XREAの自動挿入広告が改竄されてウイルス混入

【2008/6/15 記載】

とあるオープンソースのECサイト構築パッケージを試したく、現在契約している「さくらのレンタルサーバ」ではMySQLのバージョンが合わずセットアップできないため、VALUE-DOMAIN.COMでのドメイン取得とXREA(エクスリア)の無料ウェブサービス(レンタルサーバ)を契約しました。

VALUE-DOMAIN.COM
http://www.value-domain.com/

XREA
http://www.xrea.com/

取りあえずは無料版ですが、ゆくゆくは有料契約に切り替えようと思っており、当面、広告が自動挿入される運用でいいかぁ〜と思っておりました。

掲載広告について
http://www.xrea.com/?action=ad

で、ここからが本題ですが、2008/6/15現在、自動挿入される広告が改竄されて、ウイルスが混入している状況です。

つまり、広告が表示されない状態では何の問題もありませんが、

image1.gif

広告を表示するようにすると、

image2.gif

このようにウイルス警告が出ます。

image3.gif
http://61.238.148.112:81/i115.swf
SWF/Exploit.CVE-2007-0071 トロイの木馬

これは以下の記事にあるように、Flash Playerの脆弱性によるものです。

Flash Playerに新たな脆弱性、サイト改竄と組み合わせた攻撃も発生

http://internet.watch.impress.co.jp/cda/news/2008/05/28/19718.html

Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表

http://internet.watch.impress.co.jp/cda/news/2008/05/29/19737.html

つまり、私のPCにインストールしているFlash Playerが一つ前のバージョンである9.0.115.0であるために起きており、

image4.gif

以下のAdobeサイトにある最新版の9.0.124.0にすれば問題は起きません。

http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&Lang=Japanese

2008/6/15時点の最新バージョンの表示

image5.gif

う〜ん・・・

無料で提供されているサービスで、サポートに人員を割けないのは理解できるのですが、2008/6/12に問い合わせて、2008/6/14時点で明確な回答をいただけていません。

またネットで情報収集したところ、2008/6/8頃からウイルスが混入している状況になっていて、改善されていないようです。

  • 無料で提供しているサービスなので、サポートには時間がかかる。
  • 有料版にすれば、広告表示義務がなく、今回の問題は起こらない。
  • Flash Playerを最新版の9.0.124.0にすれば、今回の問題は起こらない。

という点で、XREAに非はないと理解しております。

とはいえ、私のテストサイトのように誰もアクセスしないサイトだけでなく、XREAの無料サーバを使っているアクセス数が多いサイトでも同じ問題が起きており、結果としてウイルスをばら撒く場所を提供していると思っております。

私なりのテスト期間が過ぎたら、知り合いにXREAの有料版を紹介して、ECサイトを立ち上げてもらおうと思っていたのですが、今回の件で他のレンタルサーバを紹介するしかないと考えております。

【2008/6/17 追記】

カスタマーサポートより対応完了の旨、連絡がありました。

不具合についてのアナウンスは以下URL。

http://sb.xrea.com/showthread.php?t=12839

無料サーバなので、迅速な対応を行うためのコストがかけられない旨、記載されており、ごもっともです。


添付ファイル: fileimage5.gif 99件 [詳細] fileimage2.gif 98件 [詳細] fileimage1.gif 100件 [詳細] fileimage4.gif 104件 [詳細] fileimage3.gif 99件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-06-19 (木) 12:58:11 (3628d)