広告ネットワーク経由でniconicoにマルウェアへのリンクが表示される 61
ストーリー by hylom
誘導先のドメインを確認しましょう 部門より
誘導先のドメインを確認しましょう 部門より
ニコニコ動画などのniconicoサービス内に、FlashPlayerの更新を促す通知に見せかけたアラートが表示され、マルウェアのダウンロードサイトに誘導するという事件が発生していた模様(ニコニコインフォ)。
原因はマイクロアド社の提供する広告ネットワークで配信された広告に悪意のあるスクリプトが含まれていたためだという(マイクロアドの発表)。
広告ネットワーク経由でのマルウェア配布は以前からたびたび発生しており、以前スラッシュドットでもマイクロアド社の提供する広告サーバー経由で不明なサイトへの誘導が行われる事件が発生していた(過去記事)。
どういう方法で誘導していたかなどはこちらの記事が詳しいです (スコア:4, 参考になる)
http://peercast.net/archives/2014_niconico_flash_player_fishing.html [peercast.net]
どこに接続しようとしているのか、他のサイトでも発生しているのか、アンチウイルスソフトの対応状況などが書いてあります。
2010年にもやらかしてるんだけど (スコア:3, 参考になる)
この会社には学習という概念がないんですかね...
マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑い
http://www.itmedia.co.jp/news/articles/1009/27/news029.html [itmedia.co.jp]
Re:2010年にもやらかしてるんだけど (スコア:1)
その事件以来、hostsでブロックしてます。
(昨日からunboundのlocal-zoneでやってみてる)
#adblockは重いから嫌い。
Re: (スコア:0)
hostsで当該fqdnに対し、ダミーのIPアドレスを返すようにしてるの?
どうやってるのか興味があります。
Re:2010年にもやらかしてるんだけど (スコア:1)
hostsには
0.0.0.0 adf.send.microad.jp
0.0.0.0 cache.microad.jp
0.0.0.0 ld.send.microad.jp
0.0.0.0 vsc.send.microad.jp
と書いていた。目についたやつをとりあえず登録してただけだから、これで全部弾けてたかどうかは分からない。
127.0.0.1じゃないのは特に意味はないです。
unboundでは
local-zone: "microad.jp." redirect
local-data: "microad.jp 10800 IN A 0.0.0.0"
local-zone: "microad.co.jp." redirect
local-data: "microad.co.jp 10800 IN A 0.0.0.0"
って書いてる。.co.jpのほうはとりあえず入れてみた。どうせ見に行かないし。
これでサブドメインにも0.0.0.0が返ってきてると思う。一応digで確認はしたけど。
Re: (スコア:0)
> 127.0.0.1じゃないのは特に意味はないです。
むしろここで127.0.0.1にする意味がわからない。あなたがローカルにサーバを立てていたら、あなたが信用していないマイクロアド社は(未登録のサブドメインから)あなたのローカサーバーへアクセスし放題になるってことだよ。0.0.0.0のようにアクセスできないIPアドレスが正解。
Re: (スコア:0)
え、ならないだろ?
Re: (スコア:0)
なるよ。Same origin policyはドメイン名が基準であって、そのドメイン名がどのようなIPアドレスに解決されるかは一切関係ないから。だからDNS rebindingのような攻撃も成り立つ。これは自らDNS rebinding攻撃を受けたときと同じ状態を24時間作り出しているようなもの。
Re: (スコア:0)
local-zone: "microad.jp." redirect
は
local-zone: "microad.jp." static
の方がいいってこと?
で、local-dataは記述せず、何も返さない?
Re:2010年にもやらかしてるんだけど (スコア:3)
「Same-Origin Policy」でいう「Origin」は、サブドメインの違いを見ます。
即ち、a.example.com と b.example.com は、異なるOriginであり、Same-Origin Policyの下では、互いにアクセスできません。
b.example.com が閲覧者によって 127.0.0.1 に振り向けられているとして、これは a.example.com から見て、127.0.0.1 にIPアドレス指定でアクセスしようとするのと変わらないということですね。
もっというと、サブドメインが違ってもアクセスでき、ドメイン管理者に悪意があるという前提なら、閲覧者が 127.0.0.1 に振り向けるのを待つまでもなく、管理者がc.example.com を用意し、これを 127.0.0.1 に振り向ければ済んでしまいます。
現状はこれができないから、DNS rebindingとして、ホスト名(FQDN)は同じままでIPアドレスだけ時限的に変える手法が用いられているわけでしょう。
参考
RFC 6454 - The Web Origin Concept [ietf.org]
The Web Origin Concept [ipa.go.jp](IPAによる日本語訳)
Re: (スコア:0)
staticだけ記述してDNS応答をNXDOMAINにしておいたほうが余計な通信を始めない
Re: (スコア:0)
ひょっとして127.0.0.1を知らないの?
Re: (スコア:0)
ブラウザ内部からローカルサーバへアクセスが可能ってことじゃない?
それ自体は当たり前のことだけど、localhostや127.0.0.1以外の、
127.0.0.1へ振り替えるように設定されている名前でアクセスできることになる。
ユーザ自身の手で、あるいは何かしらの手段で設定されていることが前提だけど。
ソースを読む限りは外部アクセスに見えても、実際はローカルサーバへって。
#0.0.0.0でも127.0.0.1と同じようにapacheにアクセスできた…
Re: (スコア:0)
それadsuckでいいですよね
https://opensource.conformal.com/wiki/Adsuck [conformal.com]
Re: (スコア:0)
えーと、元コメントはマイクロアドの話なんですけど…。
Re: (スコア:0)
広告主の自主性にまかせっきりでニコ動側が対策を講じてないって意味じゃない?
Re: (スコア:0)
クライアント側で展開されるWebパーツにどうやってサーバー側で対策を講じろと?
Re: (スコア:0)
「うちは広告を埋め込んでただけですから、うちのサイトにアクセスした
ユーザが広告経由で何に感染しようが知りません」ってのは
技術者内では理解を得られるかもしれないけど、
世間一般的には通らない気がする。
やはり (スコア:0)
いつかこんなことがあるかと思っていました
やはり広告は切っておくべきですね
Re:やはり (スコア:1)
adblockはやっぱり必要だと思うわけですよ。
anti-adblockを採用しているWebサイト管理者は
自分のWebサイトがマルウェアの配信元になるかもしれない
という危機感を持って貰えると嬉しいなぁと思うわけです。
Re: (スコア:0)
ありがとうIE版のAdblock Plusいれたわ。
http://gigazine.net/news/20130621-adblock-plus-ie/ [gigazine.net]
Re: (スコア:0)
マイクロアドがアドブロックに金払ってホワイトリスト入りになるのですねw
Re: (スコア:0)
やめればいい
Re: (スコア:0)
身銭を切って運営
Re: (スコア:0)
自分は広告容認派ですが、行いが悪い一部の業者のせいでadblockを使わざるをえないという現状がとても嫌です……
(具体例:デザイン素材提供サイトやオンラインウエア提供サイトの偽ダウンロードボタンなど)
自分としては安心して広告を見られるような状況にもどってほしい
Re: (スコア:0)
広告収入以外の手段を模索するとか。
提灯記事だけをブロックする方法は今のところないし。
Re: (スコア:0)
オウム返しで自己満足しているようですが、数多あるWebサイトの一つが有料化したところで、ユーザーが他のサイトに移るだけ。危機感抱いているのはサイト管理者だけですよ。正直、そんなことで意地を張るよりも広告収入以外の新たな道を模索したほうがいいかと。
Re: (スコア:0)
金のためにWebサイト運営してるんならやめればいいと思うよ。ユーザーも他に移るだけだから
Webサイトの運営に金が必要なら他の方法を模索すればいいだけではないでしょうか
この場合一番悪いのはマイクロアド社だと思いますが。
Re: (スコア:0)
ですね。ヘマをやらかした業者は退場してもらうくらいの自浄作用が業界にないと信用できません。
Re: (スコア:0)
Re: (スコア:0)
すでにやらかしてるけど何も学習していないマイクロアドはやっぱり退場でいいね。
追い出されたひろゆきの祟りなんじゃないの (スコア:0)
つまり仕掛けたのはヤス
プロモーション (スコア:0)
いつのまにか、色々踏んでいることを実感させられるプロモーション。
Haruhi Hunting [haruhi.com]
現在169/707だけどAC
Re: (スコア:0)
釣りかもしれませんが。
ドワンゴに責任があるとすれば悪評のあるマイクロアドを使い続けてる事であって
マルウェア拡散自体をドワンゴの非とするのは無理筋でしょう。
「パスワード流出」は、先日のリスト型攻撃の事を指しているのであれば
流出させたのは他社であって、こちらもやはりドワンゴの非とするのはおかしい。
非があるとすれば、攻撃開始から発覚まで時間が掛かった事でしょうか。
坊主憎けりゃ袈裟まで憎いのもわかりますが、
行き過ぎると名誉毀損になる恐れもあるからご注意を。
Re: (スコア:0)
ただ巻き込まれただけの有名どころに、とりあえず敵意を向けるのは「坊主憎けりゃ...」とは違うような。
Re: (スコア:0)
非がある、という言い方はしたくないが、ドワンゴは
感染したユーザに対して責任はあるんじゃないかな。
全面的な被害者というか、この場合ニコニコ自体は
被害すら受けてないから第3者?
てのもおかしいと思う。
Re: (スコア:0)
あなたは責任という言葉で何を求めているのですか?
Re: (スコア:0)
居眠り運転で事故起こして、居眠り防止装置をつけないメーカーが悪いと
Re:マルウェア天国Windows (スコア:2, すばらしい洞察)
たんに人気がないところなんて狙われる価値すらないってだけです。
Re: (スコア:0)
MSの言う『Windows XPがWindows 8.1の21倍危険』というのもそれで説明がつくNE!
Re: (スコア:0)
Windows 7に至ってはOS純正のインターフェースがマルウェアをサジェストする始末。
http://srad.jp/submission/56362/ [srad.jp]
Windows 8ではインストール済みのアプリかストアアプリしかサジェストされないようになったので、誠に遺憾ながら改善されたと言わざるをえない。
Re: (スコア:0)
で、リポジトリが更新されるまでの間は?
根本的に、ユーザーは神ではないので、間違いを侵すわけで。
その間違いを狙った攻撃手法について、「◯◯だから××は安全」なんてあり得ないのですよ?
Re: (スコア:0)
そもそも狙われないようなOSだから安全だって言ってる
Re: (スコア:0)
何が言いたいのかわからない、パッケージリストの更新のこと? ラッパ書いて必ず自動で読みに行けばいいんじゃないの?
親コメが言ってるのは「Windowsで使えるあらゆるアプリケーションをmicrosoft.comで配信しろ」というようなものだよ
WindowsもStoreアプリだけしか使わないようにすれば同等以上の安全性じゃないのか
Re: (スコア:0)
Windows8.1のIE向けFlashPlayerはWindowsUpdateで更新されたよ。
Re: (スコア:0)
MSがapt相当のことをやってくれたらいいのですが、Windowsの公式ブログによると会社によって要求することがまちまちなので難しいらしいです
Re:最近、日本への攻撃が立て続けに起きてる気がする (スコア:1)
攻撃ということであれば,海外でも大きめのサイトへのDDoS攻撃が流行ってる
みたいですね.
Facebookや,CloudFlare自身,CloudFlareで配信されてるサイトとか.
少し前だと,EvernoteやFeedlyでしょうか.
PSO2も復旧が難航してるみたいですし,業務上人ごとではないのでかなり怖い
です.
Re: (スコア:0)
報道発表では攻撃元がどの国なのか全く言わないのがすんごい違和感ある。
Re: (スコア:0)
攻撃を仕掛けているコンピュータがある国とそれを指揮しているサイトの国が違うかもしれないから。
Re: (スコア:0)
国家が主体となって攻撃しているということならともかく、
単純にどこが送信元だ、ということは言っても益無いことだと思う。
日本から国外にでてるアタックも結構ある。