2017年2月15日 (水)

国内からの不正ログイン元の調査中

2016年秋から国内からの不正ログインは犯罪目的の中華Proxyを利用しているというよりも踏み台を利用しているのではないかというぐらい地域や回線がバラバラで少ない情報を集めていたんですが、これ以上は個人では難しそうで多くの情報が集まるところで調べてもらった方がいいと思われるので途中経過と決定的な証拠のない推論を書いておきます。

2016年11月に書いた記事でIPアドレスからISPなどがバラバラなのが確認できます。

最近の国内からの不正ログインの特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/11/post-3592.html

この頃から踏み台を疑っていてIPアドレスを調べたいところでしたが中華Proxyでは短時間でIPアドレスが切り替わるため、こちらがSNSで情報を見つけてすぐにアクセスしても無関係な回線を調べてしまうおそれがあるため変なことができず、ブラウザでIPアドレスを入力してアクセスしてみて自宅Webサーバー公開されてそれが原因じゃないかという程度の調査をしていましたが、不正ログイン元として公開されていた国内のIPアドレス9つのうち4つでこのような表示がされました。

Airstation

国内でよく売れているBUFFALOのルーターへのWAN側からのログイン画面ですね。

想定ではパソコン、サーバー、NASあたりが踏み台の候補だったんですがちょっと想定外でした。

踏み台にされたと思われる人のツイートを見てみると、警察に押収されてマルウェアに感染が確認されたという人もいましたが、パソコン以外の可能性のあるものも見つかったりします。

ルーターを疑っているようなツイートがあるんですが、この少し前に悪代官さんのところの掲示板にもルーターのDNSを変更されているという相談がありました。

悪代官の伏魔殿掲示板
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=7100852#14988018

DNS1:107.191.61.70
DNS2:8.8.8.8

この値に書き換えられているという話で、1月にKasperskyから発表されたSwitcher Trojanとも違うんですよね。

Kaspersky Lab、Wi-Fiルーターを狙うAndroid向けトロイの木馬「Switcher Trojan」を発見 | カスペルスキー
http://www.kaspersky.co.jp/about/news/virus/2017/vir10012017

下記サイトではTP-Link製のルーターとの話ですが相談者はLogitec社製の「LAN-W301NR」と当てはまりません。

Wi-FiルーターをハッキングしてDNSを切り替えるトロイの木馬「Switcher」 – カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/switcher-trojan-attacks-routers/13538/

相談者と同じDNSに変更されたものだと悪名高いロジテックの機種で他にもあったようです。

iPhoneが勝手にリダイレクト?マルウェア?:ふじもりのトレンドあっぷでーと:So-netブログ
http://fuji35.blog.so-net.ne.jp/2016-08-16

iPhoneがリダイレクト型マルウェアに感染した話。 - MY SEASON
http://mickey6789.hatenablog.com/entry/2016/07/28/222958

BUFFALOのルーターを持っていないのでネットで調べた程度ですが、WAN側からのログインは初期設定でオフの設定のようですので元々設定が甘いものか何らかの方法で設定を変更された可能性があるのでは?VPN機能を悪用されているのでは?という疑いを持って調べていたんですが個人で情報を集めるのにそこまではなかなか難しいところです。

なにか決定的な証拠があるわけでもなく間違っているかもしれませんが、否定するだけの決定的な情報もないんじゃないかとも考えています。

ルーターのファームウェアを最新にしていてパスワードも初期状態から複雑なものに変更し、WEPやUPnPも使用していないから大丈夫かというと別の落とし穴も想定していて、数は少ないようですがいまだにリモートデスクトップの不正ログインを試みているようで、成功した場合にブラウザに保存されているパスワードからルーターの設定画面に入られて設定を変更されるというシナリオも想定しています。また、過去に変更されていたとしてもどれだけの人が気づけるのかという問題点もありますね。

踏み台などの不正アクセスなどでISP側から連絡する場合はパソコン以外のものも考慮して連絡しないと対処できないかもしれないと考えていますけどどうでしょうね。

2017年1月28日 (土)

メールの情報を盗んでウイルス添付メール?

自分のYahooメールから知らないうちに知り合いに添付ファイル付きで送られていたという被害があったようです。

この二人の話を総合するとログイン履歴無しで過去のやりとりしていた相手に添付メールが送られていると思われます。

Javaと書いてますがソースが表示されたということからJavascriptではないかと。となると現在ばらまかれているマルウェア添付メールの変形で、過去に不正ログインで収集した情報からなりすましてやりとりしたことがあるアカウントにメールを送信しているのではないかと考えられますね。

添付ファイルについては入手できていないのでどのようなものかわかりませんし、限られた人間にしか送っていないとなるとセキュリティソフトメーカーも検体の入手がどこまでできているか疑問があるのでセキュリティソフトが反応しない可能性もあります。

メールの情報を利用すつ似たような事例として不正ログインで収集した情報からUFJのフィッシングメールを送っていた例があったため、ついにマルウェア配布にも使われ出したかという感じです。

Amazonマーケットプレイスと三菱東京UFJのフィッシングメール: 独房の中
http://f36type.cocolog-nifty.com/blog/2014/10/amazonufj-32f6.html

過去に盗まれた情報でなりすましで送られているとなると悪用された側はこれ以上防ぎようはないですし、送られた側に添付を開かないようにと呼びかけるしかなさそうですね。

他に最近Skypeの乗っ取りも増えてきていて、リンクのメッセージが届いたとの話がいくつか見つかっています。

Baidoのリンクが送られてきている少し前にあった攻撃がまた起こっているのかと思っていましたが、エロサイトとか書いてあるので別件ぽいんですがアドレスを見つけられていないために確認できていません。

こちらも知り合いから変なアドレスが送られてきても開かないように注意してください。

1/29 追記

piyokangoさんの調べによると他の類似被害からメールソフトからのログイン履歴があったり知り合い以外からの届いたとのツイートもあったようです。忙しくてそこまで調べてる余裕がなかったので詳細までは調べ切れてない状態です…

 

 

2/ 6 追記

ヤフーメールの私のアドレスから、「付出し」というタイトルで迷惑メールが大量送信されているようです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13169864453

こちらの質問ではログイン履歴がないとのことですが、メールソフトログイン履歴までチェックしたのか不明です。

2017年1月26日 (木)

中国のVPN制限の誤解と不正ログインの現状

中国がネット規制回避のVPN全面禁止へ、中国在住日本人への影... - Record China
http://www.recordchina.co.jp/a161762.html

中国、ネット規制で“抜け道VPN”の監視体制強化 Google、Facebook、Twitterなどのアクセスが困難に? - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1701/23/news132.html

中国国内でVPNが禁止となり特定のサイトなどに接続できなくなるとの情報がでていますが、全面禁止されるとの誤解が多いようですね。中国に詳しい人たちからは訂正するような情報が出ています。

まとめられていました。

「中国がネット規制回避のVPN全面禁止へ」は本当か? - Togetterまとめ
https://togetter.com/li/1074409

こちらの音声で詳しく解説されていますが、元々許可制だったのが許可を取らないものが大量にあったのが原則に戻すということのようです。そのため許可を取れば以前と問題なく利用できるようです。

荒川強啓 デイ・キャッチ! | TBSラジオクラウド 「ニュースクリップ:中国」福島香織
https://radiocloud.jp/archive/dc/?content_id=13368

正規の使い方以外にも犯罪目的に使えると宣伝しているものも多数あったようで、2015年には月2000-5000円程度で中華Proxyを貸し出していたとの報道がありました。

中国に140超の代理店 不正アクセス摘発のサーバー業者  :日本経済新聞
http://www.nikkei.com/article/DGXLZO85853360Y5A410C1CC1000/

【中国】ネット不正:中国サーバー140業者「ハッキングOK」[2/10]©2ch.net
http://yomogi.2ch.net/test/read.cgi/news4plus/1423610398/1

今回の規制でこれら犯罪目的の中華Proxyの不正ログインに影響があったのかという点に注目しました。

VPN規制の発表のあった日は通常の4割程度の被害にあったとのSNSへの投稿しか見つからず、規制の効果があったように思えましたが、翌日には8割程度まで戻っています。アクセス元が書いてあったものをのせておきますが、裏で勧誘しているものは対象外なのかもしれないですね。

 

 

1/28 追記

許可をとるというのは全面ではとのコメントをいただきましたが、こちらの記事で中国のVPN事情が詳しく書かれています。

「中国がネット検閲回避のVPNを全面禁止」は誤報です | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
http://www.newsweekjapan.jp/stories/world/2017/01/vpn.php

【まだ使えてます】中国でのVPN規制強化のニュース!実情と今後の対策について考察 | 小龍茶館
http://xiaolongchakan.com/archives/%E3%80%90%E3%81%BE%E3%81%A0%E4%BD%BF%E3%81%88%E3%81%A6%E3%81%BE%E3%81%99%E3%80%91%E4%B8%AD%E5%9B%BD%E3%81%A7%E3%81%AEvpn%E8%A6%8F%E5%88%B6%E5%BC%B7%E5%8C%96%E3%81%AE%E3%83%8B%E3%83%A5%E3%83%BC.html

中国がネット規制回避の未認可VPN禁止、影響と対策は - Record China
http://www.recordchina.co.jp/a162179.html

個人でもこういった業者を使う以外に、家庭用のルーターのVPN機能を利用して自分用のVPNで突破している人もいるようです。

また、金盾がそれほど強力かというとちょっと疑問もあり、Twitterだとクライアントの変更で利用できたりしたようです。

1/29 追記

無料のレポートが公開されています。企業向けは許可されて個人向けは許可されていないってことを結構理解していない人が多かったようです。個人向けも許可していたら制限している意味が無いですからね。中国で募集していない海外のVPNもどこまで規制されるのかちょっと興味がありますけど。

 

2/3 追記

中国政府による“VPN規制強化”の実際と中国におけるVPNへのニーズの現状 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/1042377.html

2/6 追記

中国VPN規制、国内の未許可業者対象か - NNA ASIA
http://www.nna.jp/articles/show/1567226

2017年1月19日 (木)

台湾から規模の大きいリスト型攻撃があった模様

この24時間で主にGoogleのアカウントが台湾からログインされそうになったとのツイートが急激に増えています。

Google_taiwan

「google OR gmail 不正 台湾」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

他にもFacebookでも台湾からという話も見つかりますので、今までより台湾から規模の大きなリスト型攻撃があったと考えられますね。

これと対照的に国内からの不正ログインとYahooへの不正ログインが数が減っていると思われるので、台湾の中華Proxyを利用した攻撃の可能性が高そうです。

これとは別に、前日はMicrosoftアカウントへロシアからやInstagramへウクライナからといったものも数は少ないものの特徴的にありました。今までの傾向からメールへのロシアからの不正ログインはゲーム関係のサイトから流失したリストを使ったゲームのアカウント狙いの攻撃が大半で、SteamやOriginといったサイトへメールから狙っている可能性があります。Instagramへはアカウント乗っ取り、アイコンやプロフィールの変更で他のサイトに誘導するスパムアカウントに変更してしまう攻撃の可能性が考えられます。

2017年1月10日 (火)

pixivの不正ログインが継続中?

2016年11月と12月にかけて二度ほどリスト型攻撃を受けたpixivですが、この時に発表された普段と違う端末や場所からのログインがあった場合の通知機能が動き出したようです。

[pixiv] お知らせ - 【重要】pixivの一部アカウントに対する「なりすましログイン」の報告とパスワード変更のお願い
http://www.pixiv.net/info.php?id=3897

ユーザーの皆さまにpixivを安心・安全にご利用いただくため、今後普段とは違う場所や端末からのログインを検知・通知するなど不正なログインを防止できる機能の開発を行ってまいります。

そのためか、先週末あたりからpixivに不正ログインされたとのツイートが見つかりだしています。大半が中国からとのことで台湾も混じっているようですね。

規模は小さいものの現在も継続的に不正ログインを試みられていると思われるので、お知らせに書いてある方法で不正ログインを防ぐようにしておかないと年末のような騒ぎがまた起こるかもしれないですね。

「pixiv 不正 -rt」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

2017年1月 5日 (木)

ネルケプランニングでサイト改ざんと情報流出?

最初確認した時は最初の復旧後だったのか正常に表示されていましたが、現在1/5夕方にはサイトは表示されていない状態となっています。

http://www.nelke.co.jp/

公式の情報だけだと何が起こったかわからないので他の情報も拾っていくと、カラッキングのようですね。トップページはこのようになっていたようです。

http://archive.is/pJC5b

また、これだけではなく一部情報流出しているとの話も出ていますね。

犯行声明ページのアーカイブ
http://archive.is/6iofW

別のバージョン?
http://i.imgur.com/KJNdFP2.jpg

その場限りの対応をした結果、かなりコケにされていたみたいですね…

1/12 追記

公式から情報があり、閲覧(流出?)の可能性のある情報は

必須入力

PCメールアドレスもしくは携帯メールアドレス、パスワード(暗号化)、名前、名前フリガナ、性別、生年月日、職業、都道府県

任意入力

郵便番号、住所、電話番号

との発表がありました。サイトの再開は1月中の予定のようです。

生年月日など他サイトの秘密の質問などにも使えそうなものがあるので、閲覧された可能性のある情報でパスワードや秘密の質問を他のサイトで利用している場合は、そのサイトも不正ログインされないか注意をしておかないといけないですね。

2016年12月24日 (土)

Amazonの不正ログイン被害に注意

二人だけですがAmazonで被害が出ているとのツイートを見かけました。他にも被害が出ている可能性がありますね。

どうやってログインしたかは不明ですが、いくつか考えられます。

少し前から大量に出回っていたフィッシングメールに入力してしまっていた場合。
この場合はすぐにパスワードの変更とクレジットカードの情報も入力してしまった場合はカードの停止も検討してください。

他のサイトから流出したパスワードによるリスト型攻撃の場合。
パスワードの使い回しが原因なので、パスワードを変更してパスワードの使い回しをしないようにしましょう。

リスト型攻撃でメールを乗っ取られている場合。
Amazonのパスワードを変更するだけでは不十分で、メールの設定の変更箇所がないかやパスワードの変更が必要です。その後Amazonのパスワードの変更とそのメールを使用していたサービスすべての安全確認が必要となってきます。一番狙われているのはYahooメールで、連絡先メールアドレスに知らないメールが追加されていてパスワードを変更しても連絡が向こうにもいって再度変更されて不正ログインされてしまいますのでよく確認してください。

他にも可能性はありますが、主な攻撃パターンはこんなところですので、被害に遭った場合はこれらを参考にしてみてください。

2016年12月19日 (月)

中国からのYahooへの不正ログインの状況

日本のYahooメールへの不正ログインが大量におこなわれていたとのツイートがありました。

一つ目の画像は以前からあるログイン履歴のようですね。二つ目は新しくできたメールソフトログイン履歴のようです。二つを比べるとメールソフトログイン履歴の方に中国や台湾からの履歴がかなり多いため、以前から懸念していたPOP/IMAPからの不正ログインが継続的におこなわれていることがわかります。

Yahoo!メールヘルプ - メールソフト ログイン履歴
http://www.yahoo-help.jp/app/answers/detail/p/622/a_id/118557

そして、台湾のIPアドレスはhinet.netという台湾のISPで、以前から台湾にある中華Proxyとして利用されているものを利用していると考えられますね。

それらの状況から中国から不正ログインをされていると考えられますが、どういった被害が考えられるかというと、メールの不正ログインをされた人物は、Yahooオークションの悪用やポイントの悪用、スパムメールの送信、そのメールを利用して他に登録しているサイトの不正ログイン、新しく知らないアカウントを勝手に作成されるといった被害が過去にあります。

それ以外にも、メールを大量に入手されていた場合はスパムやマルウェアのばらまきに使うメールの文面の参考にされている可能性もあるため、ここ数年そういったメールの文面がおかしくなくなってきたのはこういった事情があるものと考えています。

対策としては、パスワードの使い回しをしない、単純で推測しやすいパスワードを利用しないといった方法に、Yahooの場合はシークレットIDでメールアドレスとと別のIDでログインするようにしたり、セーフティアドレスでいろいろなサイトに登録するときにIDと違うものを利用してログイン用のIDを知られないようにするといった方法もあり、さらにワンタイムパスワードで防御すればかなり強固になるので考えてみてください。

2016年12月13日 (火)

大人のおもちゃ通販大魔王のフィッシングメール

弊社を詐称するフィッシングメールにつきまして
http://daimaoh.co.jp/page72.html

2000円分の金券を配布するのでログインさせてクレジットカードの情報を入力させようと言うことのようです。また、サーバーへの不正アクセスと情報流出もないとの発表もしています。

ところがちょっと気になるツイートが…

日本語におかしなところがあるので冷静に見ればダマされる人は少ないと思いますが、問題なのはパスワードを平文保存やメールで送信してるというところですね…

このツイートが事実なら、今時そんなことしてて大丈夫なのかというようなサイトですね…

2017/ 1/10 追記

少し変えて再度メールを送ってきているようです。

2016年12月 9日 (金)

プロバイダーメールとキャリアメールに不正ログインが増加?

中華Proxyの取り締まりが厳しくなってからメールやSNSへの不正ログインが中心でその他のサイトへの攻撃は減少していましたが、プロバイダーのメールと携帯のキャリアメールへの不正ログインされているというツイートがまた見つかりだしています。

それ以外にも、こちらは踏み台に利用された可能性のあるツイートです。

不正ログインがかなり活発になり、攻撃対象のサイトも増えていると思われますね。

他に気になるのは、最近SNSやメールなどへ不正ログインがきだしたというツイートにイプサからの流出を疑っている人が20人以上は見かけています。タイミング的に発表の少し前からきだしたというものが多く、イプサの発表でもパスワードをハッシュ化しているとの情報が無いため、平文か簡単なハッシュだった可能性があります。単なる偶然かもしれないですが、イプサから流出した可能性のある人は他サイトで同じパスワードを利用していた場合はパスワードの変更をした方がいいですね。また、パスワードが違っても通知がくるLINEのようなタイプにはメールアドレスの変更が有効です。

弊社通販サイト「イプサ公式オンラインショップ」における不正アクセスによるお客さま情報流出に関するお知らせとお詫び | IPSA 公式サイト
http://www.ipsa.co.jp/news/2/

«チートプログラムと称してマルウェアを配布してコオロギを送った事件の個人的まとめ