ：（○口○*）さん ：10/03/12 00:01 ID:iTdg/U/H0

>>599
了解。提出しとく。AVGみたくヒューリスティックで検知してるとこや、Genericで検出してるとこに一通り出しとくわ。

601 ：（○口○*）さん ：10/03/12 09:16 ID:/jPK/iaw0

>>579
いつのまにやら毎度おなじみの福建一味ドメインはRM業者モドキになってたのか。
メジャーどころの名前はあらかた食い潰したうえに対策されているからだろうけど。

マツブシモドキWhois
Domain Name : matubusi■net
Creation Date : 2010-01-28 15:47:05
Registrant:
Organization : xiao lin
Name : xiao lin
Address : fu jian long yan xi bizhen shi qiao tou cun 58hao
City : longyan
Province/State : FJ
Country : cn
Postal Code : 364000

次はどんなモドキドメインがくるやら。
気をつけてくれよな！

read.cgi ver5.26 + n2 (02/10/01)