日々是妄想 : AccessAnalyzerのトロイ埋め込み騒動その後

AccessAnalyzer.com（以下アクアナ）の管理ページにトロイが
埋め込まれ、アクアナ＝ウイルス配布サイトの様な状態になり
早4日。

■ 4日前の記事：AccessAnalyzer.comにトロイ埋め込んだ奴は誰だ！
http://blog.livedoor.jp/katz_stlips/archives/51689602.html

当初はアクアナのログインページにのみ埋め込まれているという
話だったんだが、自分が確認した時点では既にほとんどのページ
にトロイのスクリプトが埋め込まれておりました。

しかも、アクアナだけではなく、アクアナを運営している
デジロック社のドメインサービスであるVALUE DOMAIN（以下VD）
の管理サイトにも同様のトロイが埋め込まれているらしい。
（というかVDの方が先っぽい？）

ちなみに、問題のサイトは未だなんの措置も執られていなくて、
相変わらずウイルスコードが貼り付けられたままです。

しかも、デジロック側は「調べたけど改ざんはありません
でしたよ？」などとすっとぼけた事を言っておられるそうで。

なるほど、そのレベルの人たちが運営してるんですか。そうですか。

そんなワケなので、全く信頼出来ないサービスと化してしまって
いますので、ブログやサイトにコイツを貼り付けている人は
「即刻全部外しましょう」。

解析タグが貼られたサイトを見ただけでは感染しませんが、
サイトに貼られたバナーからアクアナのサイトへアクセスした
人は感染してしまいますので、二次災害の防止の意味でも
「確実に外しましょう」。

軽く営業妨害入っていますが、それほどまでに事態はひっ迫
しているのです。これをもしデジロック関係者がご覧になっていたら
大至急誠意のある対応をお願いします。

さて、肝心のトロイの動作ですが、このトロイに感染すると、
IEが極端に重くなり、場合によっては異常終了してしまうという
現象もあるっぽい。

基本的には、ネットゲームのアカウントハックが目的らしいが
単純にそれだけが目的なのかとと言われると、ぶっちゃけ全く
解らない。

とにかく、感染の疑いがあったら、Windowsを真っ白な状態にして
再インストールしましょう。

また、WindowsやAdobe系のソフトなど、各種インストールソフトは
常に最新版にアップデートする癖を付けましょう。

FireFoxを使っている人は、NoScriptなどのアドオンを使って
信頼出来るサイト以外からのJavaScriptは受け付けない様に
しましょう。

それにしても、今回のこのウイルス、「デジロウイルス」って
呼び名が付いちゃったのか。

GENOの時も「GENOウイルス」と最初に感染拡大させたサイトの
名前が付いちゃってたけど、これ商売やっていくのにかなり
不味い状態だよね。

まぁ、そう名付けられても仕方ないよね。
てか、デジロックの場合は、この期に及んでまだなんの対策も
していないというずさんな運営体制だからねぇ。

静岡空港の偽ページ事件同様、
これもまた人の振り見て反面教師な事例だよね。

気を付けなければ。

【2009.07.13 10:00 追記】

2ちゃんWeb制作板のアクアナスレにてご指摘いただきましたので
追記します。

例のトロイが上手い事実行されると、怪しげなサイトから
「go.jpg」という一見画像っぽいファイルを拾いに行きます。

このgo.jpgというファイル、実はウイルスの実行ファイルでして、
コイツを取り込んでしまうと、今巷で大騒ぎになっているMicrosoft
VideoActiveXの脆弱性を突っついてPCを乗っ取ります。

こうなったらもうヤツらの思うつぼ。

あなたのPCはあんな事やこんな事をされ放題の陵辱プレイです。

コイツはIE8でも起こりうる話ですので、
とにかくWindowsユーザは気を付けてください（VISTAは大丈夫？）。

以下、詳細↓

go.jpg には言及されないのでしょうか
これはActiveXの脆弱性を利用したものです
IE8にも影響します

マイクロソフトセキュリティアドバイザリ: Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

回避策
 http://support.microsoft.com/kb/972890

ちなみに、so-netのセキュリティーニュースでもデジロウイルスが
取り上げられました。

■ 国内のサイト複数が改ざん～早急にDirectShowの脆弱性回避策の適用を
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946

是非、ご一読を。

【2009.07.16 9:00 追記】

当記事のコメントにて、74さんより
「7/15のMicrosoft定例アップデートにてデジロウイルスの対策がなされた」
とのご報告をいただきました。

74さん、ありがとうございました！

詳細は3番目のコメントをご覧ください。

【2009.07.21 23:12 追記】

デジロック社からの報告および改ざんサイトの対応がありました。
※ 74さんからの情報提供です。ありがとうございました

■ AccessAnalyzerのトロイ埋め込み騒動の終焉
http://blog.livedoor.jp/katz_stlips/archives/51695106.html

コメント一覧

- 1. あず
- 2009年07月13日 00:24
- 初めまして。
  アクアナ使ってて、ここのサイト見てウィルス騒動の顛末を知って速攻でアクアナ外しました。
  参考になりました。どうもありがとうございます。
  
  何だかんだでアクアナは気に入ってたので次の解析を探すのはどうにも億劫なのですが、ka+zさんはどこの解析に移られますか？
- 2. ka+z
- 2009年07月13日 07:13
- あずさんはじめまして。
  僕もアクアナが気に入っていたんで、今回の事件は非常に残念です。
  
  他のアクセス解析ですが、2ちゃんWeb制作板のアクアナスレにて紹介
  されていたqlookを試しに使ってみています。
  
  と言っても、普段Yahooアクセス解析とアクアナを併用していて、
  ヤフ解で大まかにチェックしてホスト名などはアクアナで確認する
  という利用の仕方でしたので、代用としてのqlookは特に不満もなく
  使えていますが、PVの制限やログの保管期間などアクアナの代わりに
  メインで使うには少し使いづらいかも知れません。
  
  参考になれば幸いです。
- 3. 74
- 2009年07月16日 08:02
- 「Video ActiveX コントロールの脆弱性」は、7/15のWindows updateで対策されたようですね。
  
  補足
  http://gigazine.net/index.php?/news/comments/20090715_windows_update/
  のリンク先↓に
  ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973346)
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-032.mspx
  「このセキュリティ更新プログラムは、最初にマイクロソフトセキュリティアドバイザリ 972890 で説明した脆弱性も解決します。」
  とあります。
- 4. ka+z
- 2009年07月16日 09:11
- 74さん、補足ありがとうございます。
  ようやくこの件に関しては収束しましたね。
  
  でも、DirectShowの脆弱性は残ったままだし、
  新たにOfficeの脆弱性が発覚したり、セキュリティー界隈は
  常時気が抜けない状態です。
  
  AccessAnalyzer.comの管理画面を久々に開いてみましたが、
  まだ例のコードが埋め込まれたままなんですね。
  
  ウイルス配布もさることながら、
  この会社の運営理念の酷さには辟易するばかりです。
- 5. 74
- 2009年07月16日 12:43
- 「デジロウイルスの対策がなされた」というよりは、デジロウイルスが利用している脆弱性の1つが対策されたということですね。
  この記事を読んでた人は既に済まされてるでしょうが、アドビリーダー・フラッシュプレイヤーの更新を怠ると、感染の可能性があります。
  
  それと、「DirectShowの脆弱性」も昨日のアップデートで対応したみたいですよ。
  ↓
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx
  http://www.itmedia.co.jp/news/articles/0907/15/news021.html
  それでも、毎日のように新たな問題が出てきているようですが。
  
  デジロックの姿勢に関しては、私も同感です。
  去年もxrea.comで広告の改竄をされていましたが、同様の対応でアナウンスまでには相当の時間を要しました。
  特に更新していないサイトなので、騒ぎの間は表示を辞め、おさまった後も継続して利用していましたが、今回の件で移転を決断しました。
  去年移転しておくべきでした。
  
  「サイトの改竄については仕方がないが、その後の対応が問題だ。」という意見もあると思いますが、デジロックの場合、こんな姿勢で運営してるから、狙われたのだとも思います。
  利用しはじめた頃は、なかなかいいサービスだったんですけどね。
  それを知っているだけに、残念で仕方がありません。
- 6. ka+z
- 2009年07月16日 13:44
- おっと、重ね重ねご訂正ありがとうございます。スミマセン。。
  
  この所の脆弱性に関する話題は雨後のタケノコのように
  次から次へ出てきますね。
  
  サイト運営者としては、いつ自分が加害者になってしまうか
  わからないという危険性を自覚して、情報収集、対策を常に
  しなければ。。
  
  デジロックは同じ轍を何度も踏んでしまっているのが企業と
  して非常に残念な部分ですね。とりあえずの障害対策だけで
  終わらせ、PCDAに回せない体質なのかもしれません。
  
  解析画面の構成が秀逸で重宝していただけに実にもったいない。
  
  つくづく残念です。
- 7. 74
- 2009年07月21日 17:50
- デジロックがようやく対応しました。
  http://ax.xrea.com/index.php?action=200907
  http://www.value-domain.com/info.php?action=press&no=20090721-1
- 8. ka+z
- 2009年07月21日 22:32
- 74さん、いつもお世話になってます。
  デジロック騒動もようやく終焉ですね。
  この件は別記事にして告知したいと思います。
  
  ありがとうございました。