RO TYR鯖のメイス職人ことティーナの日常


by hakkakudo

カテゴリ:注意( 15 )

お願い

コメント欄などへのURL貼り付けはできればご遠慮ください。

最近巧妙な垢ハックが流行しており、当ブログにも過去数度トラックバックに中華産垢ハックURLが貼られていたことがありました。
幸いなことにひっそりと活動しているブログだったことと、休止中だったことから被害はなかったようです。

私自身怪しげなURLが貼られていないかチェックし、問題となりそうなものは削除していくつもりですが、チェックの合間などに被害が出る恐れもありますので、できるだけ当ブログのコメント欄へのURL貼り付けはご遠慮ください。

そして、コメント欄やトラックバックのURLはできるだけ怪しんで下さい

最近当ブログにも垢ハックの疑いが強いリンクが多数貼られるようになっています。見つけ次第削除していますが、コメント欄の名前につけられているリンクは基本的にクリックしないようにしてください。

特にリンク先のURLの拡張子が「.scr」や「.exe」などの場合は垢ハック用のウィルスを実行させようとしていると考えてほぼ間違いありません

垢ハックについて詳しく知りたい方は、カテゴリ「垢ハックとは?」をご覧ください。
[PR]
by hakkakudo | 2013-12-31 23:59 | 注意

ご無沙汰してます

ご無沙汰してます。
ほぼ引退状態のメイス屋です。

運営に嫌気がさしたり飽きたりと色々あり、ほぼ引退状態となってだいぶ経ちました。
完全にMMOをやらない時期もあったり、別のMMOに浮気してたり、色々ありましたが、ここのブログのコメント管理だけは定期的に行っていました。

ただ・・・垢ハック関係なんでしょうね、一時は小康状態だった、どこぞのサイトに飛ばそうとするエロコメントの貼付けが最近増えてきていまして、気がついたら消す、というのも追いついていない状態です。
このままの状態を維持することで垢ハック被害者を出す可能性があるのならば、と考えまして、当分の間はコメントの書き込は承認制にしようと思います。
書き込んでから一週間以上気づかない可能性もありますが、ご了承ください。

ちなみにすっかりROから遠ざかってはいましたが、いまだにアカウントは消されていないようでして、実は手元に何枚も1dayチケが残っていたりします。もちろん期限は切れていませんよ?
最近ぼちぼち、久しぶりにログインしようかなー、と考えていますので、2月中か3月中くらいにメイス屋が昔ながらのTyrの南カプラ前に店を出すと思います。
見かけたらwisでも残してやってくださいませ。

追記:
 コメントを承認制にしたため、1ページ目に表示されている記事以外にコメントを入れてもチェックしませんのでご了承ください。
特に業者のコメントが過去記事にこっそりコメント入れるので無視しています。
[PR]
by hakkakudo | 2010-02-16 21:54 | 注意

生きてます

さてさて、すっかり隠居を化したメイス屋ですが・・・
実はこのブログ、あんまり放置してると垢ハックURLを貼られるので、
たまにメンテして垢ハックコメントを消したりしてますw

そんなわけで一応まだ生きていますw
[PR]
by hakkakudo | 2009-09-14 22:56 | 注意

はい?w

また妙なコメントが張られていたので削除しました。
多分IDやパスを抜き出すためのサイトだと思いますが・・・ちょっと調べてみたらソースコードが結構ごちゃごちゃ書いてあって読む気が失せたので、君子危うきに近寄らずってことでみなさんご注意ください。

c0082952_1818244.jpg

こうしてカーソルを名前のところに持っていくと・・・
c0082952_1819034.jpg

こんなURLが。
※断じてアクセスしようと考えないでください。
ちなみに.plって、私はCGIに使うperl言語のファイルかなぁ、と思ってしまいまして、興味がわいたのでテキストエディタでソースコード抜いて調べてみました。

結論から言って、アウト。黒ですね。
.plってファイルじゃなくて、ポーランドのドメインです。
多分踏み台?
ソースコードを見る限り普通のhtmlですが、その中でjs(Javascript)が外部参照で呼び出してあったり、phpファイルへのリンクが貼られてたり・・・formの名前にautologinとか不穏な単語があるし。
多分IDとパスを盗む類のものですね。
外部参照のjsファイルを解析すればもっとよく解るとは思いますが・・・面倒なのでここまで。

国内ドメインでもそうですが、特に海外ドメインとか見知らぬURLへのリンクは気軽にクリックしないように注意してください。
FirefoxでNo Scriptのアドオン入れてれば結構安全だとは思いますが、私でも警戒してアクセスはしてませんから。
[PR]
by hakkakudo | 2008-11-15 18:38 | 注意
ちょっとネットカフェ利用者の安全確保手段の一例としてキーロガー対策をカテゴリごと作ってみました。
[PR]
by hakkakudo | 2007-05-23 20:30 | 注意
もう日が変わってしまいましたが、5/9はWindowsの定期パッチリリース日です。
少なくともXPではIEの累積セキュリティパッチが出ていますので、是非WindowsUpdateで適用しておきましょう。

Windows Updateのパッチに不具合があったそうです。公式へのリンクを置いておくので対処してください。
Microsoft Update または Windows Update が終了しない
http://support.microsoft.com/kb/937383


恐らく上記の不具合修正なのでしょうが、Windows Updateで緊急パッチがリリースされてます。
[PR]
by hakkakudo | 2007-05-10 00:48 | 注意
ちょっと私の例が悪かったようで、認識が少し違っている方がいましたので、補足します。
私の例を見ると、「txtは今まで安全だったけど、これからはtxtも危険になるんだ」、と誤解される方がいるかもしれません。先に言いますが、それは認識が間違っています。この偽装はどんな形にも応用が利きますので、ファイルの種類を選びません。

「setuptxt.exe」→「setupexe.txt」を例にしましたが、他にもいくつか例を挙げるとすれば以下のような感じでしょうか。
「setup.exe」→「setupexe.」
「setupfdp.exe」→「setupexe.pdf」
「setupiva.exe」→「setupexe.avi」
「setupgpj.exe」→「setupexe.jpg」
「setuppiz.exe」→「setupexe.zip」
「setuplmth.exe」→「setupexe.html」

これらは全てexeファイルのままです。
ウィルスに良く使われる危険なものの代表としてexeファイルを例にしてますが、他にもbat、reg、scr等いろいろあります。騙されても問題がないように対策するか、対策しないのならばファイルを開く前にプロパティでファイルの種類を確認するなど注意することをお勧めします。
[PR]
by hakkakudo | 2007-04-29 20:21 | 注意
はじめに
今更ですが、以前の記事と今回の記事で行っている対策の詳しい説明は今回しますが、対策は自己責任で行う事とさせて下さい。
親しい知人のサポートを実際に現地で行うことまでなら責任もてますが、閲覧している人が増えている関係上そこまでは対処しきれませんので、どうかご了承下さい。
なお、この対策自体は私自身も行っており、動作検証はしています。
不安な方は設定項目について最後に解説をしていますので、納得するまで熟読してください。


まず最初に、結花さんから質問があった、ファイルのプロパティを見るとどうなってるかに答えてしまいましょう。
ファイルの種類の箇所も判断基準になりますが、プロパティのタイトルのところにご注目ください。RLOが効いているので、タイトルもユカイなことになります。
c0082952_092882.jpg


Windows 2000以前の方について
RLOの対応はWindows XP以降で実装された機能のため、Windows 2000以前では偽装ファイルは偽装されずに表示されます。
前記事で実演したファイル名で例を挙げますと、「setupexe.txt」と偽装されていましたが、Windows 2000以前ならば「setup txt.exe」と表示されます。(半角スペースはRLOコードが挿入されているため)
ならWindows 2000以前のが安全じゃないか、などと思わないで下さい。Windows 2000より前は論外ですし、Windows 2000もサポート期間のメインストリームは2005年に終了していて、今年の7月にはWindows Updateでの修正パッチ配布も終了する予定です。
詳細は下記公式サイトにて確認して下さい。
【Windows 2000 のメインストリーム サポートが終了しました】
http://www.microsoft.com/japan/technet/security/secnews/articles/column050727.mspx


※気にされている方がいるので補足します。Windows 2000のサポート自体は2005年から5年間の延長サポートに入っており、2010年7月まではサポートされます。
ただし、Windows 2000の修正パッチは、今年の7月でWindows Updateによる配布が終わる予定であり、今年の7月以降、2010年の7月でサポートが切れるまでの3年は、ダウンロードセンターで適用する必要のある修正パッチを探してダウンロードする必要があります。
そのくらい簡単だと思う方は、下記にダウンロードセンターへのリンクを置きますので、自分のPCへ適用する必要のある修正パッチを探してみてください。PCの素人さんが毎月できる作業ではないと私は思います。
またSP5が出るまで我慢して一気に適用しようとは絶対に考えないでください。SPは4で終了です。
また、月の累積パッチは毎月第2火曜日の翌日の水曜日に出るはずです。緊急パッチに関しては随時でるので毎月第2火曜日の翌日の水曜日にのみパッチを探しに行けば良いというわけでもありません
Microsoft ダウンロードセンター
http://www.microsoft.com/downloads/Search.aspx?displaylang=ja

上記のように自分で探すのは大変でWindows Updateで行いたい人はOSをアップグレードしてください。(VistaにするとROができなくなる可能性大なので注意)

OSのアップグレードを検討する方はWindows XP Professional SP2へのアップグレードをお勧めします。
近くのPCショップでWindows XPアップグレードパッケージを売っていないか店員に相談するのが良いかと思います。

Windows XP Home Edition版の対策
最初に断っておきますが、私の検証できる環境にWindows XP Home Editionはありません。
以前の対策は自分の環境で検証を行った上で書いていますが、こちらは実際の画面が見られるわけではないので、機能的にこのようにすればできるはず、という前提でProfessional Editionでの操作画面を使用して作成しています。
画面の文言等が多少異なる可能性はありますのでご了承下さい。


すみません。m(__)m
多くの人から「グループポリシーオブジェクトエディタがない!」と言う意見をいただきました。
@ITに載っていた情報だったのですが、元ネタ自体がデマだったようです><


そこで、別口からちょっと情報を得まして、もっと直接的な方法をとることにしました。
こちらからRLO.zipというファイルをダウンロードしてください。
このzipファイルには、「RLO.reg」と動作検証用の偽装ファイルの元にした「setuptxt.exe」と「RLO.txt」が入っています。
※偽装ファイル圧縮ファイルにできなかったので修正しました。
RLO.txtを開くと、偽装ファイルを作成するためのRLOコード入りのファイル名がありますので、それをコピーして、「setuptxt.exe」の名前を上書いてください。検証用の偽装ファイルが作成できます。
このRLO.zipファイルを解凍した後、「RLO.reg」をダブルクリックしてください。
下図のような確認画面が出たらOKを押してください。
c0082952_0363712.jpg

それが終わったら、PCを再起動してから、動作検証用の偽装ファイルが実行できないことを確認してください。

なお、本来regファイルやexeファイルは知らない人から受領したものを実行するのは危険なので注意してください。このダウンロードしたファイルをウィルス検索かけても良いですし、ファイルの中を読める人は読んでいただいてもかまいません。

この方法は、XP Professionalでグループポリシーを設定した後、設定内容が反映されたレジストリの値をXP Homeに強引に移植するという方法です。


【対策内容の解説】
自己責任での設定とさせてもらうので、設定内容の説明責任くらいは果たそうと思います。
まずグループポリシーというものについてですが、そのWindowsマシンの様々な設定を行うための仕組みです。本来会社とか学校など多数のPCを管理しなければならない時に、ドメインというグループにPCを登録して、そのグループのポリシーを自動配布することで設定を統一したりするのに使われるのが一般的です。
ドメインで配布されるのはグループポリシーと呼ばれますが、今回設定したのは自分のPC(ローカルコンピュータ)の設定ですので、ローカルコンピュータポリシーと呼ばれます。
今回設定した以外の項目も見てみると解ると思いますが、実に様々な設定ができるようになっており、そのほとんどが「未構成」、つまり機能していない状態になっています。

次にポリシーの設定内容について説明します。
・「コンピュータの構成」
まずポリシーは「コンピュータの構成」と「ユーザーの構成」に分かれていて、似たような設定項目がそれぞれにあります。「ユーザーの構成」はドメインというグループに参加した時に、ログインするユーザー単位でポリシーの設定を変えたりするのに使われることが一般的で、「コンピュータの構成」はコンピュータ単位でポリシーの設定をする項目です。
今回はローカルコンピュータですので、同じ項目がある場合ならどちらを設定しても有効になりますが、コンピュータ自身の詳細な設定となると「コンピュータの構成」の方が設定項目が多く、今回の設定項目は「コンピュータの構成」にしかありません。
なお、「コンピュータの構成」は設定後にPCを再起動しないと設定が反映されませんが、「ユーザーの構成」はログインするときに反映されるので、ログオフしてログインしなおすと反映されます。

・「Windowsの設定」
「コンピュータの構成」の下には「ソフトウェアの設定」「Windowsの設定」「管理用テンプレート」の3種類があります。特に管理用テンプレートには様々な設定がありますが、普通の人は見ても「なんのこっちゃ???」となるかと思います。ここはあくまで分類の項目で、今回の設定は「Windowsの設定」に存在します。

・「セキュリティの設定」
「Windowsの設定」の下には「スクリプト」と「セキュリティの設定」があるかと思います。「スクリプト」にはスタートアップスクリプトとシャットダウンスクリプトがあり、Windowsを起動したときに自動実行させたいプログラムを登録したり、Windowsをシャットダウンした時に、PCが終了する前に自動実行させたいプログラムが登録できたりします。「セキュリティの設定」は名前の通りなので説明は不要でしょう。

・「ソフトウェア制限のポリシー」
「セキュリティの設定」の下の項目は、正直少々難しい項目が並んでいます。興味があったら覗いてみるのもいいかもしれません。今回は「ソフトウェア制限のポリシー」を利用します。

・「追加の規則」
「ソフトウェア制限のポリシー」の下は、扱いを間違えると結構危険です。興味がある項目は右クリックしてプロパティを見ると説明が書いてあったりもしますが、よく解らないものには触れないことをお勧めします。今回はRLOを含むファイルを実行させない設定をするために「追加の規則」にルールを追加することになります。

・「新しいパスの規則」
ここで特定のソフトウェアの実行の可否を設定します。パスというのは、「C:\Documents and Settings\My Documents」など、ドライブ名から特定のフォルダまでを指定するものと考えてください。ここに元からある%で始まる項目は絶対に削除などしないでください。ここでは*をワイルドカードとして使用できます。ワイルドカードとは「何でもいい」という意味です。
例えば、有名なものとしてWinnyを引き合いに出して説明しますが、パスとして「*winny*」と入力して許可しないように設定した場合、次のようなwinnyという文字をパスに含む物は起動が禁止されます。
「E:\Winny\wi.exe」
「D:\winnyp.exe」
「Z:\program\sharefiles\win\Winny.exe」
また「*winny.exe」と入力して許可しないように設定すると、前半部分にしかワイルドカードが使用されていないので、先ほどの3パターンだと以下のような結果になります。
「E:\Winny\wi.exe」(起動できる)
「D:\winnyp.exe」(起動できる)
「Z:\program\sharefiles\win\Winny.exe」(起動禁止)

今回の設定は「* *」となっていて、半角スペースに見える部分はRLOコードですので、RLOコードを含むパスのソフトは起動禁止になるというわけです。ここで気をつけたいのは、ちゃんと手順に沿ってメモ帳でRLOを挿入した文字列をコピーして、それを貼り付けないといけない点です。「半角スペースに見えるから」と半角スペースの手入力した「* *」を登録してしまうと、少なくとも「Program Files」の下にあるソフトウェアは全て起動できなくなったりします。
[PR]
by hakkakudo | 2007-04-27 00:16 | 注意
Slashdotで話題になっていたので、RLOによるファイルの拡張子偽装について解説+対策を行おうと思います。
なお、解説が理解できなかった人は、今後のウィルス対策になるので、対策に書いてある通りの操作をして、セキュリティを高めてください。貴方のPCを守るのは貴方なのですから。

最初に忠告しますが、ここに記載している内容でRLOの検証及び対策が行えるのはWindows XP以降のOSを使っている人のみです。XPより前のOSを使っている人は、すでにMicrosoftのサポートも切れているので、XPなどにアップグレードすることをお勧めします。
ただなにも対策できないのでは困るので、途中で記載する方法で拡張子の偽装を見分けてください。
※Windows XP Home Editionでは下記の設定はそのままではできません。次回の記事にやり方を説明しますので、少しお待ちください><

まずRLOとは、文字コード「Unicode」で右から表記する文化圏の人に対応するために実装されている機能です。これを入れた文章は、RLOを挿入された後が全て右から左へ文字の向きが入れ替わります。
では実際に見てみましょう。

①setup.txtというテキストファイルをLhazで圧縮し、setuptxt.exeというファイルを作りました。
c0082952_0422382.jpg

②次にメモ帳を起動して、「setuptxt.exe」と記入した後、upとtxtの間にカーソルを合わせて右クリックし、RLOを挿入します。
c0082952_0205656.jpg

③「setup txt.exe」となった文字列をコピーして、「setuptxt.exe」をコピーして作ったファイルの名前に貼り付けます。
c0082952_0224298.jpg

ご覧の通り、ファイル名は「setupexe.txt」と最後がtxtとなっているのに、上のsetup.txtと違ってファイルの種類がテキストファイルではなく、「アプリケーション」という種類になっています。ここで行った例は、本来exe(アプリケーション)ファイルなのに、見た目のファイル名はtxtファイルに偽装できたことを意味しています。
Windows XP以前の方は、この方法で判別して実行しないように注意してください。

対策
①メモ帳を起動し、「**」と入力し、**の間にRLOを挿入してください。
c0082952_0253744.jpg

②「* *」となっている文字列をコピーしてください。
※必ずコピーしてください!「**」の間にあるのは半角スペースではありません。文字コードが入っています。
c0082952_0262914.jpg

③スタートメニューから、「ファイル名を指定して実行」を起動し、「gpedit.msc」と入力してOKを押してください。
c0082952_027259.jpg

④「グループポリシー」が起動するので、「ローカルコンピュータポリシー」→「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ソフトウェア制限のポリシー」を選択してください。下図と同じメッセージが表示されたら、「ソフトウェア制限のポリシー」で右クリックして、「新しいポリシーの作成」を押してください。
c0082952_029525.jpg

⑤画面右側の「追加の規制」を右クリックし、「新しいパスの規則」を選択してください。
c0082952_0305560.jpg

⑥新しいパスの規則の「パス」に、②でコピーした内容を「Ctrl+v」キーで貼り付け、「セキュリティレベル」が「許可しない」になっていることを確認して、OKボタンを押してください。
c0082952_0324516.jpg

⑦設定は終わりです。開いている「グループポリシー」を閉じてください。

この状態で先ほどのsetupexe.txtを実行すると・・・ちゃんと弾かれていますね。
c0082952_034520.jpg


SlashdotではWinnyを引き合いに出していますが、この偽装はUnicodeが使える環境ならどこでも流通します。メールに偽装されたウィルスが送られてきたり、ネット上にあるファイルが偽装されている可能性もあります。是非対策をするようにお勧めします。
[PR]
by hakkakudo | 2007-04-24 00:37 | 注意

垢ハックコメント対策

まずは、結花さん、垢ハックコメントが書き込まれるたびに注意コメント書いてくださってありがとうございます。
今度はautomouseですか・・・。
c0082952_2349260.jpg

黙って消すだけなのは私らしくないので、さくっと調べてみました。
whoisでautomouseを調べてみると・・・なめてるとしか思えない。
[Name] whois
[Email] whois@whois.ne.jp
[Email] webmaster@whois.ne.jp
[Email] puff@whois.co.kr

尻尾が残ってますね。
kr、韓国のドメインです。つまりはautomouse開設者は韓国人と言っても良いかな。
とりあえず他人の物を盗むことばかり考えてる屑は消えてください。

あぁ、そうそう、私独自の判断基準ですが、コメント欄でURLと思われる書き込みは禁止にしましたので、よろしくお願いします。
[PR]
by hakkakudo | 2007-04-23 23:55 | 注意