7/11:世界のどこかで戦争がはじまったという嘘

新たな「ストームワーム」出現、「第三次世界大戦」で誘う：ITpro
戦争がはじまったという嘘メールでニュースサイト・動画へ誘導＞ワームを仕込む手口。
こんな嘘が通用するほど物騒な世の中なのが悲しい、って話がそれすぎた。ご注意を。

7/11:Java実行環境にセキュリティホール

情報流出やDoSを誘発：Java SEのアップデート公開、多数の脆弱性を修正（ITmedia）
影響を受けるJava Runtime Environment（JRE）あたりは各種ソフトウェアの動作環境としていつのまにかDLされていたりします。「プログラムの追加と削除」で確認を。

7/11: Macのセキュリティ支援ソフト

Macのセキュリティ設定支援ソフト「セキュリティードクター」（INTERNET Watch）
最近のMacのことは全然分からないのでとりあえずFYI。

7/10:カスペ先生でPOLのIPフィルタを設定する

前のエントリーの続き。
ってことで、実際にカスペ先生のフィルター設定をやってみた。

[フィルター設定手順]
・ファイアウォールを選んで設定＞フィルタリングシステムを開く
・フィルタリングを有効にして「学習モード」設定し、「設定...」をクリック
・アプリケーションの一覧が出るのでpol.exeを選んで「編集...」をクリック
　一覧にpol.exeが無い場合は「追加...」＞参照....でpol.exeを選択。
　（どこに入っているかは環境によるので自分で探してください）
・「追加」をクリックするとルールを追加できます。2つのルールを追加します。

１）ルール名：TCP（適当でOK）
　リモートIPアドレスとリモートポートにチェックを入れる
　IPアドレスの入力をクリック→
　アドレスタイプ：IPアドレスの範囲
　アドレス：TCP/IP　バージョン4
　開始：61.195.48.0 終了：61.196.63.255　→追加
　開始：202.67.48.0 終了：202.67.63.255　→追加
　開始：219.177.144.0 終了：219.177.159.255　→追加
→OKをクリック
ポートの入力をクリック→
　25,80,110,443,50000-65536→OK
→OKをクリック

２）ルール名：UDP（適当でOK）
許可　受信と送信　UDPとなっているのを確認
　（TCPとUDPはクリックで切り替わります）
　リモートIPアドレスとリモートポートにチェックを入れる
　IPアドレスの入力をクリック→
　アドレスタイプ：IPアドレスの範囲
　アドレス：TCP/IP　バージョン4
　開始：61.195.48.0 終了：61.196.63.255　→追加
　開始：202.67.48.0 終了：202.67.63.255　→追加
　開始：219.177.144.0 終了：219.177.159.255　→追加
→OKをクリック
ポートの入力をクリック→
　50000-65536→OK
→OKをクリック

・2つのルールの作成が終わったらOK→OK→「ファイアウォール」のダイアログで「適用」→OKをクリック。

この状態でPOLを起動してログインすると、POL操作中のどこかのタイミングで（どこだったかははっきり覚えてませんが）「255.255.255.255　ポート53と通信してもいいか」と聞いてくるので許可→以降ゲームは問題なく動いています。
※ポート53については公式にも「環境によっては必要」と書いてあるので問題ないと判断。

上記についてはあくまでも猫の中の人の環境では正常に動いているという報告です。また、この操作により他のソフトの実行（接続）に支障が出る可能性もあります。特に自動更新系のタスクがゲーム中に走ると、学習モードの許可を求めるダイアログが頻繁に表示され、全画面モードが落とされる等の現象は頻発すると考えられます。

猫の中の人は質問等には答えられません。適用は自己責任でお願いします。

※この記事は内容確認および加筆の上、表に転載の予定。

7/16追記：
「リモートポート」じゃなくて「ローカルポート」じゃないのかって質問がスレの方に出てるみたいなんですが、「ローカルポート」にすると学習モード立ち上がりすぎでまともに動かないです。（サーバーの50000番台からTCP3000番台に接続してくる）。このポート番号で設定するなら、「リモートポート」が正しいのだと思います。公式のページにも「プレイオンラインのサーバー群で使用する可能性があるポート番号」って書いてあるし。

7/10:POLが直ハックされて怪しいサイトに接続してるかも

※このエントリーの正確性については保証しません。あくまでもそのような可能性が示唆される現象が報告されたというメモです。

●● RMT業者の垢ハックが多発している件27 ●●より。
pol.exeがいきなり怪しい鯖にIDとパスを送信しているような挙動をしているらしい。だとするとソフトキーボードとかパスワードを保存しないとかいう対策ってまったく無意味になりますよね……

837 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 17:47:16 ID:p*****+0
スレ24の139-140
【PeerGuardian2導入】現象確認後入れた。２０４。１３。６９。１２へのHTTPリクエストあり
【説明】
6月中旬辺りからWindowsの終了時のダイアログ表示にやたらと時間がかかるようになる。
この頃から色々調査はしていたが原因つかめず。
POLへのログインできなくなった後、その辺重点的に調べて、
POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
あやしさ爆発。
カスペルスキー体験版をDLしてインスコした後、POL起動時にsvchost.exeが～典型的な～と警告が出る。
その後特にウィルス検査で削除されたなどのログは見てないが、上記IPへのアクセスは無くなった。
でもまだシャットダウンに時間がかかる現象は直らないので、クリーンインストール準備中。
今朝GMコールして110件待ちで5時間後やっと連絡が来て垢止めてもらった。
インフォメには昨日から電話し続けてるがオフライン部門に2回繋がったのみ。
引き続き電話して来ます。
今更だが次はないから
POLパス非保存・定期的に変更、PG2、SecuniaPSIとスレヲチを徹底するは。


853 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 18:07:40 ID:p*****+0
んで、>>837の
>POL起動中にコマンドプロンプトでnetstat -bすると↑のIPへアクセスしてるのはpol.exe。
報告みると、やっぱりPOLﾌﾟﾛｾｽを乗っ取りにくる奴じゃないかと思うんだけど。
POLプロセスを乗っ取ると思われる以上、ファイアヲールも全てのアクセス許可してるようなルールだとスルーしちまうし、>>455の対策を俺はお勧めしたいなー。
今のところ効果あるかは不明だけど、感染してもデータ送信前に引っ掛けられる可能性がある。
それに使わないところは閉じてて損はないわけだしね。

で、455の対策というのがこれ。

455 名前：既にその名前は使われています[] 投稿日：2008/07/10(木) 04:00:07 ID:p*****+0

698 名前：既にその名前は使われています[sage] 投稿日：2008/07/07(月) 21:18:01 ID:********
PCは三台あるがFFインストールPCでブラウジングもしている
（個人的に興味が沸いた為FFAH等も踏みまくってます。）
OSはvistaHP　ブラウザはメインfirefox3 サブIE7　
ルータはWR8500N　3台に固定ローカルIP割り当てている　ポートマッピングもしている
セキュリティソフトはカスペルスキーインターネットセキュリティ
ファイアーウォールの設定　アプリケーションルールでpol.exeの設定をしている
許可しているリモートIPの範囲は
61.195.48.0～61.195.55.255
61.195.56.0～61.195.59.255
61.195.60.0～61.195.63.255
202.67.48.0～202.67.63.255
219.117.144.0～219.117.159.255
空けているポート TCP1024-65535　UDP50000-65535
被害にはあっていません　

上記で指定しているIPアドレスはすべてSQUARE ENIXのものであることは確認済み。
ただしポートについては、公式のQuestions & Answersを見た感じでは、TCPはさらに「25,80,110,443」もあけないとダメらしい。