5号館を出て

shinka3.exblog.jp
ブログトップ | ログイン

エキサイトブログのログインページが改ざんされたようです

 本日4日未明から夜の10時頃までの間、私を含めアンチウイルスソフトのAvast!を使っている人が、エキサイトブログのログインページにアクセスしようとすると「s1.cawjb.comへの接続を遮断しました」「HTML:Script-infを検出しました」というメッセージとともに接続ができなくなるという症状が出ていました。

 最初はAvast!の過剰反応ではないかと思ったのですが、ネットを探してみるとちらほらと同じ報告が上がっていました。

 このページの情報がとても正確なようです。
先月末から、普通のサイトが悪意ある第3者によって改竄され、閲覧しただけでウィルス置き場へ強制アクセスさせる罠スクリプトを埋め込まれるという被害が爆発的に増加しています。

FlashplayerおよびWindowsなどに脆弱性を持ったままのPCであれば、罠がしこまれたページを開いただけでネットゲームのアカウントハック、あるいはPCに感染し新たな攻撃への踏み台と化してしまうトロイの木馬に感染してしまいます。

s1.cawjb.comはそれら被害サイトに仕込まれる罠が転送する在中国の危険ドメインのひとつです。エキブロトップページのHTMLソースを確認したところ、上記危険アドレスへ転送する罠がしかけられていることを確認しました。

(01/04 12:51追記)
問題のスクリプトを定期的に観測されていた方の報告によると、問題の罠は先月19日以降削除され、無効化されているとのことです。ですので、現時点まででの感染の可能性は低いと
思われますが、ドメイン自体は生きていますので、いつ再び有害化するかわかりません。
 こちらの方の解析によると、トップページの、「『お知らせ』にあるブログパーツ機能を追加しました」、「ドガログサービス終了のお知らせ」、「『友達の最新記事』の更新再開のお知らせ」という文章の後ろに「http://s1.cawjb.com/jp.js」へとジャンプさせるスクリプトが挿入されていたとのことです。どのような手段で実行されたのかはわかりませんが、メインページがやられるということは我々のブログサイトも安心できないわけで、恐ろしいことだと思います。

 というわけで、エキサイトブログのメインページ(ログインページ)が改ざんを受けていたことははっきりしましたが、書き込まれたコードで誘導されるサイトには現在罠の仕掛けられたページがないため、ブロックを受けずにアクセスしたとしてもおそらくウイルスに感染する可能性は低いということです。

 とりあえず、無料であるにもかかわらず良い仕事をしてくれたAvast!に感謝したいと思います。セキュリティ・ソフトによってはウイルスバスター2009やウィルスセキュリティZEROのように、警告を発しないものもあるということですが、アンチウイルスソフトなしでのネット巡回はかなり危険な状況にあるようです。

 (他にどうしたらよいのか、わからないのですが)気をつけたいものです。
Commented at 2009-01-11 00:19 x
ブログの持ち主だけに見える非公開コメントです。
by stochinai | 2009-01-04 23:59 | コンピューター・ネット | Comments(1)

日の光今朝や鰯のかしらより            蕪村


by stochinai