質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • PHP

    20327questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    16393questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • セキュリティー

    463questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • iframe

    119questions

    HTMLのタグ<iframe>です。<iframe>は、ドキュメント内に""inline frame""を作るHTML要素で、同じページでセパレートしているドキュメントが表示されるようにします。

(興味本位)(危険)セキュリティリスクを教えてください!

解決済

回答 5

投稿 編集

  • 評価
  • クリップ 8
  • VIEW 1,548

te2ji

score 11261

注意:内容に迷惑行為を行うサイトを含んでいます!
基本的に興味本位の質問です。ちゃんと知識のある人以外、読まないで下さい。

teratail の回答の中のサイトを訪問したところ、有名な「深刻なセキュリティエラー」を警告するサイトに辿り着きました。

深刻なセキュリティエラー

そこで、識者の方に質問です。

ご自身の安全性を確保できる方以外、絶対に訪問しないで下さい

入り口は、こちらのサイトでした。
http://www.materialdoc.com/

初回訪問以降、飛ばされることは無いのですが、再訪問以降もlog として、以下が吐き出されています。

Navigated to http://www.materialdoc.com/
728x90_responsive_atf.js:19A Parser-blocking, cross-origin script, http://publisher.eboundservices.com/keywords/report.js?ver=0.7, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:19
728x90_responsive_atf.js:19A Parser-blocking, cross-origin script, http://publisher.eboundservices.com/keywords/report.js?ver=0.7, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:19
728x90_responsive_atf.js:20A Parser-blocking, cross-origin script, http://www.eboundservices.com/ads/extra.js?ver=0.1, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:20
extra.js?ver=0.1:1A Parser-blocking, cross-origin script, http://eboundservices.com/ads/country.php?ver=1.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:1
extra.js?ver=0.1:1A Parser-blocking, cross-origin script, http://eboundservices.com/ads/country.php?ver=1.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:1
extra.js?ver=0.1:2A Parser-blocking, cross-origin script, http://eboundservices.com/ads/countryus.php?ver=3.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:2
728x90_responsive_atf.js:19 A Parser-blocking, cross-origin script, http://publisher.eboundservices.com/keywords/report.js?ver=0.7, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:19
728x90_responsive_atf.js:19 A Parser-blocking, cross-origin script, http://publisher.eboundservices.com/keywords/report.js?ver=0.7, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:19
728x90_responsive_atf.js:20 A Parser-blocking, cross-origin script, http://www.eboundservices.com/ads/extra.js?ver=0.1, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ 728x90_responsive_atf.js:20
extra.js?ver=0.1:1 A Parser-blocking, cross-origin script, http://eboundservices.com/ads/country.php?ver=1.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:1
extra.js?ver=0.1:1 A Parser-blocking, cross-origin script, http://eboundservices.com/ads/country.php?ver=1.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:1
extra.js?ver=0.1:2 A Parser-blocking, cross-origin script, http://eboundservices.com/ads/countryus.php?ver=3.0, is invoked via document.write. This may be blocked by the browser if the device has poor network connectivity. See https://www.chromestatus.com/feature/5718547946799104 for more details.
(anonymous) @ extra.js?ver=0.1:2
run_prettify.js?lang=java&autoload=true:34 GET https://cdn.rawgit.com/google/code-prettify/master/loader/lang-java.js 
(anonymous) @ run_prettify.js?lang=java&autoload=true:34
(anonymous) @ run_prettify.js?lang=java&autoload=true:34
(anonymous) @ run_prettify.js?lang=java&autoload=true:63
(anonymous) @ run_prettify.js?lang=java&autoload=true:63
report.js?ver=0.7:23 {"allow":true}
report.js?ver=0.7:27 Object {allow: true}
report.js?ver=0.7:23 {"allow":true}
report.js?ver=0.7:27 Object {allow: true}

また、初回訪問時の同時刻帯の履歴を確認したところ、以下が確認できました。

LINK1
http://c.codeonclick.com/script/wait.php?stamat=j%7CB7Z3P6Nhe3tnG6J1eCJjM-oheCtnQ6p1eaonP75x.695%2CocPoqvdNub23mVhppBkQWmGK-xYFyxJB3THsqBtCY2Zp9oO3faMQEPI_zEbaIrtgXuBfcZyROSuQEWiuMSu3SrVUwKAacfF5Dsznbfm8EXFMORT4r6qnmUcTsJRHosJqLsH2MjZwL1iA8FBJEqgaPRx8912sdnXLsinAMrklIgPeC9hfmTp5behnU3npu2UgV-ZqMVci-4MQ_Y6zfxarcOuBpSSjjMuSw8LojgF5KhqEZwO3H7lB13lVsy_NQGfJhibbZ9uk4kN0jAYerdRpYySZKSu0SvuJtJFDk1HtiMw%2C&ttc=y9vrr9yc

LINK2
http://pwwysydh.com/click?i=115&h=Ax722bagzrnp41wtlLr5fx_lLnbwmgfQ3i3c4mSD2g7SeXo0jl6RTGbf1r-0D9d_kcbHTLqqNxRbWhBCDXgOL46sDNrilkGroKviO87Y57Ux6p-JKi3oC1QSQnPZjOCxGkzduDF9Y5JHZkxxcevxZwyWLbr9f8EFtuIT_72x_bCdyuxS356y6hhjZjkmzQ7waPT6Eo8t_G0jloSpsguk1kHgyfbekLa_rG6MdEMjZbYlynN-khtgmSLrmOy-47XFvaNXIXbBJ9VuudZFWsPePnuqGpv6EyPYdjlgq0xuZzdbuGfj4BdbuB1AlSa4_E4DQjhPs6xYO8JwJ6xdMMqeS3hBRRU0txuGjzLpwsr0du6vnoDqisVgfPWs_as14Q_aexTVhBlINZwy63HmdsUH2ZVZ2bqZbfP_iPK-daWmJ9EUYTdZfmFntKWs_k-u62aT_y6_nxIF371pgJ78JnCE_YXMHibZLl5TcScVV6sfkZn2Ki-U1_1rcuDqES-ukl2R972H3Uh0TmLkbhvZ9VjikrnPMj7weY0r_vYjTVx1YaHcMUUNtfPkmzGNKctqIRDmDDrWv690RG1XQGG9oery12MCqwGLiCrBZGXcY7fpYCa-KsSMZGjgRDPsJ-KXSWbwdj0nm7tW1L3Gash4zd9o4ZgqqDIklzcE

LINK3
http://techexpertmountainva.com/index5.html?&c1=%28run+of+network%29&c2=1374309.adexchangeprediction.com


一番最後が、「深刻なセキュリティエラー」のページのドメインです。

最終ページは、JavaScript で alert を出し、iframe で php サイトを呼び出していました。
php でできることは限定的だと思うので、実質被害は無いと思われますが、途中辿った履歴のサイトが何をやっているか分かりません。
最初に訪問したトリガーとなったサイトも、かなりおかしな挙動に思えます。

なにか、実害のある可能性はあるでしょうか?

 追記

今回の発端となった回答に関して、何も切り分けできていないですが、運営に連絡を入れておきました。

 追記2

ご報告が遅くなりましたが、teratail 内の該当する回答、回答者のご協力により、無害なものと差し替えていただけました。
(突然の横やりもかかわらず、大変誠実な対応をいただきました。ありがたいことです。)

すでに、脅威はほとんど無くなりましたので、後は完全に興味本位です。ちゃんと自身の環境を守れる方のみお付き合いください

 追記3

win7/Chrome(56.0.2924.87) の環境で、LINK1 と LINK3 に関しては確認が取れました。
LINK1 では数回のドメイン内で内部転送と新しい window を作成して広告サイトへ飛ばす挙動が確認できました。
多分、ここで「深刻なセキュリティエラー」の元となる LINK2 に飛んだんだと思います。

LINK3 はドメイン内で内部転送を行っているだけでした。

LINK2 の影響のみ確認できません。ご協力いただけると幸いです。

 追記4

LINK1 の転送内で、Google analytics を使っていました。
こういったグレーなサイトでも普通に Google analytics とか使ってるんですね。。。少し驚きました。

 追記5

http://eboundservices.com/ads/country.php?ver=1.0
の先に、難読化されているスクリプトがありました。

 追記6

ココらへんでお手上げです。。。
http:\/\/extra.eboundservices.com\/a\/display.php?r=1374309&treqn=868284055&runauction=1&crr=02de246776de747dfeb3,MathGRwcCb181c415c5449672c08d0
難読化された JavaScript です。
多分おかしなものだと思います。ブラウザでは絶対に開かないで下さい。ちなみに、わざとです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • te2ji

    2017/02/08 09:13

    挙動の解析なので、プログラムに関係してきたと思います。セキュリティ的な影響の確認なので、重要な課題を含んでいると思いますが。。。

    キャンセル

  • te2ji

    2017/02/08 12:52

    評価下げた方に対しての対応を十分しているつもりですが、一切反応ないですね。。。指摘事項はすでに解消していると考えているのですが、コメントいただけると幸いです。

    キャンセル

  • te2ji

    2017/02/09 21:02 編集

    コメントいただけないので、質問の不適切箇所がわからないですね^^;評価もマイナスからプラスに戻ったので、修正対応は十分対応できたと認識して、今後指摘ポイントを意識した修正はコメントがない限り、行わないことにします。

    キャンセル

回答 5

+9

Webレイヤーで何をしているかはわかりませんが、記載の電話番号について検索すると色々情報がでてきます。
不安を煽り電話させることで、電話番号の収集や、電話口で様々な個人情報を収集するのではないでしょうか。
ただ、Teratailで質問することではないと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/07 12:19

    今まで聞くだけで、訪問できなかったサイトに当たったので、実際のセキュリティリクスを確認したくて質問しています。

    識者が途中経過が追えることはかなりレアかと。

    終着URLに関しては、それほどリスクは無いと思いますが、途中踏んだURLのリスクが確認できませんでした。

    >ただ、Teratailで質問することではないと思います。
    こちらの回答の中のリンクがトリガーなので、関連性が確認できれば、そのリンクに対して、リスク表示をするか削除依頼を出したいと考えています。

    キャンセル

  • 2017/02/07 12:25

    > 不安を煽り電話させることで、電話番号の収集や、電話口で様々な個人情報を収集するのではないでしょうか。

    私もこれだけだと思っていたんですが、途中2箇所も経由しているので、それ以外もリスクが有るのではないかと思っています。今の私のスキルでは解析を自身で行えないので、ご協力いただけると幸いです。

    キャンセル

+8

1番最後の「深刻なセキュリティエラー」のページにアクセスしてみました。ブラウザごとにリダイレクトするページを分けているようなので一概にはいえませんが、数秒おきに全画面表示を強制したり(これはブラウザによりブロックされるはずです)、音を鳴らしたりユーザーを動揺させるような動作をするようですね。また、iframeのリンク先は存在しないURLのようです(断定はできません)。
このページはユーザーの不安を煽り、ソフトを購入させたり、クレジットカード番号や有効期限、ID・パスワードなどのカード情報を搾取することが目的のように見受けられます。最近は、脆弱性を利用してソフトをインストールされる手口は今は下火になっていて、PHPやjavascriptでできることは限られているので、アクセスしただけで何か被害がすぐにふりかかるといったことはないと思います。しかし、いまだに利用者にソフトをインストールさせる手法は健在ですので、そこには注意を払う必要があります。
質問者さんの挙げた3つのURLはブラウザ・ハイジャッカーに分類されるものではないかなあと。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/07 19:25

    > 1番上と2番目のURLはブラウザ・ハイジャッカー
    私も不安だったので、痕跡を確認しようとしましたが、ブラウザの拡張機能や設定におかしそうな箇所は発見できませんでした。どのような挙動が予想される仕組みだったのでしょうか?
    念のため、再確認したいので、ご教示いただけると幸いです。

    キャンセル

  • 2017/02/07 20:29

    挙動については、ディスプレイ全体のどの場所をクリックしても不正なソフトのダウンロードが開始されるようにする、ブラウザの脆弱性を利用してブラウザの設定改変や不正なソフトのダウンロードを行わせるなどの動作が考えられます。
    これが正常に動作しなかった原因は、ブラウザもしくは有害サイト対策機能を持つウイルス対策ソフトがブラウザの設定の改変や不正なソフトのダウンロードをブロックしたと考えるのが妥当だと思います。
    そもそも、アドウェアをダウンロードさせることなどが目的ではないことも考えられますね...。

    キャンセル

  • 2017/02/07 21:51

    ブラウザ・ハイジャッカー が動作しなかった確証が持てないので、なんというファイルがダウンロードされるのか?どこの設定が変更されるのか?を教えていただけないでしょうか?

    キャンセル

  • 2017/02/07 22:12

    なんというファイルがダウンロードされるのかについてはわかりませんが、各ブラウザの設定、アドオンを確認する、スパイウェア対策ソフトを利用する、などでブラウザ・ハイジャッカーが動作したかどうか確認できるのではないかと。

    キャンセル

  • 2017/02/08 09:15

    こちらでも確認用の環境が作れたので確認したのですが、s8_chu さんのいうような挙動は確認できませんでした。
    どのような環境で確認された内容でしょうか?

    キャンセル

+3

私はこの質問にマイナス評価をしました。
できればこの質問がアクティブになってほしくないので(これに回答したらアクティブになるというむじゅんはありますが)

この画像にある電話番号に絶対にかけないでください
調べればいろいろ出てきます

http://c.c*o*deonclick.co*m/
P*w*wysydh.co*m
a*e*changeprediction.co*m

勝手にこれらが入ってたりしてね(見せたくないので*でそのままで検索できないようにします)

これらがなんなのか一応内容を調べたけど怖いので結果は乗せませんが

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/07 13:18

    こちらのトリガーとなったサイト、某質問でベストアンサーをもらっている回答の中のサイトなんです。
    一応警告をコメントしていますが、サイト自体に害があるのであれば、削除依頼を出したいと考えています。
    トリガーとなったサイトの害の有無と途中経由したサイトの害の有無をできるだけ早く知りたいと思っています。

    キャンセル

  • 2017/02/07 13:50

    とりあえず、何も切り分けできていないですが、teratail の運営に今回のトリガーとなった回答を報告しておきました。

    回答いただいたドメインが、なにか悪さをしているのであれば、概要を教えていただけないでしょうか?よろしくお願いします。

    キャンセル

  • 2017/02/07 14:28

    少なくとも最初に入った時に上記画面に行くことはないです。
    ポップアップが入っているようなのでそれが問題かもしれません

    ちなみに上記3つのURLに対して直接URL移動しないでね。
    一番上のURLはよくある変なチャットサイトやニコニコ動画のような画面に行く
    3番目が上記画像に行く

    キャンセル

  • 2017/02/07 14:34

    初回時以降ポップアップは無いので、やはり初回時の動作は広告が原因かもしれないですね。サイト自体には問題ないのかなぁ。。。やはりよくわからん。。。

    キャンセル

  • 2017/02/08 16:10

    eboundservices
    とかいう会社はただの広告会社のようです
    ここは特に問題ないのではと思います。

    キャンセル

  • 2017/02/08 17:47

    私もただの広告配信会社だと思っていたのですが、eboundservices のドメイン内で難読化されたファイルがあり、そこから先に進めていません。挙動が分かれば、ただの広告配信会社と割り切れるのですが、今はまだ、何もやっていないと割り切るとこまで確認できていない状況です。
    JavaScript はよくわからないので、難しいです^^;

    キャンセル

+1

スマホで該当サイトを訪れたら下部にあまり品がよいと言えない広告が表示されました。

最近の広告にはブラウザのウィンドウを複数開いたりアンドロイドのグーグルプレイアプリを開いたりと悪質なものがあります。

何も調べていませんが、そのサイト自身が原因なのですか?
悪質な広告のせいではありませんか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/07 14:19

    スマホのセキュリティ精度が分かりませんが、できればスマホからは避けていただいたほうが良い気がします。こちらのサイト、何が起きているのか、追跡できていません。

    728x90_responsive_atf.js と extra.js がおかしなサイトへ誘導しようとしているようですが、サイト自身が呼び出しているのか、広告が呼び出しているのか判断できませんでした。

    再現性がないので、私が最初に飛ばされたのは、広告のせいかもしれないです。ただ、リロード後もブラウザの警告ログが継続しているため、こちらのサイト、おかしな挙動をしているように思えます。。。

    私のスキルでは、お手上げです^^;

    キャンセル

  • 2017/02/07 16:28

    見た感じ技術系のサイトで、わざわざ意図的にフィッシングを仕込むにしては餌が足りないように見えます。
    技術系の人間だけを釣ろうとしているのならともかく、そうでないならアダルトとか金儲けとか人の集まる工夫をするのではないでしょうか?

    また飛ばされる先もそのサイト独自のものではなく既存のもので、特に技術系の人を集める意図は感じられませんでした。

    もし広告に問題があるのだとすれば、それはこのサイトだけの問題ではなく、我々自身も広告を載せようとした時同じ問題を抱えることになると思います。
    また、このサイトを訪れなければ済むという話でもなく、どのページを見ても同じリスクを背負うことになると思います。

    広告であるとするならば、対策としては、ユーザーとしては広告をブロックする仕組みを取り入れる、またサイト運営としては、広告主は第三者機関に選択させるのではなく、自分で選ぶ必要があるでしょう。

    キャンセル

  • 2017/02/07 16:30

    このサイトは飛ばされることが目に見えるので、私はそれほど心配する必要はないと感じています。
    もし本当に危険なサイトであるなら、ユーザーに気づかれないようこっそりと何かを忍ばせているでしょう。

    キャンセル

  • 2017/02/07 17:22

    私はちゃんと中身を評価していないですが、入り口のサイトは、teratail の回答として、適切である程度の有用なサイトのようです。

    サイト運営者が選択した広告プロバイダの問題ではないかと思っていますが、ちょっと切り分けができるほどのスキルがないため、こちらに晒しています。。。

    > このサイトは飛ばされることが目に見えるので、私はそれほど心配する必要はないと感じています。
    最終的にたどり着くサイトは、私個人に取ってはおもしろサイトですが、途中中継されたサイトが何をやっているか不明なのが気持ち悪いです。

    なんだか色々と釈然としません。

    キャンセル

check解決した方法

0

意図した方向性の回答がつかないので、自己回答として、途中経過を記します。

今回、自身の環境への影響を確認する必要があったので、win7/Chrome(56.0.2924.87) を仮想環境で作りました。
(OSの手配に時間がかかってしまいました。。。)

注意書き追記
今回、元々の環境への影響は、ブラウザへの影響調査、OSの挙動、その他ウィルスチェックで何も出なかったので、何もなかった前提で調査をしています。幸いにして(?)ネットワーク環境としてはある程度孤立していたため、調査の結果次第では、再インストールをすることを前提に、元の環境上へ仮想環境を作り、ブラウザの挙動と、仮想環境の変化を観測することにしました。元の環境に影響があることが確認されている場合(マルウェアやウィルスに感染)は、即時のネットワークからの切り離しが前提となります。踏み台等として使用される可能性もあるので、切り離しは速やかに行いましょう。
追記終了

確認できた内容は、質問にも記載しましたが、LINK1/LINK3 では、実質的な脅威はありませんでした。
(UAの違い等で違う挙動をする可能性があります。確認される方は、十分注意して下さい。)

LINK1:数回のドメイン内の内部転送と新しい window を作成して広告サイトへ飛ばす挙動が確認できました。 
多分、ここで「深刻なセキュリティエラー」の元となる LINK2 に飛んだんだと思います。
LINK2に関しては、現時点では 404 が返ってきてしまいます。
LINK3:はドメイン内で内部転送を行っているだけでした。

追記
入り口サイトに関して読み込んだソースを確認して、おかしなものが無いか見ているのですが、http:\/\/extra.eboundservices.com\/a\/display.php?r=1374309&treqn=868284055&runauction=1&crr=02de246776de747dfeb3,MathGRwcCb181c415c5449672c08d0というリンクに、環境を記述した parameter を付記してなにかやっているようですが、難読化されていて分かりません。(リンクはわざとです。)
ただ、あまり関係ないかも。

LINK2 は該当ドメインが過去にIE系で悪さをするマルウェア認定を受けたことがあった。程度の情報しか確認できていません。おかしなことをしているとすると、ここだと思うので、なんとかしたいのですが。。。

追記
これ以上追うことが難しいので、一旦クローズします。
*何か分かれば追記するかもしれないですが。

今回わかったのは、終着画面(今回で言うと「深刻なセキュリティエラー」のページ)に至るまでに、複数箇所を経由しており、そこで行われた行為を追うのが、素人には非常に難しいということです。
トリガーが、普通の技術系サイト(私の感想では、使用している広告会社がちょっとグレーなのではないかと思いますが)での閲覧であるため、ネットを普通に使用している人でも、巻き込まれる可能性は高いです。

隠れた脅威の根幹であると思われる LINK2 が全く調査できないことに不安は残りますが、使用したブラウザの各種設定、拡張機能、更新ファイルの確認で問題が発生していないので、ブラウザを最新バージョンに上げていたため、問題がなかったと思うことにしました。

 結論

最終ページを見て、脅威を感じない人は大勢いると思いますが、そこに至るまで複数の脅威を経由している可能性が高いです。おかしなページに飛んでしまった場合は、最終到着ページの脅威度のみをもって、問題を判断せず、少なくとも同時刻帯に踏んだ URL のドメインがどのような属性のものか?ブラウザの各種設定や拡張機能におかしな挙動がないか程度は調べる必要があると思います。
危機の誤認が一番やっかいなので、十分ケアすることが必要かと!

あと、マイナス評価を入れている人は、どの部分にマイナス評価を入れているのか、コメントをお願いします。
正直、何がマイナスなのか理解できません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/02/09 21:05

    また、評価下がってるなぁ^^;
    何がイケないんだろ。。。

    私に間違い箇所が伝わらない限り、評価下げる行為に意味が無いんじゃないですかね?

    キャンセル

  • 2017/02/10 00:21 編集

    個人的にはこういう質問がたまにあってもいいと思います。たまに。たびたびあると興ざめですが。

    評価が下がった原因のひとつは、「丸投げ」だったからだと思います。

    質問した時点ではサンドボックスも作ってませんでしたよね。こういうものを解析するときは、まずネットワークから*物理的に完全に*切り離した環境に検体を移してから始めるのが、正式なやりかたです。VMでも不徹底です (今回はそれで済んだと思いますが、下記の通り教育的によくはないです)。

    そういったマルウェア解析につきものの基本的な手技を最初から実施し、そのことをきちんと解説してから質問をはじめれば、教育的効果という意味で良質問になったかもしれません。

    あと、やってみてわかったと思いますが、この手のものを解析しても、技術的に得るものは実は多くないんですね。

    背後に国家がついているような大規模サイバー攻撃なら、それなりに高い技術と物量で押してくるので少しは面白みもありそうです (個人では解析しようがありませんが)。しかし、数打ちゃ当たる方式で広く薄く小金をせしめようというチンケな詐欺集団では、使われている技術もそれほど高くなく、「母さん助けて」流の心理作戦が主になります。知見のある人ほど興味を持ちにくいネタだったかも。

    あと、プログラミングのQAサイトなので、難読化ごときで引き下がったのはもったいなかったです。フォーマッタなり通せば解除できたはずです。

    とはいえ、遅滞なく運営と連絡を取って対策に動いた点は、もっと感謝されてもよいと思います。また、スパムコメントの削除以外目立った介入をしなかった運営に対しても、ありがたく思います。

    一応本回答に+1しておきますが、以上のようなわけで、気持ち的には+0.6くらい。

    キャンセル

  • 2017/02/10 01:24 編集

    質問に対しての評価が下がった理由は、丸投げ感があったためかもしれないですね。ただ、すでに解消しているつもりですし、それに反応が無いので、やっぱり理由は分かりません。

    > ネットワークから*物理的に完全に*切り離した環境に検体を移してから始めるのが、正式なやりかたです

    マルウェアに感染した形跡があったわけでもなく、ウィルスチェックに引っかかったわけでもないので、切り離す意味は特にないかと。検体になるものも無いですし。。。ですので、今回マルウェアの解析も行っていないです。
    単純にネットワークの挙動を確認していただけですね。

    > 教育的効果という意味で良質問になったかもしれません。

    サイト内のリンクを踏んだ結果だったため、こちらの環境を整えるより、切り分けできそうな情報を優先して提供して、手伝ってもらおうと思ったんですが、その方向性の回答がつかなかったので、結構困りました^^;
    教育的な観点で云々は、質問者の考えることでは無いかと。私が影響範囲がわからず困ってるのであって、誰かの教育の為に質問したわけではないです。

    > この手のものを解析しても、技術的に得るものは実は多くないんですね。

    技術的には確かにそれほど目立って面白いものはありませんでした。ただ、挙動的なものはおおいに勉強になりました。こちらの回答の大部分もそうですが、たらい回しにされていることを忘れた対処をしてしまいがちですが、実際には3つ以上のドメインを経由しています。堅牢なブラウザに助けられた形ですが、なかなか実際に追わないと、実感しにくいかと。
    LINK2ではもっと面白い挙動が確認できていたかもしれません。残念。。。

    > プログラミングのQAサイトなので、難読化ごときで引き下がったのはもったいなかったです。

    そうですね!ぜひご協力いただけるとうれしいです。私には敷居が高かったですが^^;

    全体通して、質問の趣旨がうまく伝わっていなかったのが反省点ですかね?

    質問ではなく、この回答に対してのマイナス評価も理由がわかるとうれしいです。回答の教育的配慮の欠如に関してはフォローをしました。

    キャンセル

  • 2017/02/10 08:33

    一点だけ補足。
    > マルウェアに感染した形跡があったわけでもなく、ウィルスチェックに引っかかったわけでもないので、
    それは、te2jiさんが、暗黙にそういったものを踏まないように気をつけていたということです (解析しているトラフィックはファイルでもあるのですから)。うっかり踏んでしまったときのリスクを過大評価して (失敗はありえますし、ウィルスチェッカは万能ではありません)、正しい手法で対策を立てていることを解説してから質問にはいればよかった、という趣旨です。
    またそうすれば、不安に駆られて荒らしに走る人を減らせたとも思います。

    キャンセル

  • 2017/02/10 08:47

    ikedas さんの考える正しい手法はどのようなものでしょうか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.52%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    20327questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    16393questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • セキュリティー

    463questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • iframe

    119questions

    HTMLのタグ<iframe>です。<iframe>は、ドキュメント内に""inline frame""を作るHTML要素で、同じページでセパレートしているドキュメントが表示されるようにします。