公式サイトにアクセスしているとlog-marketing.jpに飛ばされる
Master of Epic公式は修正済み
MoE公式以外でx-log旧版使っているところは飛ばされるので注意
問題点
過去に使っていた不正クリック対策x-logと思われるスクリプトタグが残っている
今もサービスしているが新しいバージョンになっており、旧バージョンはサービス終了し、ドメインを手放したと思われる
そのドメインを第三者が取得した
現時点では別ドメインに飛ばされるだけ
公式ページのコピーが作られてログインしてくださいと表示されたらIDとパスワードを入力してしまい、第三者に流出するだろうことが予想される
※あくまで可能性
対策方法
公式サイトへhttpsアクセスする
今のところこれで飛ばなくなる
ブラウザにuBlock OriginやAdGuardなど広告ブロックする拡張機能を入れる
入れておけ
解決方法
サイト運営者が該当スクリプト箇所を削除する
マスターオブエピック【公式】@moepic_official
先ほど告知した、「http」(保護されていない通信)のURLとなっている公式サイトを閲覧した際に、サイト内のリンクをクリックすることで外部ページへ移行する不具合の修正が完了いたしました。
この度は、ご迷惑をお掛けいたしましたことを深くお詫び申し上げます。
めじ@median_moe
こめんとあうと確認
https://gyazo.com/675d0fbe013c968b9962018b51271a22
これ以前でもなんか変な画像読み込まれているとかx-logってなんだよってツイートしてた
今回は別ドメインに飛ばされるので問題が表面化した
2022/12/27
公式サイトにアクセスしているとlog-marketing.jpに飛ばされる報告がある 2022/12/28
uBlock Originなどのフィルターチームの人から報告がある
httpアクセスすると飛ばされる
httpsアクセスだと飛ばされない
uBlock OriginやAdGuard入れておくとどちらでも飛ばされない
2022/12/30
CSIRTの人から報告がある
X-logサービスを提供していたlog-marketing.jpが第三者に取得されおり、使用しているwebサイトは速やかに該当タグを削除することを勧めている 2022/12/31
MoE公式が問題を把握し、該当箇所を削除したので飛ばされなくなった
2022/12/27
すみてぃ~@MoE P鯖@Rolfee_moe
ログインしてない状態だけどMoEの公式からミニゲーム>もえガチャ詳細とリンク踏むと変な画面が出てくるんですけど皆さんがそうなりませんか?
https://gyazo.com/3fb2e38a63eea9294064f61bc81e84df
2022/12/28
Yuki2718@Yuki27183
httpsエラーのおかげで今は問題なさそうですが、無理矢理再現するとconf.log-marketing\.jpがパークドメインになっていて、ww+数字2桁に飛ばされた後問題のページに行きますね。uBlock OriginユーザーやAdGuardで追跡防止有効の人は保護されたはず。
2022/12/30
Osumi, Yusuke@ozuma5119
日本クラウディアのX-logサービスの旧ドメイン,
が第三者に取得されています。まだHTMLタグを埋め込んだままのWebサイトは、すみやかに該当タグを削除することをお勧めします。
ゲームMaster of EpicのWebサイトで確認しました。
https://gyazo.com/6b15667ee768459546f7c481f2e12b43
https://gyazo.com/2349092ef827b7a81df8a077b9c76269
https://gyazo.com/e0ce5de3cc1856e95dea72b7fd1f8612
x-logサービスを展開している株式会社日本クラウディア
URLがlog-marketing.jpなのでここで間違いないだろう 現在はx-log.aiを提供しているのでディスコンになったか、もしくはドメイン更新忘れ どうでもいいけど公式のソースはsuiteなのでv1の頃のままと思われる
ひょっとすると10年くらい放置されている可能性
https://gyazo.com/f39e6b83317710508331316b07cc1734
https://gyazo.com/b855f1473de70cbb19ff39a193758023