《FC2》ブログ、テンプレ書き換えでスパイウェア

《eXcite》ブログに、Javascriptもiframeも解禁してしまえ、と、要求をしている方たちに、他山の石としてでも知っておいてほしい話がある。
 2008年3月末現在、《FC2》ブログに、iframeやjavascriptを使って、スパイウェアが仕込まれるケースが、複数、報告されている



 これは、これまで何度かあったような、「悪意のブロガー」が《FC2》ブログを開設してそこに……、という話ではない。「善意のブロガー」が開設したブログのテンプレートが書き換えられているのだ。
 当初、ブログ管理者が他でスパイウェアを仕込まれてパスを盗られたか、「総当り」ソフトを使ってパスを割り出したかでは?と考える人が(私を含めて)多かったのだが。被害が《FC2》に集中していることもあって、ブログシステム自体に脆弱性があるのでは?という意見もでてきた。

 書き換えが行なわれているのは、ブログテンプレートである模様(《eXcite》でいうブログスキン)。
 今回の「被害」は、ゲームブログに集中しており、仕込まれているスパイウェアももっぱらゲームのパスワードを盗用するために使われているらしい。というとゲームのなかのコトだけのようだが、RMT(リアルマネートレーディング)といって、ゲーム内のアイテムや金を、現実の金銭で取引する人たちがいる。このスパイウェアの仕掛け手は、RMT業者だというのが定説のようだ。
 ただし、同じ手法がクレジットカードのパス盗用にも「応用」されるようになると、誰にとってもリスクは身近なものになるだろう。

 業者にしたところで、ブログのセキュリティを解析し、スパイウェアを仕込むには、それなりの技術と手間と時間がかかる。《FC2》がiframeやjavascriptを使えないブログであったなら、セキュリティの穴を「探す」だけの価値は発生しなかったのではないのだろうか。

 《eXcite》ブログに対して、Javascriptやiframeの解禁を要求する方たちがいったい何をしたくて要求なさっているのかは存じ上げないが、こういう「可能性」が存在することも、ぜひ、知っておいていただきたい。
 全部のブログが《eXcite》のようであってほしいとまでは言わないが、初心者が安心して簡単に使えるブログはあってもいいと思う。

 なお、「善意のブロガーが開設したブログ」が書き換えられているのは、現在、私が知る範囲では、《FC2》のみ。ただし、「悪意のブロガー」がブログを開設して、というパターンであれば、スパイウェアを仕込みうるブログシステムは《FC2》だけではない。《surpara》ブログですでに報告があるようだし、《NINJA》《JUGEM》《Autopage》などiframeやjavascriptが使えるブログであればどこでも可能性がある。
 知らないブログからのトラックバックは、安易にたどってはいけない……という侘しい時代に突入している。


……《FC2》で知って、1週間は待ったのデス。でも対策の輪郭が見えてこないので、こっちで記事にしました。

対策として:『ソースチェッカーオンライン
アクセスする前にリンク先について知ることのできるサイトより

aguse
http://www.aguse.jp/
[PR]
by as-o2 | 2008-03-31 12:16 | ブログそれぞれ | Comments(5)
Commented by at 2008-04-01 01:13 x
はじめまして、もうずっとこちらにお邪魔させていただいてる南と申します。
ごはんの記事もPCの話も面白く読ませてもらってます。

まさかこんな記事が、ゲームと無関係のブログさんでまで話になるとは思っていませんでした。
実際ゲームをしない方にとっては、実感もわかないしたかがゲーム、という感じだろうなあと思います。
RMTの業者の中には、クレジットカードを使って詐欺のようなことをするところもあります。
それを使ってゲーム内のものを溜め、実際のお金で売るんですね。
(ゲームするのにお金が必要な場合、それを不正なクレジットカードを使って登録する。でも支払いはされないので、運営会社にダメージ)
こういうやり方は廃れてしまいましたが、悪質な業者はこれくらいしちゃうので、実際クレジットカードの番号やパスなんかに、このブログ改ざんが使われてしまうと、すごく怖いです。
wikiでも書き換えでスパイウェアをDLするサイトにリンクがはられていたとかもあります。
Commented by at 2008-04-01 01:13 x
続きです→
exciteはスクリプトが使えなかったり、一部タグも禁止なので見栄えや使い勝手を考えると不便なこともありますが、改ざんされたりしないだろう、という安心があります。
それでも普通のブロガーの内容をコピーして、画像やリンクをクリックすると危険なサイトだった、というものはexciteでもありましたけども…
私はexciteには動作が軽くなってくれたら良いなあ、という希望はあります。
でも、スクリプトやフレームなどの解禁はしないでほしいと思っています。

では失礼します。長くてすみません…
Commented by as-o2 at 2008-04-01 12:29
南さん、いらっしゃいませ。
>ゲームと無関係のブログさん
えーと^^;、わたくしは元ゲーマーですw。オンラインゲームに3つくらいはまりました。ただ、ゲーム機ゲーム(向こう側に人間がいない奴)にはあまり関心がないみたいです。
ただ今回の手法そのものは、ゲーマーに限定したリスクではないですよね。

でもまあ、ある人(ゲーマー)に言われたんですが、「一番安全なのは、ネットに繋がないこと」だと。
家を出ないでいれば交通事故にはあわない、でも「楽しいかい?」
って、根本的な問いかけは常にそこへ戻るンだと思います。……リスクに見合う「なにか」があるかどうか。

スクリプトやインラインフレームを解禁しなくても……、乱暴な言い方をすれば「よそから何かを借りる」機能をもたなくても、自分のコンテンツに自信のあるブロガーなら《eXcite》で充分楽しめると思うんですが^^
Commented by jemini-web at 2008-04-03 02:17
iframeを使うと言うと、MPACK系のマルウェアなんでしょうかね?
MPACKの攻撃はどうやらSSHサーバへのパスワードの総当たり攻撃ではないかと見られているようです。
...SSHサーバとはなんぞや、なんてオイラもよく解ってないですけどね(汗;)
まあ簡単に解釈すれば、「ブログシステム自体の脆弱性」というより、「FC2のセキュリティが甘かった」可能性が高いんじゃないか、とまあそんな感じ。
ooooo://journal.mycom.co.jp/articles/2007/08/06/mpack/index.html

徐々に日本でもマルウェアの攻撃が巧妙化して来てますね。
こういうのとか↓
oooo://www.itmedia.co.jp/enterprise/articles/0803/27/news104.html

その割に、結構ユーザーの意識って高まってないのが現状のような気がします。(特にMacユーザーの人に安全神話を信じてる人が多いような...)
Commented by as-o2 at 2008-04-03 12:25
jeminiさん、あまりのコワさに一瞬コメントを消そうかと思ったのですが、リンク先自体がオープン情報なんだから私がガクブルしてもしょうがないと気づきました。ミ゚。゚;彡

某掲示板が管理パスを抜かれまして、スレッドを何百か消されたことがありました。私が巡回している板は無事だったのですが、若い(小~高校生)方たちが小説を連載していたスレッドが大量に落ちて可哀想だった。ああいうのも何やらツール使うンでしょうねぃ。。。。