アカハック(アカウント・ハッキング)急増中
理由として考えられるのは、
1)BOT対策が強化されたのでBOT業者がアカハックに切り替えた。
2)竹島問題で日本に対する報復活動の一環。
の2点でしょうか。
今までアカハックはセキュリティー対策に疎い人が被害に遭うと言われていましたが、
現在のアカハックはそうではないようです。
日頃からコマメにWindowsアップデートやウィルスチェックしている人でも被害に遭うケースが多発しています。
そもそもセキュリティーソフトで悪意のあるプログラムを防ぐ事ができるのは20%程度と言われています。
しかしそれでもセキュリティソフトを頼るしかないのが現状です。
NC japan自体韓国企業なので2)の場合は社内からアカウント情報が漏れているかもしれません。
1)の場合は他ゲームのアカハックについての情報からですが可能性の高そうなものがありました。
アカハック問題をまとめてみる(パンダのマーチ)
→http://www.pandanomarch.com/archives/2008/07/06175639.php
(前略)
現在進行中の問題について
最近(2008年7月6日現在)起きているアカハックは時間的にみてFlash Playerの脆弱性をついた罠にかかった被害者であると思われますが、被害報告数が尋常でなく、もしかしたら違う新種の手口という可能性も否めません。そうなるとウイルスらしきものの本体・感染経路がいまだ不明で、いまのところこれという対策がないのが実状です。
2008/07/14追記 - 少し進展しました。
ウィルスの正体、というかIDとパスワードを送信しているであろうファイルが特定されました。
wuauserv.dll(Windows Updateで使われるダイナミックリンクライブラリ)が
wzcsvbxm.dll(正規のシステムには存在しないファイル)に書き換えられているそうです。
wzcsvbxm.dllはsvchost.exeを使い、POLのプロセスを乗っ取ってメモリからIDとパスワードを盗み取ります。つまりパスワードを保存してても、してなくても関係ないようです。
確認方法を下記に記します。
「スタート」→「ファイル名を指定して実行」を選び、regedit と入力してOKを押す。
するとレジストリエディタが起動するので、下記の階層を追って調べる。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx(xxxは数字)\Services\wuauserv\Parameters と
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
の中のServiceDll→REG_EXPAND_SZ(種類)のデータを確認。
C:\WINDOWS\system32\wuauserv.dllなら今回の件に感染していません。そのままレジストリエディタを閉じてください。
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルの場合、すでに感染してしまっている可能性が高いです。
wzcsvbxm.dllの中身
http://204■13■69■12/fg/post.asp(一部『.』を『■』に変えてあります)や
http://googlesydition.com/4fh7c/post.asp(一部全角文字に変えてあります)
という文字列が存在。これ以外にも亜種があるようです。おそらくこれが送信先。
サーバーはアメリカですが、ホストを逆引きしていくともちろんかの国に到着。
対策
カス○ルスキーの最新のパターンファイルでは、このdllの一部がトロイとしてすでに検出されるようです。ですが亜種が多く存在するようですので、まだまだ不完全です。
さらに現状では上記のdllを生成する本体が判明していないため、wzcsvbxm.dllを本来のwuausev.dllに書き換えても、すぐに再度wzcsvbxm.dllに戻される可能性があります。なのでやはり下記に記したとおりクリーンインストールがおすすめです。
(後略)
FFでの話ですがリネもこれの亜種ではないかと思います。
クリーンインストールするのが一番の対策ですね。(´・ω・`)
