2007年06月20日

［はじめに］

まず初めに、ファイナルファンタジー11（以下FF11）関係のトラックバック・ ピープル（以下TBP）に記事を送らせて頂いています事をお詫び致します。

これまで、いくつかの注意/警告エントリーは既にTBPに飛ばされており、 既に認知はされてきておりますが、未だFF11関係でも拡大を見せる為、念の為、一度まとめ的な形のものを一度送らせて頂き、 出来るだけ多くの方に目にしておいてもらいたいと考えているからです。

 

尚、前回のエントリーに関しましてはこちらになります。
・【重要！】 当サイトに貼られているURLについて

 

但し、本サイトに記載されている情報のその全てが100%の情報では無い事を予め断っておきます。
また、私の知る範囲の情報、及びに、Webからの引用も混在した情報となっています。

そして、私の知識/情報というのは、あまり突っ込んだものはなく、決して高い訳でもない、むしろ低いので（1�_くらいはあるか？ｗ）… その上で少しでもと考えながら記載しており、上記の通りである事を、予めご了承下さいませ。

国名などが記載されている場合がありますが、まったく他意は御座いません。

 

［概要/症状］

先週末より、FF11関係のブログ内において、コメントにURLを記載の上で送信。
そのURLをクリックし、アクセスした時点で、自動的にPCにトロイの木馬のプログラムをダウンロードさせ実行させます。
ファイルの形式は.exeの実行ファイル。
ラグナロクオンライン（以下RO）のアカウントハック向けのプログラムであるが、他の様々なID/Passをハックされる恐れがあります。

また、それらのコメントは完全な自動投稿によるものではないと思われます。
（※私のサイトのコメント欄にも有る様な、画像認証系でも、コメントを見掛けているので、完全な自動化では無いと思われます、 この形式では完全な自動投稿を行うのは難しい。）

 

［事前対応］

■ユーザー： 管理者/閲覧者向け
今回のケースに限らず、怪しいURLや、その情報が信用出来ない場合には、無闇に飛ばない事が第一です。
また、可能な限り、WindowsUpdateは行い、OS、Verにも過度でなくとも良いですが、あまりに無頓着になり過ぎない様にし、 各種アプリケーション（ブラウザなど含む）は、旧Verよりも余程セキリュティホールが無い場合にはVerUPしておきましょう。

それらと併用し、尚且つ、アンチウィルスソフトを導入して置くことも強くお勧めします。

条件的に、あまり関係の無いことですが、試しに、かなり昔ですが、PCにOSをMEを入れ、ほぼ丸裸の状態でパッチを当てず、 ブラウザIE5.5でネットサーフ+メールを行いつつ、数日放置しておいた事がありましたが、かなりボコられます。
以前に、どうなんのかなー。とやってみた事があります(笑)

で、例えば、セキュリティホールを塞げないOSやアプリケーションだと、 セキュリティホールを利用したウィルスの亜種が次々と作成されれば、アンチウィルスソフトが検出出来ない場合、すぐにイッてすまうんですね。

逆に、（WindowsUpdateなどで）OSやアプリケーション穴を塞げるのであれば、 アンチウィルスソフトが検出出来なくても被害は出にくい。

加えて、いずれの場合でも、さらにロクに対策を取っていなければまぁ…お分かりですね。
上記でも私が以前に試した例がありますが…

今回のケースの場合、VBScriptのセキリュティホールを狙ったものであり、 そのセキリュティホールを塞ぐパッチは既にMicrosoftから提供されております。
そして、こちらが適用されていれば、少なくとも、今回のケースにおいては、恐らく、発動すらしないはずです。
（※1年弱ほど前に提供/公開されているものですので、基本的に通常通りWindowsUpdateを行っていれば適用されています。
但し、一部OSおよびVerに関しては、自動Updateなどで適用はされません。）

・マイクロソフト - ホーム
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)
（※確か適用されているかどうかを、レジストリか何かで確認できた気がしますが…）

また、PC内にあるhostsファイルを利用し、以下の様に、127.0.0.1+ドメインとする事で、該当URLに飛んだ場合でも、 そのドメインにアクセスしない様に設定が出来ます。
----------------------
127.0.0.1　aaa.ne.jp
----------------------
（※本項とは少しズレる上に、hosts編集については危険も伴いますので、こちらに関して使用する場合には、調べて実行して下さい。）

・hostsファイルとは？

 

■ユーザー： 管理者向け
仮にIPが20.30.195.128であり、それだけをフィルタリングしたいのであれば、手っ取り早いのは、 そのIP単体をフィルタリングし、アクセスさせない事ですが、弱く、簡単に潜る事が出来ます。
（※基本的に固定IPでない場合は末尾などは変わります。）

ここでは、例えば、 悪さをしてくるユーザー或いは団体のIPを20.30.195.128から20.30.195.191としましょう。

基本的には末尾は変わりますので、20.30.や20.30.195.などとして、フィルタリングとしましょう。
（※前者は20.30.以下を全てフィルタリングしアクセス制限、 後者は20.30.195.以下を全てフィルタリングしアクセス制限となる）

確かに、これで、その範囲のIPを持つユーザーに対しては、アクセスは不可になります。
しかし、20.30.195.0から20.30.195.127という範囲のIPも同時にアクセスが出来ない事となり、 この中に通常のユーザーが居たら弾かれてしまいます。

この場合、20.30.195.128/26とすることで、ネットマスクで表現されたIPアドレスの範囲を表し、 20.30.195.128から20.30.195.191の範囲を指します。

私は普段、手っ取り早く前者の方法、つまり、.htaccessを用いて、 20.30.や20.30.195.でアクセス制限を掛けています。
理由としては、あまり時間を掛けずにという事も有りますが、何より、日に沢山のアクセスのあるサイトでもなく、且つ、 それで指定している制限がほんの数える程で、２つ程度であるからであって、それらの理由から、影響は大きく出ないので…
（※この手法は、本来、最適とは言えません。）

今回の場合、加えて…
1.IPが広く様々（64.56.76.137、59.58.219.41、201.219.58.59…）
2.1の理由から広く制限を掛けたいが、広く制限を掛けつつ、それらを増やすと通常のユーザーを巻き込む可能性が上がる

以上の理由から、ネットマスクで表現されたIPアドレスの範囲（以下CIDR表記）を使用し制限を掛け、且つ、「国/組織」 レベルでシャットアウトしてしまう。

サーバーの設定を弄れる環境（自サーバーである場合や高価格サーバー）と知識が有れば、httpd.conf を用い、 サーバーレベルで設定を行えば良いですが（ipiptablesによるフィルタリングなど）、 実際大抵の方はサービス系のブログや低価格レンタルサーバーを用いていると思いますので、省きます。

通常、サーバの設定は、httpd.confというファイルにて設定されています。
しかし、このファイルを編集することができるのは基本的にサーバ管理者のみとなっています。
レンタルサーバ等を使用してWebサイトを運営されている管理者の方は、.htaccessファイルを利用することで自分の Webサイトの設定を行うことができます。

サーバによっては .htaccessファイルの設置を許可しない設定にしている場合もあります。
（※或いは、htaccess自体は使えるが、使用出来る設定/命令の有無など。）

と言うか、サーバーレベルの知識は私も無い！！

 

-htaccessが使用できる場合-
レンタルサーバーなどでhttpd.confレベルでのサーバー設定が使用出来ないが、.htaccessが使用できる場合は、 これを利用し、以下の形で記述します。

.htaccessとは、簡単に言ってしまえば、Webサーバーで使用できる、 Webサーバーの動作をディレクトリ単位で制御するためのファイルです。制限をかけるだけではなく、認証をかけたり、 ファイル拡張子を定義したり、リダイレクトしたり、デフォルトエンコードを設定したり･･･etc、様々な用途に使用できます。（※ 使用できないサーバーもあります。）
----------------------
order allow,deny
allow from all
deny from xx.xx.xx.xx/xx
deny from xx.xx.xx.xx/xx
deny from xx.xx.xx.xx/xx
・
・
・
----------------------
これは、まず、1行目のorder allow,deny（allowとdenyの順は指示の評価の順序を定義）で、この場合、続いて、 下記を記述することで、特定のホスト/IPからのアクセスを制限するというものです。
allow from allで、一度、すべてのホスト/IPからのアクセスを許可します。
deny from IPorホストで、そのIPorホストからのアクセスを制限します。

3行目以下を、iptablesを書き足す前の状態のリスト、即ち、CIDR表記のリストを適用する。
（※xx.xx.xx.xx/xx部分に代入していく形となる。）

手動の場合で、簡単なのは、一度、そのリストを開くなりして、全てコピーする。
次に、.htaccessとするファイルを、テキストエディターを開き、先ほどコピーしたものを、全て貼り付ける。
deny from を行頭に一度、コピー&ペーストし、また行頭にカーソルを移動させ、コピー&ペーストする。
その手順を、テキストエディターのマクロなどに記録させておき、あと再生させるだけ。
これで、何行あろうが即終わります。

あとは、国別にIPによるアクセス制限を、ソフトを用いて、手動ではなく、半自動にし、尚且つ定期的に更新などをしたい場合には、 このソフトがおすすめです。
（※ちなみに私は手動なので、使用していません。）

・ガードプロクシ(GUARD PROXY)

上記以外にも.htaccessではブラウザの設定言語でも制限をかける事が出来ますが、こちらは、 設定言語を変えるのみでアクセス出来てしまいますが、併用すると良いでしょう。

尚、以下に.htaccessに関する、有名どころのサイトおよびを記載しておきます。
（※.htaccessの編集/設置については、サーバーを重くさせたり、暴走させたりする恐れがあるものですので、十分に注意し、 また調べてから、使用する様にして下さい。）

.htaccess関連
・.htaccess実践活用術
・ミケネコの htaccess リファレンス

・IP関連
・韓国 IP アドレスからのパケットを遮断する（ipiptables）
・世界の国別 IPv4 アドレス割り当てリスト
・各国割り当てIP一覧

 

-htaccessが使用できない場合-
無料のレンタルサーバーや、ブログサービスを利用している場合にはhtaccessが使用出来ない場合が多々あります。
が、しかし、最近では、アクセス制限などを設定できるサービスが提供されていたりしますので、それを用いて、リストを参考に制限をかけます。 （※私は使ったことが無いので、どの様な形で制限をかけれるかまでは、詳しく知らないです…。）

 

［事後対応］

■ユーザー： 管理者/閲覧者向け
もし、URLを踏んでしまい、アクセスしてしまった場合。

感染しているかどうか解らない場合には、即座にチェックを掛けた上で、一度、感染していない別機（他にあるPCやゲーム機など） からパスワードなどを変更しましょう。

感染してしまっていた場合、ウィルスを駆除出来るならば、駆除を行い、検出されないその上でか、或いは、その最中に即座に、 感染していない別機（他にあるPCやゲーム機など）からパスワードなどを変更しましょう。

また、間違っても、そのままの状態で行わないこと、なぜなら、もしウィルスが潜在していたら意味が無いからです。
（※この場合、感染状態で変更しても意味がありませんね。）

アンチウィルスソフトを導入して居ない方で、ウィルスチェックを行う場合には、下記オンラインスキャンをご利用下さい。
・Symantec Corp.
シマンテック・セキュリティチェック

・トレンド フレックス セキュリティ
トレンド フレックス セキュリティ : オンラインスキャン

いずれの場合でも、一番確実な方法としては、一度、HDDをフォーマットし、 OSを再インストール/クリーンインストールしてしまう事です。

 

■ユーザー： 管理者向け
厳密には「踏んでしまった」場合ではなく、コメントが投稿された場合。
投稿者のIP、そしてハックサイトのURLは控えておき、その上で削除する形を取りましょう。

これは、後に参照を可能にする為です。

 

［総括］

現在の世の中の様に、これだけインターネットが普及し、誰もが簡単に使用できる…だからこそ、 各個が意識レベルで上げる必要性があります。これは、何も、インターネットに限らず…です。

例え、それが、どんな事であっても、必ず大多数の人にとって「犯罪」というものが存在します。

色々と例がありますね…

存在すればする程、それが何であれ、「モラル」というものが欠落した人なり、組織なりというのは多くなります。

そして世には絶対に「完璧」などというものは存在しません。
それは、所詮、元は「人」が創ったものであるからです。

当然、これは、今回の事にも言える事であって、WindowsUpdateを行っていれば良い…OS、Ver、 アプリケーションを常に最新にしてれば良い…アンチウィルスを導入しているから良い…そういう事ではないんですね。
出来るだけ、それらを併用し、有効活用して「可能な限り、防御する可能性を上げる」ということです。

逆も叱りであって、ウィルス（罠）にも完璧というものはありません。
有れば、皆、それを使っています。

ウィルス（罠）というものは、特定の条件下で発動するもので、その条件というのがupdateの有無であったり、 OSの種類/Verであったり、スクリプトの有無であったり･･･それらの組み合わせであったり。

それを防衛する手段もあれば、それを打破する手段も必ずある。
それを打破する手段もあれば、それを防衛する手段も必ずある。

 

［さいごに］

最後までお読み下さり、本当に有難う御座いました。

また、知り合いの管理者の方などで、htaccessが使える前提になりますが、メンドイ！わからん！欲しい！と言う方がいましたら、 私の使用しているもので宜しければ、制限を掛けている部分のみを反映させたhtaccessファイルをtxt形式で、お渡し致します。

その場合は、コメントでもヴァナtellでも構いませんし、メールでも構いません。