2016年12月 6日 (火)

チートプログラムと称してマルウェアを配布してコオロギを送った事件の個人的まとめ

この事件について最初自分が情報の断片だけで勘違いしていたのと、検索でも勘違いしていた人が結構いたのでいくつもの報道をつなぎ合わせて実際に何があったのかを残しておこうと思った個人的なまとめです。

まずはゲームの公式サイトの発表

ウォーロック《公式サイト》|兵器を操縦する本格FPS
【重要】不正アクセス容疑並びに業務妨害行為による逮捕に関するお知らせ 2016-11-29
http://warrock.playgra.com/boards/notice/detail?category=notice&id=32190&page=

本件は2015年11月~2016年5月に掛けて、WarRockを利用しているお客様の個人情報を抜き取り悪用や勝手にアクセスしたり、個人情報を掲示板などに大量に投稿し当社の業務妨害を目的として行った疑いがあるとするものです。

当初この発表から公式サイトのコミュニティの掲示板への書き込みかと思いましたが報道からどうやら違うのでは?となりました。

  • 容疑者:長野県松本市の通信制高校生の少年(18)(公式、etc)
  • 被害者:10~40代の男性ら少なくとも8人(産経)千葉県の20代男性(日経毎日MBS
  • 期間:2015年11月~2016年5月(公式毎日産経)2016年3月と4月にマルウェア作成(MBS
  • 193回にわたり不正取得した他人のアカウントで通販サイトに不正アクセス(産経)SNSとオンラインゲーム(朝日
  • 男性らを差出人として知人の住所に乾燥コオロギ600匹などを送りつけていた(産経)8人のうちの1人のネットショッピング情報を使って、乾燥したコオロギ600匹を他人に送りつけるなどしていた(朝日)神奈川県の30代男性に生きたコオロギ50匹、乾燥コオロギ600匹を送る(時事毎日
  • 違法薬物などの情報を扱うサイトに個人情報を投稿(毎日MBS朝日
  • 海外サイトで得たソフトで作成(産経)3種類のウイルスを作成(日経
  • チートツールを使う人を懲らしめたかった(産経時事NHKMBS)ウイルスを使って遊んでみたかった(日経朝日毎日

自分勘違いしていた公式の掲示板に書き込んだと思っていたのは違法薬物などを扱う掲示板でした。

検索で見つけた代表的な勘違いとしては、チートをしようとしていた人物へコオロギを送っていたというものですが、報道によるとチートをしようとしていた人物を差出人にしてその人物の知り合いへ送りつけたと思われます。チートと関係が無い可能性があるため、無関係で巻き込まれコオロギを送られてきたという事になりそうですね。

2016年12月 2日 (金)

リスト型攻撃の活発化

数日前にレシポというサイトの利用者で不正ログインにあったと思われる人がいたので様子を見ていましたが、リスト型攻撃が行われていたようです。

【注意!】レシポ!に注意!不正ログイン&ポイント被害にあいました! - 子連れトラベラーの陸マイル情報局(JGC・SFCを目指して)
http://mairu-de-hawaii.hatenablog.jp/entry/2016/11/26/143959

このブログを読んだときにはお知らせにはメンテとしか出ていませんでしたが、その後ワンタイムパスワードを急遽導入したようです。

お知らせ | レシポ!
https://recipo.jp/news.html

別の被害者によるとリスト型攻撃を受けたとのメールが届いているようです。

【レシポ!】なりすましログインに関する大切なご連絡がきた! – ネットで稼ぐ方法と実態!お小遣い稼ぎ
http://netdeokodukai.com/archives/2643

さらにこちらのユーザーはレシポでは被害に遭わなかったものの、他の使用しているサイトでもリスト型攻撃の発表があったと書いてあります。時期は11月とほぼ同時期に攻撃されているようですね。

レシポで不正アクセス?サグーワークスとファンくるも
http://okodukaisaito.net/blog-entry-10196.html

パスワードリセットに関するお知らせ | サグーワークス運営者ブログ
http://works.sagooo.com/blog/archives/2760
不正ログインに関する続報とご確認のお願い | サグーワークス運営者ブログ
http://works.sagooo.com/blog/archives/2854

・不正ログインが確認された期間:2016年11月13日~23日
・不正ログインが確認されたID件数:6件
・閲覧、操作された可能性のあるユーザー情報:ニックネーム、メールアドレス、生年月日、性別、地域(都道府県)などの登録プロフィール、獲得ポイント(※氏名や住所など個人情報の閲覧は確認されておりません)
・ポイントが換金されたID件数:4件
・ポイントが換金された金額合計:18,000円

ファンくるのお知らせはすでに削除されてしまっているようです。

YahooキャッシュGoogleキャッシュ

Fancrew

このようにポイント狙いの不正ログインがいくつものサイトでおこなわれていると思われます。

パスワードの使い回しをしているユーザーが数多くいるのを狙った攻撃のため、パスワードの使い回しをしなければほぼ防げるんですけどね…

2016年11月29日 (火)

Amebaへのリスト型攻撃

急にログインできない人が増えていたので疑っていましたが発表されました。

Amebaにまたリスト型攻撃、約59万アカウントが不正ログイン受ける、パスワード再設定を呼び掛け -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/1032411.html

「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント
https://www.cyberagent.co.jp/newsinfo/info/print/id=12977

この度、発生した不正ログインは、2016年11月25日(金)22時35分から「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、2016年11月28日(月)2時22分の時点で不正ログイン試行回数は37,547,786回、不正ログインされたアカウント数は、589,463件となります。

なお、第三者に閲覧された可能性のある「Ameba」の登録情報(ニックネームやメールアドレス、生年月日など)について、改ざんの事実は確認されていません。

以下は昨日チェックしていたツイートの一部。

こういったツイートからリスト型だろうと判断していましたが、一つサーバーの不具合を疑うようなツイートがあったため公式サイトの発表でどちらか待っている状態でした。

このツイートで記事にはせずに公式発表が無いか調べている状態でした。

今回はAmebaへの攻撃ですが、最近は非常に活発に攻撃をしている状態で、いつどこのサイトが攻撃を受けてもおかしくないと考えておいた方がいいでしょう。

被害に遭わないようにパスワードの使い回しをしないようにしてください。また、登録しているメールアドレスを流出していないメールアドレスに変更してしまうのも有効な手法です。

メールのアカウントは現在だけで無く過去も使い回していないパスワードを利用して絶対にログインされないようにしてください。ここを乗っ取られると残っていたメールなどから他のサービスも次々不正ログインされる被害が多数発生しています。

追記

Amebaからメールが届いたという人たちを調べていると、登録したことが無いのに届いてるというのが複数人見つかります。

メールアドレスを間違っても登録できるのかと思いましたが、調べてみると仮登録のみでメールで送られてくるリンクをクリックしないと登録完了しないようです。

アメブロの登録からログインまで|アメブロ(アメーバーブログ)の使い方を解かりやすい画像でアメブロの登録から使い方まで説明します。
http://ameblo.digitalcore.jp/registration.html

となると、本人が忘れているのでなければ、メールを乗っ取られて勝手に登録されていた可能性がありますね。

2016年11月21日 (月)

ローソンの不正ログインとの関連あり?

ローソンWEB会員向けサービスサイトご利用のお客様に向けたパスワード再設定のお願いを実施いたします|ローソン
http://www.lawson.co.jp/company/news/detail/1284326_2504.html

9月末頃からリスト型攻撃で3人にポイントでの被害が出ているとのことですが、読売新聞によると発覚は被害者からの問い合わせのようです。

ローソンのサイトに不正アクセス、ポイント使用 : 社会 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/national/20161121-OYT1T50124.html

 9月30日に会員から「身に覚えのない商品が注文されている」と連絡があり発覚した。ポイントは化粧品の購入などに使われた。クレジットカードの不正利用による被害はなかった。

詳細がわからずこの一連の報道と関係あるのかは不明ですが、ポンタを不正利用されたなんて話もあるようなので、ローソンのみというよりもポンタ全般で考えた方がいいのかもしれないですね。

被害に遭わないようにパスワードの使い回しは危険ですのでやめましょう。

11/22 追記

悪い予想が当たったようで、ポンタ系列のリクルートIDが攻撃を受けているとのメールが届いているようです。

不正ログインされました 「リクルートIDへの「なりすましログイン」に関する大切なご連絡」 - タカハシプロジェクト
http://takahashi7p.hatenablog.com/entry/2016/11/22/183928

2016年11月20日 (日)

またリモートデスクトップ系の不正ログインが増えてる?

このブログの過去のTeamViewerへの記事へのアクセスが増加気味で、さらにこんなツイートも見つけました。

リモートデスクトップ系のソフトへの不正ログインが再度活発化している可能性があります。

また、最近の国内からの不正ログインは回線ごとコロコロ変わる傾向があり、踏み台を利用している可能性もあるため、リモートデスクトップへの不正ログインはこういった攻撃準備のためのターゲットになっているかもしれないですね。

TeamViewerの不正ログインでブラウザのパスワードぶっこ抜き: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/06/teamviewer-c13f.html

2016年11月15日 (火)

不正アクセス情報

情報セキュリティクラスタで話題になっていないので知られていないのかなと思う不正アクセスの情報を2件。

不正アクセスで個人情報流出か - NHK 関西 NEWS WEB
http://www3.nhk.or.jp/kansai-news/20161114/4400141.html

不正なアクセスを受けたのは、大阪・北区に本社がある「椿本チエイン」が、会員登録した顧客に商品の技術的な情報などを提供しているサイトです。
会社によりますと、登録している顧客の名前やメールアドレス、パスワードなど、最大で6万4742人分の情報が流出した可能性があるということです。 顧客の住所や電話番号、それに所属する企業名などは流出していないということです。

つばきグループ
http://www.tsubakimoto.jp/

http://www.tsubakimoto.jp/fileadmin/ja/news/articles/161114/161114.pdf
https://docs.google.com/viewer?url=http://www.tsubakimoto.jp/fileadmin/ja/news/articles/161114/161114.pdf

ハッシュ化の有無が無くパスワードを変更するようにとの記述だと平文で保存していたのではとの疑惑が出てしまいますね。

2016 年 11 月 10 日の社内調査の結果、前日より外部(外国籍サーバ)からの不正アクセスによって TT-net に登録いただいている会員様情報の一部が流出している事実が判明いたしま した。

この文章だと異変にいち早く気づいているようで、被害を受けたことは問題としても運用はしっかりとやっていたようなんですけどね。

次はftpへの不正アクセスのようです。

http://www.astroworks.co.jp/

現在は403 Forbiddenと表示されています。

Astroworks

何がどうなっているのかよくわかりませんが、改ざん系でしょうか?

2016年11月11日 (金)

身に覚えの無いApple IDのパスワードリセットメール時の対応策

この一ヶ月ぐらい身に覚えの無いApple IDのパスワードリセットメールが届くといったツイートをよくみかけますが、対応策までわかっている人は少ないようなので参考になるようにいくつか紹介していきます。

1.まずメールが本物かどうかというところから

完璧に見分けろというのも難しいのでメールのリンクは安易にクリックしないようにしましょう。ブックマークや検索などからログインするようにしてください。
参考までに現時点ではパスワードリセットのスパムメールは出回っていないと思われ、Appleのアカウントがブロックされたというのはスパムメールです。

2.登録したメールアドレスが不正ログインされていないか調べよう

パスワードのリセットだけならメールを受信できないので不正ログインをしようとした相手にはどうすることもできません。パスワードリセットのメールを何度もパスワードを変更しても受け取っているという人物はメールアドレスのパスワードの変更で届かなくなったとのことで、メールも同時に不正ログインされているケースがあります。

3.パスワードの変更+αをしよう

これらの対策をした上でApple IDのパスワードになります。パスワードの使い回しや推測されやすかったり強度の低いものは使わないようにしましょう。参考までにパスワードの強度チェックサイトを。

パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
https://www.microsoft.com/ja-jp/safety/pc-security/password-checker.aspx

Save the Worldの思いを伝えたい | Secure Password Check
https://password.kaspersky.com/jp/

パスワードを知られてもいいように他の対策を追加してみるのも効果的です。

Apple ID の 2 ファクタ認証 - Apple サポート
https://support.apple.com/ja-jp/HT204915

Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ) - Apple サポート
https://support.apple.com/ja-jp/HT204152

4.メールアドレスの変更

パスワード以外にメールアドレスを変更するのも効果的です。流出していないメールアドレスを利用すれば不正ログインに利用されることも少なくなります。同じメールアドレスを利用している他のサービスも同様に不正ログインの攻撃をされる危険があるため他のサービスでも流出していないものに変更するのは予防につながります。

Apple ID を変更する - Apple サポート
https://support.apple.com/ja-jp/HT202667

5.使用しないので削除したい

秘密の質問に答えないといけませんが、こちらのブログに詳しく書かれていますので参考にしてみてください。

不正アクセスされた使っていないApple IDを削除してみた - たらこのブログ。
http://taracomom.hatenablog.com/entry/2016/11/10/075008

ビックカメラとソフマップ、Dropboxへの不正ログイン?

昨日の2016年11月10日の夜にビックカメラからリスト型攻撃があったとのメールが該当者に送られているようで、多数見つかります。フィッシングも疑いましたがサイトに載っていないので電話をかけて確認した人もいましたが、攻撃があると言われたようです。実際のメールはこちらのようです。

そのうちの何人かはビックカメラとソフマップの両方からきているようで、不思議なことにソフマップのみというのは見つかりません。

そのため単純なリスト型攻撃なのかというのには疑問が残ります。

また、この日付に意味があるかもしれず、この日は「ニンテンドークラシックミニ ファミリーコンピュータ」と「PlayStation4 Pro」の発売日で、家電量販店で買い物をした後のポイントを狙った可能性があります。11日には夕方までにメールが届いたとのツイートは見つかりません。

次に11日の午前中にはDropboxで「ログインの試行回数が多すぎます」と表示されてログインできないとのツイートが見つかります。それ以降は見つからないので単なる不具合かもしれませんがリスト型攻撃を受けた可能性もあります。

ブラウザからログインした場合に表示されるようで、アプリからでは問題がなかったとのツイートもあり、不具合なのか大勢は攻撃に気づいていないのかの判断に迷うところです。

これらの攻撃の前に戦国IXA(Yahoo)やGoogleといったサイトへの不正ログイン被害が減っているので、攻撃対象を変えた可能性がありますね。

これ以外にはSkypeのリンク付きのスパムメッセージが知らない間に送られるという被害が2週間ほど前から一定数あるようで、情報が少なく判断するほども持っていませんが、こちらも不正ログインの可能性があります。

11/15 追記

Skypeの件はサプリのサイトへの誘導のようですね。

Skypeでbaidu.comスパムリンク拡散被害 頭が良くなるサプリを宣伝 ( その他インターネット ) - 無題な濃いログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/fireflyframer/34373362.html

2016年11月 5日 (土)

SteamとYahooメールの乗っ取りで取り返すのが困難なケース

ロシア等からYahooメールへの不正ログインをし、そこからSteamへの不正ログインをされるケースがここのところ増えていますが、Steam側の登録メールアドレスを変更されたという者はありましたが、元のユーザーが回復をするのを困難にするために残っていた過去のSteamからのメールを削除するといった被害があったようです。

Webめーるは便利ですけど、大切なメールはWebメールのみでなくローカルでも保存しておかないと問題が起こりうるというケースですね。

 

 

 

 

 

 

 

 

11/9 追記

被害に遭った本人が顛末をブログに書いたようです。無事アカウントを取り返せたようですね。

Steamアカウントを乗っ取られた話 - つれづれ
http://bnn.hateblo.jp/entry/2016/11/08/210156

2016年11月 3日 (木)

Youtubeは不正なログインをブロックの架空請求メール(追記:Androidでapkダウンロード)

URLが判明したのでアクセスしてみたところ、パソコンからは表示されずスマホのみに制限されているようなのでUserAgentを偽装してアクセスしてみたところDMMを騙って電話をさせて振り込ませようとする画面が表示されます。

しかも画面が閉じられないようにJavascriptでPopupが次々表示され閉じられないようにしていますね。

Dmm_youtube

Dmm_youtube2

Dmm_youtube3_2

view-source:http://starcvdik.win/top_member.html?cpno=d2_bylmcwnj

無視すればいいだけですが、表示してしまい閉じられないと困っている場合はこちらを参考にしてキャッシュを削除などしてみてください。

スマートフォンのブラウザをロックするように進化したワンクリック詐欺 | Symantec Connect
https://www.symantec.com/connect/ja/blogs-369

Android 6.0 Marshmallowでアプリのデータやキャッシュを削除する方法。アプリ情報画面のUIが大きく変更。
http://androidlover.net/android-os/android-m/how-to-delete-app-data-cache-android-m.html

追記

Androidでアクセスするとapkファイルをダウンロードさせるようです。

https://www.virustotal.com/ja/file/d7d35132303afa10f6484cab01e4b93d86b8afdf12c04697c686c2ed3117dfc7/analysis/1478354028/

http://andrototal.org/scan/result/OlqXpBYrR6au6kTxWk-ULQ

https://www.virustotal.com/ja/file/3fdb2dfffc4bcab6fefa5075d5747e30426597857f71d482e49d140403eeb2d2/analysis/1478425017/

http://andrototal.org/scan/result/BL83FKxaRR-nxSie9FYncQ

Dmm_youtube4

アプリをインストールしてできるアイコン

Dmm_youtube5

Androidの起動時にブラウザで何かを表示をさせようとするらしいです。

Dmm_youtube6

«不正ログインの情報詰め合わせ