niftyに偽装した悪意のあるサイトが登場 70
ストーリー by mhatta
気を付けよう 部門より
気を付けよう 部門より
hylom 曰く、
「www.homepage3-nifty.com」という、niftyに偽装したサイトが登場した。
このサイト、一見niftyのサイトに見えるのだが、よく見ると分かるとおり実はniftyとまったく関連はない。さまざまな掲示板やコメントスパムなどで、安全なサイトへのリンクに見せかけ、スクリプトを仕込んだ下記などのページに誘導する手口のようだ。
※下記のURLのページには悪意のあるスクリプトが含まれているため、ご注意を。なお、含まれているスクリプトはXMLHTTPと呼ばれるXMLでデータを受け渡す機構を使い、悪意のある(?)プログラムをローカルにダウンロードして実行するというもののようだ(スクリプト全文はこちら)。http://www.homepage3-nifty.com/online/
Googleで件のサイトを検索してみたところ、オンラインゲーム系やアダルト系だけでなく、一般の掲示板やブログへのスパムコメントなどでも巧妙に誘導が謀られている例もあった。
皆様、リンクを辿る際はリンク先URLにご注意を。
w3mで見たら、 (スコア:5, おもしろおかしい)
<head>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title></title>
</head>
<body bgcolor="#9CCCFF" topmargin="80" leftmargin="0">
<p align="center"><img border="0" src="img.gif" width="0" height="0"></p>
<iframe src="httP://www.homepage3-nifty.com/online/admin.htm" name="zhu" width="0" height="0" frameborder="0"></body>
</html>
しか見えませんでした。
つまんねーの(違
「怪しいURLは踏むな」は有効だろうか (スコア:5, すばらしい洞察)
「怪しいリンクはクリックしてはいけない」という注意はおそらく(随分前から)有効では無くて、「怪しいリンクをクリックしても大丈夫なよう対策しておきましょう」でないと最早安全とは言えないということなのだろうな、と改めて思います。
#上のリスト中、homepage3-nifty以外は全部本物です。でもココログのURLって怪しいっすよね(苦笑)
Re:「怪しいURLは踏むな」は有効だろうか (スコア:2, おもしろおかしい)
違う意味で怪しいURL
typoで怪しいサイトを踏む可能性も (スコア:1)
モデレータは基本役立たずなの気にしてないよ
「homepage3-nifty.com」をwhoisで検索するとどうなんだろう? (スコア:4, 興味深い)
よくよく考えると「登記簿」みたいなものだと思うけど...。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:「homepage3-nifty.com」をwhoisで検索するとどうなんだろう? (スコア:1, 参考になる)
結論付けられていますね。
'gemnnammobbs.com', // by lin zhiqiang (mail at pcinc.cn)
'homepage3-nifty.com', // by lin zhiqiang (mail at pcinc.cn)
'ragnaroklink.com', // by lin zhiqiang (mail at pcinc.cn)
mail at pcinc.cn は www.pcinc.cn の連絡先として
www.pcinc.cn の最下段にも記されています。
そして 'pcinc.cn' は by Lin Zhi Qiang (lin80 at 21cn.com)
※漢字名の読み仮名
少なくとも本件については、
(同じ手口に見える)グループを検索できますよ。
#MMORPG系の危険リンク集をあされば
#他にも見つかりそうなのでhenoheno
いくら警告しても…… (スコア:3, おもしろおかしい)
こういうことをちゃんと書いておいても、
「『ご注意を。』なんて書いてあるからクリックしたらパソコンが壊れたじゃないか!(怒」
なんて言って怒鳴り込む奴がいるんだよなぁ。(´ー`)y-~~~
スラッシュドットに偽装URLをたれ込める脆弱性が発見される (スコア:2, おもしろおかしい)
悪意のある人が自分で偽装サイトを構築して、
「○○という偽装サイトが発見された。怖いですね」
と書くことで、いろんな人が訪れてしまい、
中には引っかかる人も出てくる、という攻撃はどうでしょうね。
/K
Re:スラッシュドットに偽装URLをたれ込める脆弱性が発見される (スコア:1)
今となっては極めて古典的なソーシャルハッキングの手法ではないかと(;´Д`)
Re:スラッシュドットに偽装URLをたれ込める脆弱性が発見される (スコア:1)
/K
Re:スラッシュドットに偽装URLをたれ込める脆弱性が発見される (スコア:2)
Re:スラッシュドットに偽装URLをたれ込める脆弱性が発見される (スコア:1)
ふむ…確かに「新しい」と言うか編集者の所で水際防御可能ではありますね、理論的には
…と言うことは、逆に、編集者の誰がいつ、どこで、なにをやっているかだけでなく、個人情報まで抜けるというさらに新しいメソッドが Σ( ̄□ ̄;)!!
TLD (スコア:3, 参考になる)
でも、ドメインとしてはちょっと古風というか、Blog に使うにはかっこ悪いって言われてしまうのかな。
goo.co.jp?
ああ、そんなのもあったね……。
.co.jp に似せた例 (スコア:2, 興味深い)
「example.co.jp を取得したかったが、すでに取られていたので『example-co.jp』とか『exampleco.jp』を取得した」という例はいっぱいあるようです。汎用jp ドメイン (.jp) が誰でも簡単に取れるので、「co.jp だと安全」とも言いにくいですね。その TLD 全体で、任意のドメインを取りにくくしておかないと。
# .mil なんかがその1つか?
Re:TLD (スコア:1, 参考になる)
> ああ、そんなのもあったね……。
goo.ne.jp が後発なわけで、今回の件とは関係ないかと。
NTT-X (現 NTTレゾナント [nttr.co.jp]) のようなドメインゴロがのさばる現状はおおいに問題ありですが。
IEの脆弱性? (スコア:2, すばらしい洞察)
そもそもこんなものが CreateObject できてしまうことが脆弱性なのか…
非常に簡単な手法で、ページを閲覧するだけで任意のプログラムをダウンロードして実行させることができるため、このスクリプトが本当に動くなら危険すぎです。
Micorosoftの告知はどれなんだろう…、微妙に違うのしか見当たらない。
2004年の脆弱性かな? was:IEの脆弱性? (スコア:2, 参考になる)
なんとなく下記の脆弱性を利用しているような気がします。
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014) [microsoft.com]
現在検証環境が手近に存在しないので確認できませんが・・・
サブジェクト間違えたorz was:2004年の脆弱性かな? (スコア:1)
ADODB.Streamって文字で最初に出たのがここら辺だった [neohapsis.com]もので・・・
# プレビューしてサブジェクトを確認し忘れなのはどうかと思うので自戒を込めてIDで。
Re:IEの脆弱性? (スコア:1, すばらしい洞察)
Web 2.0自体の脆弱性では?(Re:IEの脆弱性?) (スコア:1)
WEBブラウザの世界が、今もてはやされているWeb 2.0、特にAJAXやSpiderMoknkey(でよかったでしたっけ?)のように、相手のサーバ上に置かれたスクリプトを読み込んで解釈する事で色々なギミックを行えるような方向で発展していく以上は、こういう偽装ドメインやブラウザのコード実行機能とのコンボで突撃をかけるというのはいづれ表に出てくる物では無かったでしょうかね。
実際、やりかたと言うか根本にある考えとしては重要そうに偽装された電子メールに添付されたWordなどの文書を開くと中のワームが悪さをしていた時期の「それ」と変わらないと思いますし…目新しい所があるとすれば、Webでセッションを張った直後に外部サーバから攻撃コードを自力で読み込むというように、WWWブラウジングや上接続可能なインフラを逆手にとっているのでわかりにくくなっている程度ではないかと。
結局、攻撃の狼煙をあげるための媒体と言うか実行環境がWEBブラウザのスクリプト実行環境になっただけで、目新しい部分は無いです。それですら少し前ならばJavaScript+(ActiveX|Javaアプレット)で出来たことでしょうね。
どちらかというと、Web 2.0と言う風に呼ばれている技術の中で多く使われているような要素を悪用して、攻撃されているのをわかりにくく隠蔽する事が簡単にできてしまっている訳で、Web 2.0のアーキテクチャ自体の根本的な問題だと思いますよ。
今のように、何でもブラウザで出来てブラウザ自体スクリプトで機能拡張できるような便利さを取るべきか、完璧な安全性に舵を取りなおすためにスクリプト実行環境を撤廃同然にすべきか…悩ましい所です。
# まーどっちもあればいいんでしょうけどね。ブラウザの設定で実行の可否を決める程度では、
# ブラウザ自体のバグを突破される可能性を考えると無意味な状況ではないかと。
Re:Web 2.0自体の脆弱性では?(Re:IEの脆弱性?) (スコア:2, すばらしい洞察)
と書いておきながら、
というのを読むと、 Web 2.0 という言葉で何を指しているのかよくわからないのですが、 JavaScript も ActiveX も、 Netscape Navigator の「新機能」だったプラグインも、すべてサーバーからコードをダウンロードして実行する仕組みです。細部は違えども、サーバーからコードをダウンロードして実行する仕組み自体は最近出てきたわけではありません。
コードをサーバーからダウンロードして実行するのは、素朴に考えればもちろん危険です。でも、それが便利だからこそ、ブラウザーのメーカーはどうやって安全性を確保しながら同じ目的を実現するかということに知恵を絞ってきたのだと思います。その結果、ブラウザーのバグがセキュリティー上問題になるかどうかによって大きく扱いを変えるという常識を生んだし、独自のプラグインや ActiveX コントロールよりも Flash Player など有名な ActiveX コントロールと JavaScript の組合せに移行してきたのだと思います。コードをダウンロード・実行するのを否定することは、 Web 1.0 の時代ではなくプラグインもない Mosaic ブラウザーの時代に逆戻りすることだと思います。
便利さと安全性を対立するものだと捉えて、安全性を選んで便利さを捨てようと考える人がいてもかまいません。一般に便利さと安全性が対立する場面というのはよくありますし。でも僕はこの件に関しては、便利さと安全性を両立させようという努力が既にかなりの成果を挙げてきたと思っていますし、今後もその努力を続けるほうに将来性を感じます。
niftyに偽装? (スコア:2, すばらしい洞察)
「niftyに偽装」というより「niftyユーザーのサイトに偽装」というのが正しいのでは?
というか、「homepage3.nifty.comなら安心」という根拠もない気がしますが。
Re:niftyに偽装? (スコア:1, 参考になる)
"homepage3-nifty.com"に怒鳴り込むと有効メアドゲットさせるだけ。
この差は大きい。
Re:niftyに偽装? (スコア:2, すばらしい洞察)
そうではなくて、 nifty に怒鳴り込んでも解決しないところが怖いのだと思います。
怒鳴り込まれることはしていないはずの @homepage ユーザーより。
危険だな。 (スコア:2, すばらしい洞察)
・ここにウイルスがあるため、ご注意を。
・ここに個人情報が掲載されているため、ご注意を。
・ここに死体写真があるため、ご注意を。
・ここに裸の写真があるため、ご注意を。
などなど結局アクセスすると思うんだけどな。
Re:危険だな。 (スコア:2, 興味深い)
spam だと、最近では、
これが一番強力に魅力的でした。マジでクリックしそうになった。
Re:危険だな。 (スコア:1, すばらしい洞察)
これは嬉々としてアクセスするでしょうねw
Re:危険だな。 (スコア:1, すばらしい洞察)
対象の年齢も性別も、生死も、いや人間かどうかも書いてないぞ!!
期待が高いほど、ダメージが大きいと思う。
Re:危険だな。 (スコア:1)
Re:危険だな。 (スコア:1)
実際サイトをわざわざ用意しなくてもそこいらの動画アップローダ使ってその手のスナッフィングビデオでも置いて、そこにリンクはるだけでも、(すぐに消されると仮定しても)嫌がらせには十分使えるんじゃないですかね。
# なんともはや、便利な時代(~_~;)しかし、思考や思想の多様性を許容する以上はこの手の「嫌がらせ」を
# 許容する程度は、自由や多様性を保つ上で必要最小限支払わなければならない対価な訳で…(;´Д`)
水色一色 (スコア:1, おもしろおかしい)
Re:水色一色 (スコア:1, すばらしい洞察)
仕方ありません。
#中のサービスもグダグダな話聞くけど
#ドメインもなんとかした方が…
Re:水色一色 (スコア:5, おもしろおかしい)
あのパソ通時代のつながらない感を忠実に再現しています。
Re:水色一色 (スコア:2, 参考になる)
と書こうと思ったら、両方とも既に誰かが取っていました。
Re:水色一色 (スコア:1)
なんでわざわざ別ドメインにしたんだろうね。nifty.com のサブドメインでよかろうに。
(ドメイン名を押さえて塩漬けにしておけばよいだけのはなし)
Re:水色一色 (スコア:3, 参考になる)
主だった調査結果 (スコア:1)
http://www.aguse.net/result1.php?url=http%3A%2F%2Fwww.homepage3-nifty.... [aguse.net]
またこいつは非有害認定をしあがった
http://so.7walker.net/index.php?http%3A%2F%2Fwww.homepage3-nifty.com%2... [7walker.net]
http://so.7walker.net/index.php?httP%3A%2F%2Fwww.homepage3-nifty.com%2... [7walker.net]
一応有害認定されてます。
紛らわしいドメイン名 (スコア:0)
剥奪以前に、与えられないようにしてもらいたいものだが…
Re:紛らわしいドメイン名 (スコア:5, 参考になる)
で、VMware使って実際にそのサイトにアクセスしてみた。(パーソナル・ファイアーウォールやアンチウイルス・ソフトを
併用した上でのテストなので、怖いもの見たさで自分で試すときは注意してほしい)
いきなり中国語の言語パックをインストールするかどうかIEからのメッセージが出たのでキャンセルすると青バックの
画面だけで何も表示されない。
青バック画面のソースは下記のとおり。
content="zh-cn" とか、charset=gb2312 とか、 name="zhu" とかあるから中国人/中国人留学生の作のようだ。
<html>
<head>
<meta http-equiv="Content-Language" content="zh-cn">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title></title>
</head>
<body bgcolor="#9CCCFF" topmargin="80" leftmargin="0">
<p align="center"><img border="0" src="img.gif" width="0" height="0"></p>
<iframe src="httP://www.homepage3-nifty.com/online/admin.htm" name="zhu" width="0" height="0" frameborder="0"></body>
</html>
Re:紛らわしいドメイン名 (スコア:5, 参考になる)
Domain Name ..................... homepage3-nifty.com
Name Server ..................... ns1.dnsfamily.com
ns2.dnsfamily.com
Registrant ID ................... hc343410609-cn
Registrant Name ................. lin zhiqiang
Registrant Organization ......... zhiqiang lin
Registrant Address .............. fujian longyan
Registrant City ................. longyan
Registrant Province/State ....... fujian
Registrant Postal Code .......... 364000
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.05973289053 -
Registrant Fax .................. +86.05973289053 -
Registrant Email ................ mail@pcinc.cn
長いので省略
Re:紛らわしいドメイン名 (スコア:5, 参考になる)
実験用に飼っているので全くセキュリティパッチは当てていません。
するとブルーバックの画面が表示されたのでしばらく待ってみたところ、ホスト側(WinXP)のNOD32(2.7)のIMONが反応しました。
NOD32の報告によるとWin32/PSW.MaranというTrojanの亜種をインストールしようとしてきたようです。
ファイル名は/svch.exe
ググってみたところTR/PSW.Maran.G.5 [avira.com]
の情報が引っかかりました。
これと同系統なTrojanの亜種とすると情報を送信するオーソドックスなタイプのTrojanのようです。
Re:紛らわしいドメイン名 (スコア:2, すばらしい洞察)
審査に何ヶ月もかかってしまう恐れがありますよ?
goo.ne.jpとgoo.co.jpの紛争にあるようなドメイン取得の
後先と商標の問題とかからんでくると、事前審査なんてのは
夢物語というか……
Re:紛らわしいドメイン名 (スコア:3, 興味深い)
たとえばdotslashというのが欲しい人には
1. slashdotをネタにした(本物の)ジョークサイトを作る
2. ./という(まっとうな)会社・団体がサイトを作る
3. slashdotをネタにしたジョークサイトを騙った悪意のあるサイトを作る
などなどいろんな事情があると思うんですが、それらを勘案できるかな?
具体的な例 (スコア:2, 参考になる)
>2. ./という(まっとうな)会社・団体がサイトを作る
たとえばintelと一文字違いの、いかにもなこの『怪しい会社』はどうでしょう?
http://www.inte.co.jp/ [inte.co.jp]
http://www.intel.co.jp/ [intel.co.jp]:本物(?)はこっち。
Mike Rowe君のMikerowesoft.com騒ぎもありましたね。
「MikeRoweSoft.com」は著作権侵害?--マイクロソフト、17歳の少年を非難 [cnet.com]
株式会社ACCESS [access.co.jp]と日本アクセス [nippon-access.co.jp]なんて例もある。
Re:具体的な例 (スコア:1, 参考になる)
バッファローのサイトのメルコ時代のドメインが www.melcoinc.co.jp
というのもありましたね。
バッファローの製品情報が見たかったのに三菱電機が表示されたときは
釈然としないものを感じました。
おめでたい。 (スコア:1)
Re:紛らわしいドメイン名 (スコア:1)
Re:紛らわしいドメイン名 (スコア:1)
会社とか団体とかでこういうサービスに登録しとくといいんじゃないですかね./.だったら"slashdot"とか"dotslash"とか"slash-dot"とかで引っ掛ける,とか.
#でもサービスのページ [domaintools.com]を見てみたら.jpは対象外か
カスペルスキーでは (スコア:0)
まったくよく出来てますね。
ちなみに (スコア:0)
注意されたし