【超重要】アカウントハック・新情報

もうー！
普通の記事書きたいのに、なんでこんなことになるかなぁヽ(｀Д´)ノ
しかし、革屋さんのところで、とんでもねー情報を見てしまったので、転載させてもらおうと思います。

まずは革屋さんのこの記事を読んでください。

「難しい言葉があると眠くなって読めない；；」

って人も読んでください！
どうしても読めない場合は音読して！

読めばいかに大変な事態かわかると思います。
難しい内容ですが、今回のアカウントハックの根源は

・システムファイルに紛れ込み偽装されていた
・20080713日までの時点ではずべてのアンチウィルスソフトで検出不可
・POLのプロセスに介入してパスワードの抜き取りを行っているため
　「パスワードのこまめな変更」「パスワード未保存」「ソフトキー入力」の効果は無し
*革屋さんから丸ごと転載

という、非常に悪質＋対処が難しいものという事がわかります。

今まで声を大にして推奨されてきた

・パスワードのこまめに変更しましょう！
・パスワードは未保存で！
・入力はソフトキーで！

という対策が、今回の場合は無力だったという事です。
(*今回の事例で無力だったというだけで、上記の対策が自衛手段として有効である事にかわりはありません！
引き続き上記対策は実行し続けましょう。)

対象は、PC版FFをインストールしている全てのプレイヤーさんです。

「今はFFとネット閲覧PCわけてるから自分は平気w」

という人も対象です。
なぜなら、いつPCに侵入してきたのかは、今でもわからないからです。

「実はずーーっと前から侵入していたけど、該当者多数の為、今はアナタのアカウントは順番待ちです。
アカウントハック実行まで少々お待ち下さい(^-^)」

な状態かもしれない、という事です。
最近噂になっていたけど、FF11のアカウントハックとの関連性がハッキリしていなかった

・WindowsUpdateでエラーが発生する(フリーズする)
・POLの初回起動時にエラーが発生する(2回目以降は普通にできる)

の2つは、今回のアカウントハックに密接に関連している可能性がかなり高いという事がわかったようです。
以上の症状が出ている人は、自分はアウトだと思ったほうがいいです。

PC版FF11をインストールしている人は、今すぐ以下の事を実行してください。

---

*全て革屋さんの記事の引用＋転載です。
自分には詳しい知識がありませんので、内容についての技術的な質問には答えられません、ごめんなさい。

■オンラインスキャンの実行

今回のアカウントハックの詳細を調べてくれた有志の皆様の努力により、カスペルで発覚しているモノに関しては検出出来るようになったとのこと。
まずはカスペルのオンラインスキャンでチェックしてください。

⇒カスペルスキーオンラインスキャン


■レジストリ&実体ファイルチェック

かなりの難易度です。
PCのこんな機能初めて触るわ、って人も少なくないと思います。

でも、革屋さんがやり方を丁寧に説明してくれているので、1つずつ順番に行えば、実行自体は小学生でも出来ます。
その行為の意味を理解できなかったとしても、実行してチェックを行う事は出来ますので、やってください！

画像は全てクリックで別窓表示原寸大になって、文字も見やすくなります。

①レジストリチェック

・スタートメニューから「ファイル名を指定して実行」をクリック。


出てきたウインドウに「regedit」と入力、実行。


すると、見慣れないウインドウが出てきます。
これがレジストリってやつなのかな。
私も初めてみました…(・_・;)

・「編集」⇒「検索」のウインドウの「データ」のところにチェック。
検索する値に「wzcsvbxm.dll」を入力⇒検索。※1


これで見つかったらアウトです。

革屋さんの所で*1の補足説明として書かれている

※1実際はWindowsUpdateのエントリを書き換えます
以下のキーの値が「wuauserv.dll」になってなかったら要注意
HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSetxxx（xxxは数字）¥Services¥wuauserv¥Parameters
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services
¥wuauserv¥Parameters
この２つ中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」

上記の文章は

この画像の赤い枠のところの＋を押すとまたいーっぱいフォルダが出ます。


で、「SYSTEM」というフォルダの＋をまたクリック
↓
「ControlSetxxx（xxxは数字）」(2番目の方は「CurrentControlSet」)というフォルダの＋をクリック(以下略)

という感じで￥で区切られているフォルダ名をさかのぼっていくと、最終的に「Parameters」というフォルダに辿り着きます。
で、そのフォルダをクリックした際に右の広いウインドウに表示されるデータという項目の所の文字が「wuauserv.dll」でなかったら注意、という意味だと思います。

これが何を調べているのか私自身サッパリなので、間違いがあればご指摘願います…。

---

②ファイルチェック

・フォルダオプションを開く。


フォルダは適当なフォルダでなんでもOK。(だと思う…、OKだよね…？)
えーー？って場合は、デスクトップの適当な場所右クリックでフォルダから新しいフォルダを作ってしまって、それを使えばOK！
(たぶん…。違ったらご指摘ください！)


「 保護されたオペレーティングシステムファイルを表示しない(推奨)」　がオフになっているのかを確認。
全てのフォルダに適用。


・ファイルの詳細検索オプションを開く。
フォルダの画面の「検索」を押すと、犬のロッキー君が登場するので、「ファイルとフォルダすべて」をクリック。

次の画面の一番下(ロッキー君の真上)に「詳細設定オプション」があるので、そこをクリック。


「システムフォルダの検索」
「隠しファイルとフォルダの検索」
「サブフォルダの検索」

の3つにチェックをいれて、ファイル名に「wzcsvbxm.dll」を入力、検索。


「探す場所」は、画像ではそのフォルダのみになってしまってたので白く塗りつぶしてしまいましたが、FF11をインストールしているPCにはFF11のフォルダがあるのかしらん？
でも今回のはFF11のフォルダ内に侵入ってワケでもなさそうだし、ローカルディスク(C)を指定して検索しておけばOKな気がするんですがどうなんでしょうか…。

って、探す場所が不明瞭な説明記事って最低だな(;゜д゜)
誰かに聞いて確認次第追記しようと思います。

【2008/7/16　追記】
「探す場所」は「マイコンピュータ」でOKです。
これでPC全体を検索してくれます。
【追記ここまで】

で、上記を実行で見付かったらアウト！

レジストリ、なんて初めてみた私でも実行できました。
だから、アナタもやってください。
「自分は大丈夫w」という根拠のない自信があるアナタ。
アナタのような人が一番危険です。

---

以上が、革屋さんの記事をみて自分のPC(FF入ってないPCですが…)でやってみた時に、知識がない場合ココがわからないんじゃないだろうか？という点を、知識のない自分がやりながら模索した説明です。
つまり、かなり不明瞭＋間違っている事があるかもしれませんが、その場合はご指摘ください！

で、アウトだった場合は…

そのPCでは絶対にFFを起動しないでください。
PS2やXBOXなどの環境がある人はそちらでパスの変更を。
感染してないPCがあるなら、そちらでパスの変更を。
どちらもない場合は、これを薦める事に問題があるのは十分承知ですが、PS2またはXBOX持ちの「絶対に信頼できる友人」に変更を依頼するのも1つの手だと思います。

そして感染PCをクリーンインストールしてください！
他の方法もあるようですが、相当難易度が高いようです。
クリーンインストールが一番の対処法です。

いつどこから侵入されるのか、未だにわかっていないようです。
FF11の競売を、PCからみれるサイトがあるようですね。
想像するだけで「便利そうだなぁ」思いますが、同時になんでヴァナの競売がログインしない状態でPCで見れるのか疑問に思いますし、怪しく感じます。
そういうサイトの利用はやめましょう。

「あぁ、あのアイテム今いくらかな」
「出品してるアレ、落札されたかなぁ」
「あのアイテム出たら即落としたいんだけど、いつ出るかなぁ」

って、ログインできない時にヤキモキするのも、楽しみの1つじゃないですか！
他人の利用状況を追跡できるといったような他の利用方法もあるみたいですが、その利用方法が絶対必要な場面はかなり限られるはずです。
以前、友人がアカハックにあった際に犯人の追跡をそのサイトで行ったという記事をみました。
そのサイトを利用したくなる、数少ない限られた場面だったと個人的には思いますが今後はそういう局面でも我慢した方がいいと、私は思います。

友人がそんな目にあったら、いてもたってもいられない、という気持ちは十分に理解できますが、追跡しにいって自分がやられたのでは意味がないし、犯人を特定できてもそれがそのサイトを利用するリスクに見合った成果をあげれるとは思えないからです。

幸い救済措置も実装されたことですし、やられてしまった場合は公式の対処にまかせて、まずは出来るだけ侵入されない環境を作る事に全力を注ぎたいって思います。
面白半分で他人の履歴を追跡するために利用するなんて、問題外です。

最近はアカハックの際に第三者からのGMコールも受け付けてくれたという報告もみかけました。
今まではただ見ている事しかできなかったのに対して、第三者からのGMコールにより早急なアカウントの隔離が可能になったりと、「友人のためにできること」が存在します。
ただし、やみくもに友人一同がGMコールしたのでは、待ち時間が無駄に増えて他の人が困りますが…。
ただ1つ言えるのは、自分がハックされたのでは他の誰も守れません！
まずは自分がしっかりしましょう！

---

長い長い記事になってしまいました。(いつも長いけどさ…)
最後まで読んでくれてありがとうございました。

そして読み終わったあなたがPC版プレイヤーなら、すぐに実行してくれるとうれしいです。

そして、身の回りのPC版プレイヤーに、この作業の実行を呼びかけてください。
1件でもアカハックが減りますように…。

【参考URL】
■FF11■ある革職人の軌跡様
この記事の内容の元記事です。
是非ご一読ください。

にゃんこのセキュリティメモ様
今回の件の技術的な詳細がたくさんかいてあります。
難しい言葉も多いですが、目を通しておいて損はありません。

【お詫び】
話題と関係のないTBPにもTBを送信していることをご了承ください。