お詫び:外部配信広告サーバーの障害について


 9月24日(金)21時半頃から9月25日(土)1時過ぎ頃までにかけまして、弊社が広告の外部配信を受けております株式会社マイクロアドの広告配信サーバーにおいて、第三者の攻撃により一部データが改ざんされ、配信された広告が含まれるページを閲覧した際、悪意のあるサイトに誘導され、ウイルスに感染する恐れがあったことが判明しております。

 弊社Impress Watchサイトにおきまして、当該配信による広告は、ページ表示時に必ず配信されるものではありませんでしたが、当該時刻にImpress Watchサイトを閲覧された読者の方から被害の報告と警告が出た旨の報告を複数いただいております。

 株式会社マイクロアドからは25日1時07分に対応を完了の旨アナウンスが出ており、「関連する影響範囲等につきましては引き続き調査を継続してまいります」と連絡を受けていますが、弊社サイトでは、現在当該配信サービスによる広告の表示を止めております。弊社におきましても経緯の詳細が分かり次第、追って情報を開示して行く予定です。

 読者の皆様にはご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。


関連情報

2010/9/26 21:16


【更新 2010/9/27 17:30】

●セキュリティソフトベンダー各社が、当該ウイルスの情報と対応方法を公開しています

 SecurityToolの概要(トレンドマイクロ)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.STL&VSect=T
 SecurityToolの概要(シマンテック)
 http://jp.norton.com/security_response/writeup.jsp?docid=2009-100913-4833-99&tabid=3
 SecurityToolの概要(マカフィー)
 http://www.mcafee.com/japan/security/virF2009.asp?v=FakeAlert-KW
 SecurityToolの概要(ソースネクスト社)
 http://sec.sourcenext.info/support/securitytool.html


●弊社の記事でも対応方法を紹介しています

マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響(INTERNET Watch)
http://internet.watch.impress.co.jp/docs/news/20100927_396326.html


○対応方法の例

トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。

 1)この不正プログラムのファイル名を確認します。
 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.STL」で検出したファイル名を確認し、メモ等をとってください。ここで確認したファイル名を以下の手順で使用します。

 2)メモリ上で実行されている不正プログラムのプロセスを終了します。
 下記方法でタスクマネージャーを起動し、手順1)で確認した名称のプロセスを終了します。
  ・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
  ・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。

 3)タスクマネージャを終了します。

 4)不正プログラムが追加したレジストリキーを削除します。
 以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。
  キー:HKEY_LOCAL_MACHINE\SOFTWARE\<不正プログラムのファイル名>

 5)不正プログラムの変更したレジストリ値を修正します。
 以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。
 場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 値(修正前):<不正プログラムのファイル名>= "<Application Data>\<不正プログラムのファイル名>\<不正プログラムのファイル名>.exe"
 値(修正後):<不正プログラムのファイル名>= ""

 6)Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この不正プログラムが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。
 * <Application Data>\<不正プログラムのファイル名>

 7)Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて]を選択)などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。
 * <デスクトップ>フォルダ\Security Tool.lnk -自身のコピーへのリンク
 * <User Profile>\Start Menu\Programs\Security Tool.lnk - 自身のコピーへのリンク

 (註: <デスクトップ>フォルダは、Windows 98 および MEの場合、通常 ""C:\Documents and Settings\<ユーザ名>\デスクトップ"" です。 Windows NTの場合、""C:\WINNT\Profiles\<ユーザ名>\Desktop""、Windows 2000, XP, Server 2003の場合は ""C:\Documents and Settings\<ユーザ名>\Desktop"" です。)

 (註:<User Profile>フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

 8)最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。この不正プログラムは「TROJ_FAKEAV.STL」と検出されます。検出したファイルはすべて削除してください。

 9)全ドライブ検索を行い何も検出されなければ、処理は完了です。