「FC2ブログのセキュリティに深刻な問題が！？」の件に関して、本日夕刻、FC2より公式のアナウンスがありました。

不正ログイン対策対応状況につきまして（ブログ管理者用お知らせ）

一部ユーザー様のご利用のサービスに不正ログインが行われ、
ページを改ざんされる例がある件につきましてご報告申し上げます。

また、お知らせの方が遅くなりました事を深くお詫び申し上げます。

【不正アクセスが行われていた期間】
去年末11月頃より不正アクセスが行われていた形跡があり、
今年2月中頃から、より頻繁に発生する。

【不正アクセスの対象】
有名オンラインゲームを主に題材としているブログ、ホームページ

【上記についての対策】
対策についてはおおむね対応完了しましたが、現在も万全な検証・調査作業を行っております。
上記のセキュリティ対策により、以降の不正アクセスによる改ざんは確認されていません。

200万人のFC2ブログユーザーは、これじゃ納得しないでしょ。

（FC2ブログの文書って、リリース前にちゃんとチェッカーを通しているのか、疑問に思うケースが多いです。）普段なら、いつものことだと苦笑いで済ませるんですが、今回は状況が違うと思うので、厳しく突っ込ませてもらいます。

「不正ログイン」の内容がうやむや

上記「報告」の文面では、「不正ログイン」または「不正アクセス」という表現に終始していますが、直接のトラブルの原因や技術的な説明が欠落しており、誰が読んでも意味不明です。

「第三者によりブログのHTMLが不正に書き換えられ、そのページを閲覧したPCがウイルスに感染する」状況に至った“HTML書き換え”の原因が、FC2ブログのIDハッキングによるものか、それともFC2ブログの脆弱性を突いたものだったのか。この一番気になる点が、不明瞭なまま。たとえ後者であっても、見つかった問題点を改善したのであれば、そのように報告してくれれば一安心なんですが。「上記のセキュリティ対策」と言われても、いったい何のことやらです。

「ブログ管理者向け」の報告でいいのか

記事の文末には、対処方法や関連リンクが紹介されていますが、今回、PCのセキュリティに注意を払うべきなのは、ブログ管理者よりもむしろ閲覧者側です。にもかかわらず、その注意勧告を行う場が、（FC2ブログのトップページからリンクされていない）「ブログ管理者用お知らせ」だけってのもいただけません。

問題を意図的に矮小化しようとしているか、問題の本質を見誤っているとしか思えません。

そもそも技術面だけの問題じゃない

当初よりFC2ブログは、トラブルに対しては毎回この調子なので、ユーザー側も慣れっこなわけですが、今回の大事に至っては、対応の遅さに加え、今までで最大級のトラブルに対してこの態度。FC2のユルい企業姿勢については、以前から幾度となく指摘され続けてきたと思うんですが、今回は正直、あきれ果ててしまいました。

あらためて、我々ユーザーが納得できるレベルでの、今回のトラブルに関する報告を強く望みます。

【関連記事】
FC2は原因も対策内容も情報公開せよ（ザピースカ2）
FC2から不正ログインに関する公式アナウンス（FC2ブログの歩き方ブログ）

　以前、うちを覗いて行かれたみたいで、ありがとうございます。
　誠に勝手ながら、今回の記事へのリンク貼り及びトラバ送信とをさせて頂きました。
　不都合でしたらコメ・トラバ共に消して頂いてかまいませんので、宜しくお願い致します。

　うちでは以前よりFC2側の姿勢に関して疑問を持ち続けて来ましたが、今回の発表を考えるうち、移転やむなしの結論に達しつつあります。
　早い所、納得できるFC2側の回答が頂けると良いのですけど……。

色付きの文字
テンプレ改ざんを受け、すでに移転した者です。
勝手ではありますが、記事中にこちらの記事へのリンク貼らせていただきました。
不都合あればすぐ削除しますので、ご連絡ください<(_ _)>

はじめまして！
リンク＆コメント＆トラックバック、ありがとうございます。

不都合だなんてとんでもねぇ！
FC2への最終通告のつもりで書いた渾身の記事なので、貴ブログで紹介していただけて嬉しいです。

FC2の態度があんな風なので、ネット上のユーザー同士でハイパーリンクの輪を広げていくことは大切だと思います。どうぞよろしく！

なお、2007年9月に、FC2ブログのユーザー掲示板に投稿された、同様の手口によるハッキング事例の報告が残されていたので紹介します。
http://blog.fc2.com/forum/viewtopic.php?t=18477

はじめまして！

ロストさんは、今回のトラブルで被害に遭い、ブログを移転されたんですね。移転先からのリンク＆コメント、ありがとうございます。

被害を受けたユーザーの心情は、察するに余りあります。ロストさんの新天地でのご活躍をお祈り申し上げます。

＞改ざんが多くあったことに対しては誰も怒ってやしないんだな。
＞その後の対応なんだ。

そのとおり！

貴ブログ(旧)の記事
http://lostfr.blog53.fc2.com/blog-entry-118.html
で紹介されていた、プレイオンラインからのメールにあったABC Newsへのリンク。FC2の「お知らせ」に貼られていたのも、同じ英文記事へのリンクでした。

英語が読めないユーザーは、翻訳サイトでも利用しろってことでしょうか。

問題の核心には触れず、しかも、ユーザーレベルで認知されている情報すら明記していない。期待はずれな「おためごかし」記事をこっそりアップして、それで責任を果たしたつもりでしょうか。

FC2ブログ側の対応の怪しさは、もはやウィルス並みです。

FC2は2006年ごろから中華の標的なのですよ。
【参考:リネージュ資料室】
http://lineage.paix.jp/guide/security/virus-site.html#GOMA

2006/9/30、http://nikumori.blog57.fc2.com/ についてFC2にフォームより連絡。 10/3に削除確認。FC2からは連絡なし。
2006/10/3、http://phontowl.blog22.fc2.com/ についてFC2にフォームより連絡。 10/3に削除確認。FC2からは連絡なし。ただしブログ作成者から連絡があり、以前にもブログ内のリンクがすべてトラップに置き換えられていたことがあり、修正してブログアカウントのパスワード変更したにもかかわらず、今回また被害に遭ったとのこと。


一度餌場を覚えた鼠はそこに毎日来るようになるって言います。
そう、もうFC2は中華鼠の餌場ですから、回避は不可能ですわな。

中華思想:俺のものは俺のもの＝つまり餌場も俺のもの。

餌場で大規模改竄が出来なくなれば上のように1つ1つクラックしてくるでしょう。

連中は毎日何処を改竄しようかとQQメッセなどでやり取りしてるそうで。

もう中国IPがアクセスログにあったらパスを変える位しないと危ないと言うわけです。

コメントありがとうございます！

中国のクラッカーは容赦ありませんね。彼らの犯罪行為がこのままエスカレートし続ければ、そのうち国内／国際問題に発展するかも。

本日、マイクロソフトが対策ページを公開しました。

SQL インジェクション攻撃とその対策
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx

「Web コンテンツ (Web サーバー) から接続しているデータベース サーバーに、管理者・開発者の意図しない特別な細工を施した SQL 文を処理させる事でコンテンツの改ざんを行います。」として、図入りで説明しています。

今回の件では、FC2ブログのデータベースサーバーが、攻撃に耐えられなかったということでしょうか。

NAME:

TITLE:

MAIL:

URL:

COMMENT:


PASS:　※入力すると後で編集・削除できます

SECRET:
管理者にだけ表示を許可する

トラックバックURL　 http://877.blog2.fc2.com/tb.php/868-1c1a8db7
※記事と関連性の低い／内容の薄いトラックバックは削除します。

　2008/04/17の話ですが、ようやくFC2側の公式発表っぽいのがありました。 　不正ログイン対策対応状況につきまして 　ここ数日被害報告を聞...
Desirs du monde[2008/04/18 12:58]