べつになんでもないこと

国内の正規サイト改ざん：攻撃サイトを変え再襲来

ラトビアに設置された攻撃サイトが4月末に閉鎖され、ひと安心と思ったのも束の間、今度は「ｇｕｍｂｌａｒ．ｃｎ」というドメインにサイトを移して、攻撃を再開したようだ。中国のドメイン名だが、サイトはロシアでホストされている。

できれば、告知なしでとんずらしてるサイトを挙げて欲しいのだけど、それはマスコミの仕事だしなぁ。

他には
・小林製薬株式会社　弊社サイトの改ざんに関するお詫びとご説明
・ニコニコのぞき見検索&SayMove!　ウイルス感染について
とか

2ch見てたら、Firefox + NoScriptでも許可してたら防げないって勘違いした書き込みが結構あったけど、このウイルスに限って言えば、スクリプトが別のドメインにあるため、これほどNoScriptに適したケースはないのです。

例えば、GENOが感染したときで説明すると、GENOを許可したりホワイトリストに登録しても、94.247.2.195を許可しなければウイルスをダウンロードするスクリプトは実行されません。

---

－追記－
既に難読化したダウンロードアドレスを直に貼るタイプが普通にありますねぇ。orz
このタイプはNoScriptでも感染サイトを許可したら感染します。やれやれ
（さっき感染サイトがあるって見に行って、難読化コードを解除して初めて知った。orz）

（追記：実際にはFlashやAdobe Readerが最新なら感染しませんし、見たコードではIEでしか感染しませんけど、攻撃コードはいくらでも変更できますから油断は禁物です）

---

GENOを許可した場合、NoScriptのメニューはこんな感じになります。

〇google-analytics.comを許可 〇google-analytics.comを一時的に許可

×geno.co.jpを禁止

〇94.247.2.195を許可 〇94.247.2.195を一時的に許可

×geno-web.jpを禁止

この状態から更に、94.247.2.195を許可するようなマネをしなければ、GENOに仕掛けられたウイルスは動きません。

逆に94.247.2.195を許可してしまうような人はNoScriptを使う適正がありません。
許可するドメインと禁止するドメインを判別できなければ、NoScriptはFirefoxを重くするだけの足かせにしかならないのです。
だから初心者向きではないと言われるのです。

で、困ったことに初心者というか普通の人はそれを勉強する機会がありません。
そういった事を、親切丁寧に説明しているサイトもちょっと見たことありません。
面倒なので、私も説明しようと思いません。
（VNCのあの程度の説明ですらよく作ったものだと思うくらいだし）

こればっかりは、自力で勉強してもらうしかないかと。

---

追記

NoScriptのメニューに補足説明。ってか説明ないと知らない人には全く逆に見えますねぇ（笑）。