Blanc Comme Neige (旧Iris BOTの現状)


当サイトは、MMORPG ラグナロクオンラインの
Irisサーバを中心に公式情報・イベント情報等を掲載しています。
また、アカウントハッキング予防法や、若干セキュリティ等についても書いたりしています。
最近はサーバー間ユーザー交流のことや、R化の事が多めです。

ガンバレ!東日本!

<< アカウントハッキングの手口 | main | ブログの閉鎖について(予告) >>

2008.08.18 月曜日

セキュリティについて(アカウントハッキングの手口とその予防策)

1.アカウントハッキングとは?
2.アカウントハッキングの手口
 2-1 メッセンジャー経由のウイルス
 2-2 駆除方法
 2-3 見かけないドメインに注意
 2-4 盗まれるMSNアカウント
 2-5 動画サイトAcitiveX許可の罠
 2-6 偽画像、ファイルアップローダの罠
 2-7 安心?安全?MIXIの罠
 2-8 BBSやコメントの罠
 2-9 職業Wiki外部リンクの罠
3.アカウントハッキング予防策
 3-1 WindowsUpdateの方法
 3-2 自動更新の設定方法
 3-3 他ブラウザについて
 3-4 IE系の場合の対策方法
4.感染してしまった?
5.情報はマメに確認しよう/情報は提供しよう。

1.アカウントハッキングとは?

 アカウントハッキングとは、あなたのラグナロクオンライン(以下RO)のアトラクションIDとパスワードが
盗まれて、それを利用してログインされることです。

 ハッキングとは貴方の知らない間にIDやパスワードを盗み出し、悪意のある第3者が勝手に利用することです。

ROにおいてなぜアカウントハッキングが蔓延しているのか?

 それは現在、ROにおいてゲーム内のアイテムやZENYをRMT(リアルマネートレード)により、
現実のお金に変えることができるからです。(これは規約違反です
お金のほしい人が、インターネット上に罠を仕掛け、ログインIDやパスワードを盗もうとしています。
この手口が巧妙になりつつあり、普通にホームページを閲覧しているだけでも、知らない間に盗まれ、
(HP内にそういう罠へのリンクが隠されて張られている、HPのソースを見ることによって判明する)
アイテムやZENYが、盗られてしまっているかもしれません。

現実にROのアカウント被害だけでなく、過去にフィッシング詐欺という手口で、クレジットカードの番号と
暗証番号を盗んだという事例もあります。
つまり、リアルで重要なパスワードや情報が、盗まれてしまう危険もあるわけです。

現在問題になっているのは、MIXIとよばれる紹介がないと入ることができないコミュニティで、
アカウントハッキングの罠を含んだURLが、貼り付けられ被害にあうという事例も出ています。
実際にアカウントハッキングはされませんでしたが、私の知人も罠URLに引っかかってしまった人がいます;
また、MIXIのIDとパスワードを盗み出し、その人を語って罠URLを貼り付けるという事例も発生しています;

自分は大丈夫だと思わず、普段からWindows Updateや対ウイルスソフトやファイアーウォールソフトは
導入しておきましょう。
そうすれば、もし既存のウイルスのものなら、もし踏んでしまっても警告してくれます。
ROだけでなく、インターネットをする上でセキュリティ対策は重要だということを再認識してください。

自分は大丈夫、関係ない・・・そういわずにまずは自分ができることからやりましょう。
自分の身は自分で守るしかありません。

アカウントハッキングは不正アクセスという犯罪です。また、面白がってアカウントハッキングの罠URLを含む、
アドレスを貼り付けたりするのも、助長行為として犯罪となります。
注意して下さい。

2.アカウントハッキングの手口

手口は日々新しいモノが出てきています。
アカウントハッキング罠アドレスのドメインも毎日のように新しいタイプが
確認されています。

2-1 メッセンジャー経由のウイルス

WARNING!

メッセンジャーを介して
zipファイルが送りつけられる事例が報告されています。

以前からメッセのウイルスはあったのですが、今回ROのアカウントハッキングに
関係ありそうなウイルスが確認されたようです。
Windows Live Messenger
MSN Messenger
Windows Messenger等を通して知人リストにscrファイルを送りつけるウィルスが確認される
これは感染した人を踏み台にしてさらに被害を進めていく
私自身もメンバーリストにあるとある友人から怪しいメッセージを何度も受信しています。
メッセンジャー自体はオフラインが多い(携帯で接続が多いため添付ファイルの受信はまだ受けたことは無いです)ので、
被害はないのですが、友人知人からといえども

いきなり送られたファイルを実行する、いきなり送られたURLにアクセスする。

そのような事はしないようにしましょう。ネット社会において身を守る常識です



友人知人または全く知らない人から
「img1756.zip」が送られてくる

解凍するとscrファイルが出てくる

起動したらアウト

勝手に友人に「img1756.zip」を送りつける

無限ループ
※ ファイル名「img1756.zip」はそのときで変わる


【ファイル送信時のメッセージ例】

・what the fuck, did you see this?
・hey man, did you take this picture?
・look @ this picture of me, when I was a kid
・look @ my cute new puppy :D
・I just took this picture with my webcam, like it?
・check it, i shaved my head


xxxxxxxx の発言 (1:48):
look @ this picture of me, when I was a kid

xxxxxxxx の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)


ウィルス情報(駆除方法もこちらで
・W32.Scrimage.A
・W32.Mubla.B
・WORM_IRCBOT.ADU
亜種も出ているので同じ名前が無い場合は各対策スレで相談を

感染してしまうとメッセンジャーでメッセージが送れなくなり
友達リストにファイルを送信しまくる
メッセ再起動でメッセージを送れるようになりとりあえず送信はとまる?
感染者のPCにはバックドアが仕掛けられる
2-2【駆除方法】
対応済のウイルス対策ソフトでスキャン→駆除
※未対応のものもあるので対応状況を確認すること

1. 感染したらLANケーブルを抜く(インターネット接続をきる)

2. レジストリのチェック スタートメニュー→ファイルを指定して実行で「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"




3. 念のためにWindows再起動

4. 必要無いと思いますが、システムの復元を無効化(_RESTOREにあるファイルを削除する)

無効化の方法
スタートメニュー→システム→システムの復元




5. C:\WINDOWS\svchost.exeの削除

注意!!

本来のsvchost.exeというファイルは

C:\WINDOWS\system32\svchost.exeにあります。

間違ってこちらのほうを削除しないように!!


システムが起動しなくなってしまい、OSの再インストールをしなければならなくなります。
6. C:\WINDOWS\img1756.zipの削除

7. 必要無いと思いますが、Windows再起動

8. 4を実行した人は、システムの復元を有効化
有効化の手順は無効化にしたときのチェックを外すだけ。

9. アンチウイルスのソフトウェアを全て最新にする

10. 全スキャンを実行する

11. 全スキャン中は暇なので、反省する

2-3 見かけないドメインに注意
仮想橋様の方に上がっていたのでこちらでも書いておきます。

以下引用
見慣れないドメイン名、「.mobi」や「.info」等を含むURLは危険です

下記は、本日当サイトのBBSに書き込まれた内容です。
1 名前:皇子:2007/03/22 21:11 ID:1Ts0YVfZFc IP:59.58.219.206:
韓国をはじめとする他国のLineageの、様々な情報を交換したり議論したりするスレッドです。
?スレタイトルと関係のない話題は他スレでお願いします。話題を止める際には、その話題に該当する

スレッドへの誘導を忘れずに。
?晒しスレではないので、日記サイト等の個人的なサイトURLの貼り付けはやめましょう。
?嘘情報に釣られても怒らずに、それを経験にして嘘情報を見抜く術を身に付けましょう。
http://www.r*g*a*o**.mobi/bbs

URLのドメイン名「.mobi」ですが、見慣れないものだと思います。
「.mobi」は、昨年9月26日より一般登録が可能となった新しいドメイン名です。(参考:wikipedia)

【見慣れないドメイン名は危険!】です。
あまり見かけないドメインは危険な場合が多いため、むやみにリンク先へ行かない様にしてください。

日本ではスクウェアエニックスによるFFスペシャルタスクチーム、中国では本格的にRMT全面規制と、RMT排除に対する
活動が活発になってきました。今後、攻撃はますます増えてくる可能性があります。十分に注意して下さい。
2-4 盗まれるMSNアカウント
MSNのアカウントを盗むトロイも同梱されていることが
多いので、MSN Messengerが入っているようなら要注意です。
・アカウントを盗用しメンバーへのアカウントハッキングアドレスの配布の可能性
・ROのID (レジストリから簡単に得られます)、MSNのパスワード、
 MSNのメールアドレスの組み合わせで、人によっては いろいろといじれちゃう状態にあるかも。
アカハック総合スレ5/795さんの書き込みより
ウィルス情報→PWS-Maran.dr(正確にはトロイ)

コレにより知人からのメールに書いてあるURLも
疑わなければなりません。
MSNのアカウントをハッキングし、、知り合いのメッセでINし、
メッセンジャーで、ROアカウントハッキング罠入りURLを、貼り付けてくる輩もいるようです。
知り合いからのメッセージでも、いきなりのURLや、語尾にexeのついているURLは、踏まないように
みなさんも十分気をつけてください。
2-5 動画サイトActiveX許可の罠
ActiveXを許可しないと見れない動画のサイトの、
コメント欄へのアカウントハッキング罠アドレスの書き込みがあったようです。
2-6 偽造画像、ファイルアップローダの罠
ファイルアップローダなどで、拡張子がjpgなので油断して踏むと、
実はhtml0サイズのiflameで、罠アドレスに飛ばされ偽装のjpgを表示します。
IEなどの拡張子が違うものでも、開いてしまうブラウザでは、
ファイルアップローダにアップされている、ファイルへのリンクをむやみにクリックしないようにしてください。
画像だからと気軽に押さずに、先ずはカーソルを合わせて、リンク先を確かめてクリックしましょう
画像がすでに表示されているタイプのモノは、大丈夫だろうということです。

2-7 安心?安全?mixiの罠
mixiなどの囲まれて安全が保証されたかのように感じる空間でも
コメント欄にハッキングアドレス貼り付けが行われているようです。
現在一番多い、アカウントハッキングの罠入りURL貼り付け方法のようです。
2-8 BBSやコメントの罠
管理人や常連を語った書き込みや、アカウントハッキング対策などという
名目でURLを貼り付ける、悪質なものも確認されています。
ROに関係のないHPやブログなどにも、無差別で書き込みが行われているようです。
こちらの方も、現在まであるようです。
2-9 職業Wiki外部リンクの罠
大手情報サイト閉鎖などで、情報を求めて各職業のWikiを、訪ねる事も多いでしょう。
ですが、Wikiは多くの人が簡単に書き換えることができるのが特徴です。
その特徴を逆手にとった、悪質な書き換えが頻発しています。

3.アカウントハッキング予防策

各自、自衛策をとってください。
1.WindowsUpDateは定期的に必ず行う。
2.セキュリティソフト(対ウイルスソフト、ファイアーウォールソフト)の導入。
3.怪しいURL等にアクセスしない。
特に、必ずWindowsUpdateは必ず行っておきましょう。

3-1 Windows Updateの方法

スタートメニューからすべてのプログラムを選びます。

スタートメニューの中にWindows Updateがあると思います。
それを選びます。

上の画像のような画面になったら高速を選びます。
優先度の高い更新プログラムをダウンロードしてくれます。
高速を選んだらアップデートファイルがあれば一覧で出てきますので
一覧からアップデートファイルを選んでください。
更新プログラムによってはPCの再起動が必要になる場合もあります。
その際には再起動してください。
更新プログラムによっては何回かに分けてWindows Updateを
行わなければならない場合もありますので、Windows Updateは
定期的に実行しましょう。
また自動更新の設定をすることをお勧めします。
Windows Updateをせずに被害に遭うのは論外です。
Windows Updateは無料です、面倒でも1日1回必ずチェックするようにしましょう。
(自動更新を有効にしておきましょう)

3-2 自動更新の設定方法

WindowsXPの場合、スタートメニュー→コントロールパネル→自動更新
で自動に設定してください。いつ自動更新をし、インストールするかの設定もそこでできます。


 

  拡張子を偽装した罠への対応法
  IE以外の拡張子が違う場合は開かない設定のできるブラウザを使うのも有効です。

3-3 他ブラウザについて
IE以外のブラウザに変更してみることをお勧めします。
Firefoxの導入方については
こちらのサイトに詳しく書かれています。

白角堂の徒然記 カテゴリー「Firefox導入について」

・Firefox公式
・Firefoxまとめサイト

・Opera日本公式
・Opera-wiki

例)Mozilla Firefox、Operaなど

3-4 IE系の場合の対策方法
-「拡張子ではなく内容で開く」を無効にするにします。-
は、IE6SP2以降から出来る設定項目で、IE6SP2はXP専用です。
(VistaではIE7を使用しているので)
Win2000やMeユーザーはIE6SP2が積めない為、IE6SP1が最新IEとなりますのでこの設定は出来ません。
インターネットオプション→セキュリティ→レベルのカスタマイズ
「拡張子ではなく内容で開く」を無効にするにします。

インターネットオプションを選ぶ。

画面が開いたらセキュリティをクリックし、次にレベルのカスタマイズを選びます。


そうすると画像のような画面が出てきます。
該当の拡張子ではなく、内容によってファイルを開くというものが出てくるまで
下にカーソルを動かしていきます。みつけたら無効にするにチェックをします。

4.感染してしまった??

もしアカウントハッキングウイルスに、感染したと思われたなら,
ただちに回線を切断し、WindowsXPの場合はシステムの復元を無効にして
ウイルススキャンをしてください。
もしウイルスが見つかった場合、
1.そのPCでのゲームへのログインは絶対にしない。
2.ROでいうならば、アトラクションセンターへのログインをしない。
3.早期にウイルス対策を講じる。
4.ネットワーク接続を切り、ウイルスの駆除が確認できるまで
そのPCではネットにつながない。
5.LANで他のPCにもつながっている場合には、他のPCもネットワーク接続を、
切った後に、念のためウイルススキャンをする。
6.感染していないことが確定しているPCでのパスワードの変更。

念を入れるなら、システムの再セットアップ(リカバリー)(PCの状態を購入時の状態に戻すこと)をしたほうがよいでしょう。
またシステムの復元を使い、ウイルスが感染していない時期までさかのぼって、戻すというのも手も有効であるらしいです。


また、上にも上げましたが、感染が疑われるPCからの
ゲームへのログインやガンホーアトラクションセンターへのログインをすることは絶対に避けましょう


ネットカフェなどは、キーロガーなどのパス読み取りを仕掛けられている可能性があるのでご注意を。
(実際に私自身ネットカフェでウイルス検索をしてみたところ、ウイルスが大量に発見されるという事例がありました)

また、アカウントハッキングウイルスに感染した場合、スロットに空白がある状態だと、
空きスロットにキャラを作られて、そこから倉庫の中身を、もっていかれてしまう恐れがあります。
この場合いくらキャラパスを設定していても、無意味です。
大変危険ですので、空きスロットにはキャラクターを作成し、パスを設定してください。
できるだけスロットは埋めておいてください。
キャラパスは万能ではありませんが、自分は大丈夫と思わず、各人が自分で取れる自衛手段です。

5.情報はマメに確認しよう/情報は提供しよう

クリックする前のリンク先確認や
踏んではいけないURL一覧や、踏んでしまった時の対応策
自分でブログやHPを開いている人のための対策などは
下記サイトが便利です。

また、見慣れないアカウントハッキングアドレスなどを発見した時は
現行スレに情報を提供しましょう。
スレッドに書き込む時は「.」を■に変えるなど
うっかりクリックで他人が踏んでしまわない配慮を
ハックアドをそのまま貼り付けてしまうと
犯罪になってしまいます。
■ アカウントハック総合スレ纏めサイト

■ Secure RO - 安全なゲームプレイのために

■ aguse.jp(HPのソースを調べてくれます)
ソースチェックの結果で発信元が海外、CN(中国)なら注意してください。
張られたURLのリンクを踏む前に、WHOISでサイトの情報確認を!
「ドメイン・IP情報検索」こちらでも情報を確認できます。