Infection
昨日、Guild内で垢ハック食らった人が出たので、経緯及び状況等について記載する。
ハックされRMT容疑でBANされたプレイヤーについては、サポートの超迅速対応により当日に復帰しているが、該当者以外にもクライアントが怪しい挙動を示しているプレイヤーが複数確認出来ている。
被疑者及び他ギルメンにはセキュリティ強化を呼びかけた。
A氏(被垢ハック当事者)、B氏(被垢ハック未遂者)
・問題発生:JPT 2014,3,June
被疑者であるB氏ゲームプレイ中に奇妙な現象発生。
突然チャット発言が出来なくなりクソラグでゲーム出来なくなりログアウト。
「古いPCだからそろそろ寿命か?」
と本人談だったが、実際妙なPCの調子だったらしく、その日は22時くらいにオフラインになっていった。
・問題発生:JPT 2014,4,June PM21時前後。
B氏のPCがおかしくなっていたらしい。
「GW2やろうとしたらソフトが無いのよ。Program Filesフォルダ内にはGW2フォルダあるのに中身まっさらで、スタートメニューのリストにも無いしさ・・・。」
「昨日の不具合のせいかもしれないので、スキャンディスクやシステムチェッカー等したけど何も無し。しゃーないからシステム復元したんだけど、これまた何も無し。」
「なので、クライアントを一からDLだよ。でもね・・・」
と、この辺りでA氏が合流し、パッチランチャーを起動した後の、怪しい挙動が報告される。
この挙動について、A氏とB氏で起こった事が一緒。
「クライアントを立ち上げると”Connection Error Detected”のメッセージが出て、パッチが当たらず30分~1時間程放置したところパッチが当たり始めた。鯖死んでた?」
それを聞いて他の面子は
『いや、何それ。100MBくらいのパッチだったけどそんなことねえぞ。』
『全然問題無い。』
と。
「パッチ当ててた時間帯が共通しているから」かもな、と、その際はネットワークの影響が第一位だった。
なにせ、同時刻くらいに”Battle.netでもクソラグ強制切断祭りが発生”していたという事もあった。
ISPの問題、と意見が出た。
二人ともOCNで、変なパッチャー挙動示さなかった人でも、OCN使ってた人はゲームできない程のラグだったそうだ。OCN公式に特に経路障害は無かったが、ISPの線もあった。
どちらにせよ、パッチ適用後に二人はゲームは出来た。その時点までは出来たのだ。
・問題発生:JPT 2014,5,June
A氏がVCに入って来て一言。
「俺イン出来てる?」
ん? と思ったがリストを見ると4分前にインしていたらしい。その事を伝えると・・・
「多分垢ハック食らった!」
!?
「インしようとしたらパスワードが違う、と言われ、公式ログインも出来ず。シリアルからのパスワードリセットで公式ログインしたら『RMTしたのでBANな』と・・・。」
!?
そういや、昨夜変な事言ってたよな・・・あん時変な物掴まされていたんじゃないのか? と皆で大騒ぎ。急ぎサポートへ連絡するとのこと。
その後、急ぎ、昨日同様の事を言っていたB氏に連絡すると、B氏は何とも無いらしく、前回イン時刻も適当だという。
サポートへのメールを出した後に詳しく事情を聞くと
「E-mail認証やGoogle認証はやっていない。以前携帯破損等でトラブルがあった際に一ヶ月以上待たされたので。」
じゃあ、ダメじゃん、と思ったが、
「GW2で使用しているメール及びPWはGW2でしか使用していない固有のもので、他から漏れる事は無い。」
えー・・・。
でも、そうじゃないとすると、B氏のファイル消えた云々はどう説明すんの? と三人集まれば文殊の知恵ということで、額を寄せ合って唸っていたところ、最近ギックリ腰&結石で大変なZ氏が
「ウイルス感染で情報盗まれたんじゃね?」
と仏の知恵。
「B氏の場合、事前に感染したGW2関係を対策ソフトがどうにか対処しちゃって、その後に復元掛けたから何も残ってないんじゃ・・・。」
「ウイルス感染ならGW2にしか使っていないメアドもパスも抜けるだろ?」
・・・うん。ありえる。
そうであれば、B氏の
”GW2関係だけファイル消えている”
理由も説明出来る。ディスクの不調だけでピンポイントでファイル消えるとかはねーんだよな。
それからが大変。皆でウイルススキャンや、スパイウェアスキャン祭。特に問題ある人はいなかったのだが、おそらく限定的対処出来たのがB氏のAvast(Free)で、対処出来なかったのがA氏のEsst(有料)というのが、なんとも皮肉か。
問題は感染先だが・・・
・Anetの鯖がハックされていた
怪しいが、それならもっといるよね? という話。
・OCNのDNS
怪しいが、それならもっといるよね? という話。
で、五里霧中。更に言うと一日のHacked投稿が多すぎてアタリが付けられねえw。
と一夜明けまして。
そういや、5月中旬~末に掛けてFlash Playerの脆弱性ついてトロイに感染させる遊びが日本中のサイトで流行っていたような・・・。
例えば、このblog含めたJUGEM。
http://info.jugem.jp/?eid=17191&_ga=1.3722038.764213144.1401263859
で、dooomさんから聞くと大本は韓国CDnetworksの鯖ハックが原因っぽい。
http://itpro.nikkeibp.co.jp/article/NEWS/20140605/561702/
で、cdnetworksで色々ググると、gw2のパッチ(アジア向け?)もcdnetworks使っているとか、Wildstarも、日本版B&Sも使っているとか、真っ黒。
垢ハックされたA氏もサポートにメールした2H後に復帰出来ますわ、こりゃ。ということは、CDnetworksで鯖改竄行われて、不正パッチが当てられたというのをAnet側は把握していると考えていいのか?
CDnetworksのまとめとしては、ココ
http://d.hatena.ne.jp/Kango/20140603/1401801327
今回月末に行われた改竄と、時系列からすると先日のパッチより、JPT 2014,24,MayのFixパッチが非常に怪しい。もしかすると、JPT2014,4,Juneの不審な動きは、「次回パッチ時に情報送信する」だけの潜伏型だった可能性も?
ともかく、JPT 4,JuneのパッチDL時に異常に重かったという人は要ウイルススキャン等。
あとはFlash Playerを常に最新版にしておくくらいか。今回CDnetworks経由で日本にバラ撒かれたトロイはFlash Playerの脆弱性を突いていたようなので、その辺もチェックかね。
あとは、CDnetworksは今KDDIの子会社になっているので、サポートに日本語が使えるのが強いか。
※照会メール出しました。
以下参考
http://jvndb.jvn.jp/apis/myjvn/personal.html
http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html
でも、ぶっちゃけ公式が改竄されて~、ってのは絶望的なんじゃないのかなあ、と思わなくもない。防ぎようねえもんな。
https://forum-en.guildwars2.com/forum/support/tech/latest-patch-triggering-virus-protection
10ヶ月前の話だが、このTimebandit氏が最新パッチをDLしたらDLファイル中の「HEU_AEGIS」というトロイにウイルス対策ソフトが反応し再起動をしなければいけなかった、という話題だ。
簡潔なスレッドだが、凄まじくヤバい。
Timebandit氏は信者かつTrend Microの対策ソフトが有効に働いたので何も感じていないようだったが、パッチ中にトロイが紛れ込んでいるという衝撃的な事案が発生しているのに対し、Supportが即レスで、セキュリティソフトウェアが入ってて良かったな的なレスで終わらているという異空間。
https://forum-en.guildwars2.com/forum/support/tech/downloading-latest-patch
こちらでは、パッチDL出来ない、と嘆くスレ主にCureForLiving氏が「管理者権限持っているか、Firewallは大丈夫か、ウイルス対策ソフトは万全か」とセキュリティ面をチェックしろ、と勧めているのが印象的だ。
今ならプラスして、Flash Playerは最新版か、と来るところ。
