2017年7月21日 (金)

ポチカムでリスト型攻撃?

ポチカムという商品のモニターをしてポイントを貰うという仕組みのサイトで今日の夕方から不正ログインの通知メールが届いたとのツイートが複数見つかります。

「ポチカム 不正」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

サイトにいってみても現在はまだ何も発表していないようで詳細はわかりませんが、ポイント狙いのリスト型攻撃が疑われる状態です。

「ポチカム」日本最大級のモニターサイト
https://pochicome.jp/

少なくとも現状では不正ログイン対策はログイン画面から呼びかけていたようなのでサイト側としても難しいところだったのかなという感じですね…

Pochicome

セキュリティ:不正ログイン被害を防ぐために|「ポチカム」日本最大級のモニターサイトhttps://pochicome.jp/security

2017年7月14日 (金)

2017年7月の不正ログインの傾向

YahooメールとiTunesのほぼ同時不正ログインによるiTunesでの被害というのが増えてるような感じなんですが、フィッシングの文面にダマされているものとの区別がつきにくくちょっと自信がないですけど警戒したほうがいいぐらいの被害があります。だいたいが中国からのログインのようで、おそらくリスト型攻撃でメールを先に乗っ取られていると考えられるのでパスワードの使い回しが被害の原因と考えられますね。

ここからは7月以降の中国のVPN規制に絡む話になりますが、結論から言うと不正ログインにはほぼ影響は無さそうです。

アクセス元が中国からというものが増えている感じですが、他のアクセス元が無くなった感じというわけでなく、ほとんど影響は無かったと考えられます。

台湾からの中華Proxyを利用したと思われるものも若干少なくなったものの誤差の範囲内で見つかっています。

ほかに今月あったTwitterのレイバンスパムは東京の千代田区からというものばかりでした。IPアドレスがわからなかったため接続元がわかりませんでしたが、Googleへの不正ログインで判明したものはレンタルサーバーのようです。

210.129.21.200 210-129-21-200.jp-east.compute.idcfcloud.com

Twitterの方も似たようなアクセス元じゃないかと考えています。

状況としては7月に入っても不正ログインは減る様子がないので中国のVPN規制が影響を及ぼしていないと現状ではそう判断しています。

そのような状態なので各種団体などの不正ログイン対策の啓蒙は引き続きやっていかないと被害は減りそうにないですね。

2017年7月 7日 (金)

海保知里さんのクレジットカード被害

まずは海保知里さんがクレジットカードの被害に遭ったとの話。

気をつけて!海保知里が巻き込まれた新しいカード詐欺
https://www.tbsradio.jp/160092

音声がすでに聞けなくなっているので他のサイトで補完しておきます。

https://www.nikkansports.com/entertainment/news/1846669.html
http://numbers2007.blog123.fc2.com/blog-entry-16364.html

本人のブログとInstagramへのリンク。

http://chisatokaiho.blog.jp/archives/23109922.html
https://www.instagram.com/p/BVzcx1kglsV/

この時点での被害は9,000円台の被害で何度も使用されていて総額25万円程度の被害で作成した覚えのないサイトで通信系の会社。海保さんの個人情報で登録されている?ようで不正利用かどうかの判断がカード会社などではすぐにつかないと言われているといった内容です。本人はスキミングの被害を疑っているようです。

この時には金額などからiTunesで課金に使われた被害に近いかなという印象でしたが、翌週の話で印象が変わってきます。

海保知里が被害に遭ったクレカ詐欺続報!なんと犯人は映画を観ていた?!
https://www.tbsradio.jp/162051
(音声は7月11日まで)

https://www.daily.co.jp/gossip/2017/07/04/0010340731.shtml
http://numbers2007.blog123.fc2.com/blog-entry-16450.html
http://numbers2007.blog123.fc2.com/blog-entry-16451.html

http://chisatokaiho.blog.jp/archives/23184878.html
https://www.instagram.com/p/BV7MqATlGCN/

翌週の放送で調べてみるとさらに10万ほどの被害が見つかり、映画や電子書籍に自動車税にまで使われていたとの話です。

自動車税は仲介業者を利用して支払っているようで問い合わせても行政側では誰かまではわからないようで、これらの被害からすべてネットでの被害の可能性が高く、どこかのサイトから流出した情報で悪用されたのだろうと思われるんですが、映画や自動車税に使われるというのは珍しいケースじゃないでしょうか。自動車税だとどの車の支払いに使われたかたどれそうな気はするんですけどね。

他にも犯人は関東圏らしく地域も近いため、カード会社も本人の疑いありとしているようですぐに保証の話にはなっていないようです。

よくあるカード被害と違って同一人物がずっと使っている可能性のあるクレジットカード被害の可能性がありますね。

7/12 追記

今週の放送でもう少し情報が出てきて電子書籍はPS4だったのと映画とPS4の購入者の氏名が判明したとのこと。それぞれ別人で知り合いでもない。

このことから第三者のアカウントなどでカード情報を登録して利用していたんじゃないかと推測しています。日本人などにカード情報が売買された可能性を考えていたんですけど確率は低くなったんじゃないかな。

2017年7月11日(火)「たまむすび」オープニング
https://www.tbsradio.jp/164051
(音声は7月18日まで)

http://numbers2007.blog123.fc2.com/blog-entry-16541.html

2017年7月 6日 (木)

コインチェックで不正ログイン

先週に情報は見かけたんですが、その後忙しくて記事にすることも追加情報を集めることもできなかったんですが、コインチェックで不正ログインされて仮想通貨で送金されていたという被害が複数出ているようです。

https://twitter.com/hirokie0116/status/879253885369503745

こちらのツイートへのリプライを見て貰えればいいんですが二要素認証をしていないので防御として弱かった点はありますが、別の被害者で岐阜から不正ログインされたというのが気になりますね。

やっぱり岐阜に中華Proxyか使い勝手のいい踏み台があるのか…

2017年6月23日 (金)

所さん!大変ですよで芸能人などの不正ログイン被害を紹介

所さん!大変ですよ「○○で自宅バレ!?アイドルを襲った恐怖」
http://www4.nhk.or.jp/taihentokoro/x/2017-06-22/21/33438/2121091/

こちらの放送がちょっと興味深い話をやっていたので少し内容の紹介を。

本編ではSNSに投稿した画像から場所を特定される危険性についての解説で、小さく写っている地名や排水溝やマンホールのマークから地域の特定や尾行してだいたいの場所を特定してからわずかに写っていた玄関前の自撮画像から部屋を特定といった内容でこちらも興味深かったんですが、その後に関連として紹介されていた芸能人などへの不正ログインを捜査していた警察官へのインタビューがまた興味深い内容でした。

被害に遭った人の共通点は、パスワードはほぼ名前と誕生日の組み合わせというのは報道通りですが、10回程度の試行でダメだったらあきらめるということでした。つまりごく簡単に推測されるようなパスワードでなければ防げた可能性が高いと考えられます。最悪でも誕生日とパスワードの組み合わせに一文字何かつけるだけでこのタイプの不正ログインを防げた可能性が高いと考えられますね。

被害状況を調べてみると一つのアカウントに複数人から不正ログインをされていた形跡があり、捜査でパソコンを調べるとさらに複数のアカウントを不正ログインしていて不正ログインされていたアカウントを調べるとさらに複数人からの被害というように複数の人間から不正ログインをされてしまうというのも特徴のようです。

さらにパスワードの使い回しをしていると別のサービスも不正ログインをされてしまい被害が拡大していくため、名前と誕生日の組み合わせによるパスワードというのはこれだけ危険だというのがもっと知られた方が良さそうです。

2017年6月21日 (水)

Apple IDでファミリー共有を利用した被害

3月頃から見かけていたんですが忙しくて記事にするのを忘れていたところ最近になってまた被害が増えてきているようです。

まずファミリー共有というのはどういった機能かというと、家族間でアカウントを紐付けしてアプリなどのコンテンツを共有できるといった機能です。

購入したコンテンツをファミリー共有で共有する - Apple サポート
https://support.apple.com/ja-jp/HT201085

ファミリー共有を設定する - Apple サポート
https://support.apple.com/ja-jp/HT201088

「承認と購入のリクエスト」で購入の承認を求める - Apple サポート
https://support.apple.com/ja-jp/HT201089

このファミリー共有を使ったどのような被害かというと、知らないアカウントと共有していて中国のアプリに課金されていたって感じのようです。

被害には2種類あり、自分のアカウントを利用されて金銭的に被害に遭うパターンと、自分のアカウントを利用して自分以外のクレジットカードが利用されていたというものです。後者の方ではさらに2種類が考えられて第三者のクレジットカードを登録して利用された場合とファミリー共有で紐付けした別アカウントで支払うのに利用するために使われたというケースです。

話の内容から推測すると乗っ取ったアカウントをお互いにファミリー共有にして、それで課金などに利用しているんじゃないかと思われます。

不正に気づきサポートに電話した人の話によると中国からの接続のようで同様の被害が増えているようです。

どうしてこのような手の込んだことをしているのかまではわかりませんが、直接購入と違って気づかれにくいと考えているのかもしれません。

被害に遭わないよう対策としては、パスワードの使い回しをしない推測されやすい物を避けるといった方法以外に2ファクタ認証や2ステップ確認も利用するとより安全になります。

Apple ID の 2 ファクタ認証 - Apple サポート
https://support.apple.com/ja-jp/HT204915

iOS 10.3 または macOS Sierra 10.12.4 以降で作成された一部のアカウントについては、2 ファクタ認証を無効にすることができません。それより前のバージョンの iOS や macOS で Apple ID を作成した場合は、2 ファクタ認証を無効に切り替えることができます。

2ファクタ認証の注意点としては一部で無効にできなくなるようです。

Apple ID の 2 ステップ確認 - Apple サポート
https://support.apple.com/ja-jp/HT204152

あと、登録に利用しているメールアドレスに不正ログインがないかチェックし、メールの方も十分な対策をすることをおすすめします。

6/26 追記

こちらの記事によるとファミリー共有にすることでカードを登録しているアカウントは凍結されず購入したアカウントのみ凍結されるようなので、それがファミリー共有を利用している理由のようですね。

アップルの裏をかく「36テクニック」で約1127億円の被害 | THE ZERO/ONE
https://the01.jp/p0005245/

2017年6月15日 (木)

PlayStation Networkにリスト型攻撃?

Psn_sen

先週と今週の2度に渡り不審なアクセスがあったとのメールが送られてきたといったツイートが増えています。数が多いためリスト型攻撃を疑っていますが中にはパウワードの使い回しをしていないという人も複数いました。この場合最初に考えるのはすでにメールを乗っ取られているパターンですがそういった人は見かけなかったため違うようです。おそらく何度かパスワードの失敗を繰り返したことにより不正ログインを試みられていると判断されたのではないかと考えています。

対策といてはサインインID(メールアドレス)を変更したりパスワードを使い回さないなどの方法や、2段階認証もありますのでそちらも利用できます。ただしMy Sony IDと同じメールアドレスで登録していると2段階認証ができないようですのでご注意を。

PSNで2段階認証の設定をしました - PS4ちゃんねる Pro
http://www.ps4pro.jp/entry/2017/04/29/030000

2017年6月12日 (月)

岐阜の中華Proxy候補

3月頃から岐阜から不正ログインをされたとのツイートが定期的に見つかっています。

岐阜は過去にも中華Proxyで逮捕者が出たこともあるところで2015年10月に一度止まっていました。

岐阜の中華Proxy経由の疑いがあるツイート集: 独房の中
http://f36type.cocolog-nifty.com/blog/2015/11/proxy-6197.html

個人的に収集している記録から探してみると2016年5月頃からまた見つかりだし11月頃に途切れていて中断していたと思われます。その原因は10月に埼玉の中華Proxyで警察に押収されたのを知ったのが原因ではないかと先月の報道から推測できます。

中継サーバー無届け運営容疑で逮捕 不正送金の温床か:朝日新聞デジタル
http://www.asahi.com/articles/ASK5L312PK5LUDCB007.html

ところが今年の3月頃からまた定期的に岐阜からの不正ログインのツイートが見つかりだしています。

.

Googleアカウントに不正アクセスされ、勝手にパスワードを変更されてしまった! - Life Jam
https://life-jam.com/google-account-unauthorized-access/

60.131.158.51 softbank060131158051.bbtec.net

IPアドレスでわかっているのはこの一つだけです。HOST名に地域が書いていないので地域の信頼度は少し疑問がありますがブラウザなどの情報が同じということで同一の攻撃元からと考えられます。

踏み台にしては期間が長いのと見つかる頻度が過去の中華Proxyの時と同程度ということで中華Proxyを疑っています。

2017年6月11日 (日)

台湾からGoogleとMicrosoftアカウントへの不正ログインが多発

Taiwan_201706

9日頃から台湾からの不正ログインの通知メールが届いたなどの投稿が増えています。

大半がGoogleですがMicrosoftアカウントもあり、リスト型攻撃が行われていると考えられます。

118.160.17.35 118-160-17-35.dynamic-ip.hinet.net

中華Proxyの可能性が高そうです。どこかから新しいリストを入手した可能性があるのでパスワードの使い回しをしている人は要注意で使い回さないようにしておかないと被害に遭う可能性があります。

この数日で不正ログインから実際に何かしらの被害にあったとの話は見つかりませんでしたが、過去のパターンからクレジットカードを登録している場合のアプリへの課金、登録していなくても第三者のカードを登録して課金に悪用されるパターンや、残っていたメールからどこのサービスを利用しているかを調べてそちらにさらに不正ログインしていくといったパターン、さらにフィッシングやウイルスの添付付きなどの迷惑メールに情報が使われるなどの攻撃が考えられるためにメール関係のログインは2段階認証も含めて厳重にすることも検討してみて下さい。

2017年6月 1日 (木)

統合失調症と不正ログイン

不正ログイン関係の情報をSNSで情報収集していると集団ストーカーの被害にあってるなどという人が何人も見つかるわけなんですが、統合失調症と思われるので本人が気づいて治療してほしいと思うだけ何もできません。

ただ、本人がログインしたと思われるのに不正ログインの疑いの通知で全然違う地域が表示されていると騒いでいるのを見かけると何とかならないものなのかなとは思います。証拠があると騒いでより症状が悪化していくわけでして…

見かねて他人が指摘しても集団ストーカーの一人とされる恐れもあるわけで、どうにかならないものでしょうかね…

«dアカウントにリスト型攻撃?