Appendix

広告

Entries

まとめでお馴染み@wiki(アットウィキ)でサーバ情報流出 対処は?


 何か情報錯綜、大混乱…という感じで不確かな点が多いです。しかし、念の為にアクセスは控えておくことは推奨しておきます。
(続報:atwiki(アットウィキ)で全ユーザーのパスワード,メルアドが流出)

 なお、まとめサイトという言葉に過敏に反応しているようです、現在問題になっているのはアットフリークスの@wiki(アットウィキ)というサービスです。こういうときに短縮URLの問題点があらわになりますが、

http://www4.atwiki.jp/shatteredglass/

 などのようにURLに「atwiki」が入っているサイトが今のところ対象なので判別は可能です。(ちなみに上のアドレスが上杉隆wikiです)


 情報混乱中ですが、数項目のミニまとめが載っていたのは、以下。ただ、転載したご本人が"このテンプレいまいち意味がわからん"と付記しているように、怪しいものです。

atwikiがなんかハクられた? | NurseAngelの日記 | スラッシュドット・ジャパン
http://slashdot.jp/~NurseAngel/journal/578658

 タイトルの「ハクる」はたぶん「ハッカー」由来だろうなと検索すると、やはりシステムへの不正侵入などの悪いハッキング=クラッキングのことを言っているみたいですね。

 さて、ミニまとめの内容…ですが、順番などは変更して補足を入れながら行きます。

・何が起きたの?
自由にwikiを作成できるサイト、atwikiのサーバー情報が全流出、改竄し放題になった
各wiki管理者のユーザー名、パスワード、メールアドレスも流出した可能性高

・何か問題あるの?
atwikiにはゲームなどの攻略情報をはじめとする各種まとめとして使われているためユーザー数が多く、今回の流出では
ウイルスを仕込んだり、危険なサイトにリダイレクトさせたりが可能で悪意を持って書き換えられれば大勢の人間が迷惑を被る可能性が高い

 他の注意喚起も後で紹介しますが、アクセスしない方が無難というのはこのためです。注目されて悪質ないたずらに発展する可能性があります。


・どういう経緯でなったわけ?
嫌儲板で、初出スレの>>1のサーバーに謎のファイルが送られる
>>1が調べたところ、中身がatwikiの全ての内容を操作できるスクリプトと判明する

 経緯はどうでもいいと思うのですが、これには濡衣というレスがついていました。
情報が色々と錯綜していて、まとめも機能してないのでここに補足しようか (スコア:0)
by Anonymous Coward on 2014年03月09日 9時20分 (#2559355)

置かれていたファイルがs_urldecという物で(中略)
atwikiがあるサーバー上のファイル操作がweb上で全ての操作可能になる

この情報がなんJに知れ渡り祭り開始。なんJにオモチャにされ、色々なページを改変する
特に利用者が多かったパズドラwikiが狙われる
謎の住所のファイルや、謎の氏名のディレクトリなどが作られる
open2chが2chからスレロンダしてネタをパクって相変わらずまとめブログを更新するので
なんJが攻撃用スクリプトを仕込もうとする
まとめサイト管理者はopen2chが攻撃されないように「atwikiを見るな。ウイルスに感染する」と吹聴しまわる
この事でかえって大混乱が発生(中略)

遊んでいたなんJは「犯人は嫌儲」と悪い事は全部嫌儲にして逃走

 大混乱の中で"定番の「プロセスを調べてsvchostがあったらアウト」ネタに引っかかる人多数"とありましたが、タスクマネージャーのsvchostは正常時からたくさんあります。というか、無いと困るものです。

 私もむかしむかしに引っかかって無理やり落としたことがありますが、終了させてしまうとそれに対応するアプリケーションなども落ちて困ったことになります。こういうデマ流す人には困ったものですね。


 もう一つ、確定情報ではなく、"「念のために」ということで注意喚起"といった念を押していたものの、なかなか良さそうだったサイトさん。"公式発表待ちです"としていましたが、土日なんで運営の対処は遅くなりそうな気がします。
【速報】atwikiのサーバー情報が流出し改ざん可能な状態に。大戦、LOV3、ガンストなどのアケゲーwikiも該当する模様 : アケゲ速報

概要
・3月4日時点のメールアドレスとパスワードのMD5ハッシュが流出
(文字列をMD5ハッシュ化した結果の膨大な辞書を持っていれば簡単に解読できる)
・atwikiのパスワードは英数字のみ=文字種が少ないから脆弱
・パスワードを変更すればatwikiの管理者権限は乗っ取られない
・パスワードを破らない限りウィキのコンテンツは変更できないはず

どうすれば良いか
・事態が収まるまでwikiへのアクセスを控える(不正なスクリプトが埋め込まれている可能性アリ)
・(wikiの管理者は)他のサイトで同じメールアドレスとパスワードの組み合わせを使用している場合は必ず変更すること
http://blog.livedoor.jp/akege/archives/1000402445.html

 atwiki騒動は以上。閲覧でウイルス感染は正確に確認できていない感じですが、無理にアクセスする必要はありません。前述の通り、私はアクセス回避を推奨しておきます。


 ところで、今回の件で検索すると、運営のアットフリークスは結構ひどいみたいだというのがわかりました。全然知りませんでしたわ。実は昨年にもパスワード流出をやらかしていたようです。
「@PAGES」で17万名を超えるユーザ情報が流出、パスワードは平文(アットフリークス) | ScanNetSecurity (事件、インシデント・情報漏えいのニュース) 2013年9月2日(月) 08時00分

有限会社アットフリークスは8月29日、同社が運営する無料ホームページスペース「@PAGES」において、個人情報を含むユーザ用の管理情報が流出したことについて、続報を発表した。これは8月28日に第一報を発表したもので、流出したユーザデータ情報は、2013年2月27日14時54分時点で@PAGESに登録されているすべてのユーザ(175,297名)についての「ユーザ名」「パスワード」「メールアドレス」「登録日時」「登録時のホスト名」「登録時のIPアドレス」「登録時のユーザーエージェント」「その他のユーザ管理の情報」。パスワードは平文のまま流出したという。
http://scan.netsecurity.ne.jp/article/2013/09/02/32374.html

 これに関しては「パスワードは平文(ひらぶん)のまま」ってのがあり得ないとされていました。暗号化するのが基本の「き」だろうという指摘ですね。

 また、以下のような不祥事も発見。

atwikiも過去の不祥事をもみ消すための工作を行っていたらしい - 楽しくないブログ 2013/08/17(土) 22:37:17
http://nvmzaq.blog.fc2.com/blog-entry-168.html

 トラブルがないに越したことないですけど、問題なのはトラブル発生後の行動がたいへん不誠実だったことです。今回はどうなることやら?


 追加
  ■atwiki(アットウィキ)で全ユーザーのパスワード,メルアドが流出

 関連
  ■おっpいポロリに釣られ、佐々木俊尚・上杉隆などTwitterスパムの餌食に
  ■ロリポップ改竄事件・熊谷正寿GMOインターネット会長の対応がヤバい
  ■よくあるパスワード 500例
  ■会社のパソコンの監視はどこまで見てる? 答え:ほぼ全部です
  ■LINEのおすすめ設定変更・初期登録・利用方法 7つの注意点で不安解消
  ■その他のインターネット、パソコンなどについて書いた記事

Appendix

広告

ブログ内 ウェブ全体
【過去の人気投稿】厳選300投稿からランダム表示









Appendix

最新投稿

広告

定番記事

宝くじ高額当選者3000人のその後……10年後の彼らの生活は?
歴代首相の身長ランキング 背の高い、低い意外な総理大臣 野田佳彦・麻生太郎・鳩山由紀夫・小泉純一郎・安倍晋三など
日本で馴染みのある韓国系企業一覧
国別ノーベル賞受賞者数ランキング 日本は8位、上位はどこの国?
橋下徹大阪市長の出自 同和地区(被差別部落)と父・叔父と暴力団
意外に有名企業があるファブレス企業・メーカー 任天堂・ダイドードリンコ・やおきんなど
飛び降り自殺は意識を失うから痛みはない…は嘘 失敗した人の話
白元・鎌田真の経歴と派手な交友関係 神田うの,松本志のぶ,妻も美魔女など
楽天Edyはコンビニの公共料金の支払い(収納代行)に使える?
楽天Edyの使えるコンビニ・使えないコンビニ
主な緑黄色野菜一覧 と 実は緑黄色野菜じゃない淡色野菜の種類
のれん代とのれん代の償却のわかりやすい説明
消滅可能性都市ランキングと一覧 1800市区町村中896自治体が危機
カルシウムの多い食材ランキングベスト20 牛乳以外に取れる食品
堀越二郎の妻は死んでないし菜穂子でもない モデルは堀辰雄の婚約者矢野綾子
創価学会、会長候補の正木正明氏左遷で谷川佳樹氏重用の理由は?
インチキで効果なし、活性水素水詐欺 誇大広告であるとして排除命令が出た商品も
高カロリー食品ランキングベスト20(100グラムあたり)
EPA、DHA(オメガ3脂肪酸)の魚油サプリ 効果なしどころか危険という説
リチウムイオン電池の寿命を長持ちさせるのは、使い切って満充電?継ぎ足し充電?

ランダムリンク
厳選200記事からランダムで









アーカイブ

説明

書いた人:千柿キロ(管理人)
サイト説明
ハンドルネームの由来

FC2カウンター

2010年3月から
それ以前が不明の理由