近況の報告
みなさん、お久しぶりです。
Mr.Kです。
今日は報告です。
実は以前終息したと言っていたハッキングなのですが、現在も続いており、ネットそのものが使えない状態です。
ツイッターやFacebookは細々とやっているのですが、ハッキングされていないと言う確信が持てず(と言うより、ハッキングされていると思います)情報発信するところまでいく前に何度も再インストールを行って、なかなか機会が持てませんでした。
一体何が起きていたのか?
現在起きている状況。
インストール後にリモート操作される状態であったことと、アンチウィルスソフトをインストールすると頻繁にPCが落ちるような不安定な状態になってしまいます。
※ リモート操作は現在はされていません
あまりにも状態が改善しないので、2月からいろいろなことを試していました。
その結果、クリーンインストールした直後に他のパソコンを接続せずにルーターに直結してインターネットにつなぎ、WindowsUpdateをすると、マイクロソフトのサーバーではない別のサーバーにつないでいました。
クリーンインストール直後なので、おそらくはDNSサーバーがおかしいのではないかと思うのですが、プロバイダに問い合わせしたところ、特に異常は無いと言う回答でした。
「2-3日時間をもらう」と言いながら半日ほどで返事がきたので、まともに調べていない可能性もあります(笑
IPのチェックはnetstatと言うコマンドプロンプトで実行するコマンドで、細かくWindowsUpdateのアップデートをチェックしているときに確認をとりました。
下のスクリーンショットはその時の様子です。
FullHDのモニターですが、タスクバーにWinodowsUpdateとコマンドプロンプト以外は何も実行していないと言うことをお見せするために、縮小などを行わず、そのままアップロードしています。
小さなモニターやモバイル回線で見ている方は注意してください。
最初は正常にWindowsUpdateのサーバーにつながっているのですが、同時に211.131.224.で始まるIPアドレスにつなぎに行き、最終的にはWindowsUpdateを乗っ取ってしまいます。
(211.131.224.で始まるIPアドレスからWindowsUpdateをダウンロードしてしまう。)
Windows7,8.1,10で確認しましたが、7はwindowsupdate中に時折、コマンドプロンプトではない黒い小窓が一瞬表示されることが何度かあります。
一瞬なのでスクリーンショットは撮れませんでした。
8.1と10では表面的にはまったく何も異常が出ないので普通はまったく気がつかないと思います。
画面に出てくる表示では、WindowsUpdateは何度か失敗した後、更新を確認しつづけると最終的にはすべての更新がインストールされたと表示されるのですが、マイクロソフトが出しているWindowsDiagnosticToolでチェックすると正常に終了していないと表示されます。
この状態でセキュリティ対策ソフトをインストールすると極度に不安定になってしまうため、おそらくスパイウェアなどが仕込まれてしまっているのだと思います。
いろいろなところに確認をとったり相談したりしたのですが、どうも専門家の方は「WindowsUpdateのサーバーが正常につながらない」と言う状態の危険性がよく分かっていないようで、話にならない状態です。
WindowsUpdateのサーバーを乗っ取ってしまうサーバーのIPアドレス一覧。
211.131.224.8-211.131.224.83までのIPをランダムに接続します。
WindowsUpdateのとき、このIPアドレスに接続していた場合、あなたのパソコンにもスパイウェアが仕込まれている可能性があります。
IPアドレスは上のIPアドレスの範囲の中から確認できているだけでも14個、おそらくは全部で30個以上はあると思います。
一応このIPアドレスの管理はソフトバンクモバイルとなっていますが、iphoneとかipadなどに払い出されるIPアドレスとは違うようです。
グローバルIPを30個も使うと言う事はかなり大規模なので組織的にやっているのではないかと思います。
※ その後さらに調査をすすめ判明しましたが、どうもhttp接続で特定のアドレスにアクセスすると同時に211.131.224.8-211.131.224.83までのIPにランダムに接続しにいくようです。
WindowsやLinuxなどOSは関係無くつなぎに行くので、とても厄介です。
※ また、私は光回線を使っていますが、つなぎっぱなしだとIPアドレスが変わりませんので、寝る前にLANケーブルを抜いて接続を切ってIPアドレスを何度か変更していますが、変更しても一時間くらいで海外の複数サーバーからICMPが届きますので、どこか決まったサーバーにアクセスしてIPアドレスが変更されても分かるようにしてあるのだと思います。
今回の犯人とは別のクラッカーが今回の犯人の仕組みを利用している可能性もありますので、今後のネットの積極的な利用は難しいと判断しました。
私のプロバイダはJens spinnetと言うプロバイダで、リモートホストにodn.ad.jpがつく旧odn系のプロバイダです。
odnは既にソフトバンクに買収されましたが、ソフトバンク系列プロバイダ(同じdnsサーバーを使うプロバイダ)には今回私が報告した現象が起きるリスクがあると思います。
ルーターが乗っ取られている可能性もありますが、今回の一件で使っているルーターが故障して新調したばかりなのでその可能性も低いと思います。
また、組み込み機器のプログラムを矛盾が出ないように都合よく書き換えるというのも至難の技ですので、その点を考えても可能性は低いでしょう。
私のプロバイダではdnsサーバーは自動取得です。
オープンリゾルバをチェックするサイトでDNSサーバーのホスト名を確認しました。(下はその一部です)
設定されている DNS サーバ : 143.90.55.100 (tcns101.odn.ne.jp)
設定されている DNS サーバ : 143.90.55.103 (tcns104.odn.ne.jp)
設定されている DNS サーバ : 143.90.55.105 (tcns102-2.odn.ne.jp)
ホスト名を見るとラウンドロビンしているようですが、基本的にDNSサーバーのホスト名にodn.ne.jpが付くようです。
同じDNSサーバーを使っていた場合、注意したほうがよいでしょう。
まとめると
ウィルス対策ソフトには引っかからない。
クリーンインストールした状態でwindowsUpdateが4-5回失敗するが表面的にそれ以外の異常は無い。
と言うことで、現在のところ
・WindowsUpdateのIPアドレスをチェックする
・WindowsUpdateDiagnostictoolでチェックする
以外の検出方法(?)がありません。
通常の場合、WindowsUpdateのサーバーをチェックしたりはしないと思いますので、意識しないと気がつくことすら無いと思います。
dnsサーバーが異常だった場合、被害が広範囲の可能性もありますので、注意を喚起しておきます。
WindowsUpdateが別のサーバー経由でダウンロードされ、インストールされると言うのは、大問題だと思うのですが、相談しに行った機関の反応などが鈍くてまったく危機感がなく、ビックリです。
対処方法
対処方法は現在のところありません。
なぜならばWindowsUpdateをするということは何らかの脆弱性があると言うことで、その脆弱性を突かれてハッキングされてしまうので対処する方法もまたありません。
この方式だとウィルス対策ソフトも無力です。
ネットをなるべく使わないようにするぐらいしかありません。
このような状況ですので、当面のところ、情報発信は自粛したいと思います。
非常に悔しく思いますが、どうにもなりません。
なお、現在、状況によってほとんどの機器が使えなかったりメールのチェックができなかったりする状態ですので、メールをいただいても返信が大幅に遅れる可能性があることを申し添えておきます。
ご理解のほどよろしくお願いいたします。
また何か新しく分かったことがあれば、報告したいと思います。
今日も最後までお読みいただきありがとうございました。
ブログランキング参加中!応援お願い致します。
もっと詳しく知りたい事や
理解できなかった事などございましたらお気軽にご連絡下さい。