サイト改ざんの実例~ねこもり地域猫の会(仮名)の場合~
登場する地名、団体名、URL、キーワード等は、すべて 仮名 です。 (1) 埋めこまれたリンク集「ねこもり地域猫の会」のホームページ。担当スタッフが気づかないうちに、ソースに妙なモノが加えられていました。<!-- -555- --><div style=display:none;><a href="http://plaza.rakuten.co.jp/tappo/diary/200806060000/">黒猫, 変猫, 猛猫, 怪猫</a> <a href="http://plaza.rakuten.co.jp/tappo/diary/200805270000/">猿猫, 蛇猫, 月輪猫</a> <a href="http://plaza.rakuten.co.jp/tappo/diary/200805210000/">人喰猫, 空飛猫, 壁走猫</a></div><!-- -555- -->リンク集です。このブログ内の URL に差し替えてありますが、18才未満は見ないように閲覧者をリンク先に誘導したいのでしょうか?違います。<div style=display:none;> なので、ブラウザでは見ることもクリックすることもできないのです。そんなリンク集、何の意味もないじゃないかって?それが、あるんですよ。表示されなくても、このページからリンクを張っていることになり、アクセスアップにつながります。グーグル等では、被リンク数が多いほうが上位に表示されやすいので。いわゆる「SEO」です。SEO = Search Engine Optimization(検索エンジン最適化)。検索結果の上位になるように工夫すること。つまり「ねこもり地域猫の会」は、全く関係ないサイトの利益のために、自分のホームページの一部を勝手に使われていたのです。- + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - (2) 局地的改ざん?実は、「ねこもり地域猫の会」は、以前にも改ざんされたことがあります。いわゆる「GENOウイルス」です。そのとき流出した FTP情報で、新たな改ざんが行われたと思われます。それなら、他にも、このリンク集を埋め込まれたサイトがあるはず。検索してみました。キーワードは、リンク集の最初に出てくる "黒猫, 変猫, 猛猫, 怪猫"。案の定、ぞろぞろ出てきましたよサ イ ト 名URLレストランねこまんま 猫森店www.catmamma.comバケネコ研究所 猫森支部www.bakeneko.comマタタビガーデン☆ねこもり☆www.nyanya.comきゃっとはうす不動産~猫山県猫森市~www.cathouse.comねこもり地域猫の会www.nyanko.comん?なんだか「猫森」が につきます……って、そればっかじゃん。国内には無数のサイトがあり、GENOウイルスの改ざんにもたくさんのパターンがあるのに。猫森市限定で同一パターン地元の人しか見ないようなサイトが多いし、地域で集団感染したってことでしょうか?でも、インフルエンザだって簡単に県境を越えるのに、ネットで市内限定だなんて、不自然です。- + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + -(3) サーバーだった!そこでさらに調べたところ、共通点発見。独自ドメインなので気づくのが遅れましたが……実は5サイトとも、海外サーバー を使っていたのです。サ イ ト 名サーバーの位置IPアドレス管理レストランねこまんま 猫森店US ニャンタッキーBlackcat Co.バケネコ研究所 猫森支部US ニャンタッキーBlackcat Co.マタタビガーデン☆ねこもり☆US カリフォルニャBlackcat Co.きゃっとはうす不動産~猫山県猫森市~US カリフォルニャBlackcat Co.ねこもり地域猫の会US ニャンタッキーBlackcat Co. ★Special Thanks to http://www.aguse.jp/ ←こういうことがタダで調べられるサイト5サイトのうち 3サイトが、アメリカのニャンタッキー州のサーバー。2サイトが、カリフォルニャ州のサーバー。どちらも、「Blackcat Co.」という怪しい名前の会社が管理しています。さらに。検索対象を「日本」から「ウェブ全体」に広げると……同じ改ざん例が世界中に数百ページありました!!いまだに GENO配布中のページもわさわさドメインが同じものをくくると、41サイトに絞られます。その半分以上にあたる、22サイトが、「ねこもり地域猫の会」と同じニャンタッキーのサーバーでした。これって偶然? なわけないサーバー側で FTP情報が流出 し、一括して改ざんされていると思われます。日本で猫森市だけだったのは、この海外サーバーの日本窓口が猫森市にあったからでした。- + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + -(4) まとめGENOウイルスによるサイト改ざん。そのサイトの管理者の PC がウイルスに感染して FTP情報を盗まれた結果であり、駆除するにはクリーンインストールしかない!!! というのが、現時点での一般的な見方です。「ねこもり地域猫の会」さんの場合も、サイト改ざんが明らかになった時点で、スタッフの PC が感染したものと判断して相応の処置を行いました。しかし、そのパソコンは、本当は感染などしていなかったのかもしれません。クリーンインストールをしてしまった今では、さかのぼって確かめることもできないのですが……「ねこもり地域猫の会」さんは、現在サイト移転準備中です。がんばれ~~この記事を下書きしている間にも、カリフォルニャ カリフォルニアでこんなニュースが。米連邦取引委員会、悪質なISPを業務停止へ――スパム、ポルノなど犯罪の温床にhttp://www.yomiuri.co.jp/net/news/cnet/20090605-OYT8T00585.htm (6/5 読売)米連邦地裁が悪徳ISPに業務停止命令、FTC発表http://www.itmedia.co.jp/news/articles/0906/05/news023.html (6/5 IT media)【補足資料】 6/19追記5月に世界的大流行したJSRedir-R/Gumblarの教訓 (ITpro 6/16)http://itpro.nikkeibp.co.jp/article/COLUMN/20090611/331787/※「JSRedir」も「R/Gumblar」も、いわゆる GENOウィルスのこと。 2ページ目第5段落より。また日本での改ざん事例を見ると,レンタル・サーバーやホスティング・サービスを利用している企業の被害が目立つ。起業したての中小企業などでは,格安のレンタル・サーバーを利用していることが多い。(中略) 今回被害を受けた代表的な例は,レンタル・サーバー会社の運用者のパソコンが感染したケースだ。かれらの業務用パソコンには,管理している複数Webサイトのアカウント情報が格納されている。攻撃者にとっては,複数の攻撃対象を見付けられる“おいしい”標的だった。猫に優しいミニ情報【福井県】動物あいごダイヤル 肉球たわし~ず あと6個 またたび あと1個