2017年6月23日 (金)

所さん!大変ですよで芸能人などの不正ログイン被害を紹介

所さん!大変ですよ「○○で自宅バレ!?アイドルを襲った恐怖」
http://www4.nhk.or.jp/taihentokoro/x/2017-06-22/21/33438/2121091/

こちらの放送がちょっと興味深い話をやっていたので少し内容の紹介を。

本編ではSNSに投稿した画像から場所を特定される危険性についての解説で、小さく写っている地名や排水溝やマンホールのマークから地域の特定や尾行してだいたいの場所を特定してからわずかに写っていた玄関前の自撮画像から部屋を特定といった内容でこちらも興味深かったんですが、その後に関連として紹介されていた芸能人などへの不正ログインを捜査していた警察官へのインタビューがまた興味深い内容でした。

被害に遭った人の共通点は、パスワードはほぼ名前と誕生日の組み合わせというのは報道通りですが、10回程度の試行でダメだったらあきらめるということでした。つまりごく簡単に推測されるようなパスワードでなければ防げた可能性が高いと考えられます。最悪でも誕生日とパスワードの組み合わせに一文字何かつけるだけでこのタイプの不正ログインを防げた可能性が高いと考えられますね。

被害状況を調べてみると一つのアカウントに複数人から不正ログインをされていた形跡があり、捜査でパソコンを調べるとさらに複数のアカウントを不正ログインしていて不正ログインされていたアカウントを調べるとさらに複数人からの被害というように複数の人間から不正ログインをされてしまうというのも特徴のようです。

さらにパスワードの使い回しをしていると別のサービスも不正ログインをされてしまい被害が拡大していくため、名前と誕生日の組み合わせによるパスワードというのはこれだけ危険だというのがもっと知られた方が良さそうです。

2017年6月21日 (水)

Apple IDでファミリー共有を利用した被害

3月頃から見かけていたんですが忙しくて記事にするのを忘れていたところ最近になってまた被害が増えてきているようです。

まずファミリー共有というのはどういった機能かというと、家族間でアカウントを紐付けしてアプリなどのコンテンツを共有できるといった機能です。

購入したコンテンツをファミリー共有で共有する - Apple サポート
https://support.apple.com/ja-jp/HT201085

ファミリー共有を設定する - Apple サポート
https://support.apple.com/ja-jp/HT201088

「承認と購入のリクエスト」で購入の承認を求める - Apple サポート
https://support.apple.com/ja-jp/HT201089

このファミリー共有を使ったどのような被害かというと、知らないアカウントと共有していて中国のアプリに課金されていたって感じのようです。

被害には2種類あり、自分のアカウントを利用されて金銭的に被害に遭うパターンと、自分のアカウントを利用して自分以外のクレジットカードが利用されていたというものです。後者の方ではさらに2種類が考えられて第三者のクレジットカードを登録して利用された場合とファミリー共有で紐付けした別アカウントで支払うのに利用するために使われたというケースです。

話の内容から推測すると乗っ取ったアカウントをお互いにファミリー共有にして、それで課金などに利用しているんじゃないかと思われます。

不正に気づきサポートに電話した人の話によると中国からの接続のようで同様の被害が増えているようです。

どうしてこのような手の込んだことをしているのかまではわかりませんが、直接購入と違って気づかれにくいと考えているのかもしれません。

被害に遭わないよう対策としては、パスワードの使い回しをしない推測されやすい物を避けるといった方法以外に2ファクタ認証や2ステップ確認も利用するとより安全になります。

Apple ID の 2 ファクタ認証 - Apple サポート
https://support.apple.com/ja-jp/HT204915

iOS 10.3 または macOS Sierra 10.12.4 以降で作成された一部のアカウントについては、2 ファクタ認証を無効にすることができません。それより前のバージョンの iOS や macOS で Apple ID を作成した場合は、2 ファクタ認証を無効に切り替えることができます。

2ファクタ認証の注意点としては一部で無効にできなくなるようです。

Apple ID の 2 ステップ確認 - Apple サポート
https://support.apple.com/ja-jp/HT204152

あと、登録に利用しているメールアドレスに不正ログインがないかチェックし、メールの方も十分な対策をすることをおすすめします。

6/26 追記

こちらの記事によるとファミリー共有にすることでカードを登録しているアカウントは凍結されず購入したアカウントのみ凍結されるようなので、それがファミリー共有を利用している理由のようですね。

アップルの裏をかく「36テクニック」で約1127億円の被害 | THE ZERO/ONE
https://the01.jp/p0005245/

2017年6月15日 (木)

PlayStation Networkにリスト型攻撃?

Psn_sen

先週と今週の2度に渡り不審なアクセスがあったとのメールが送られてきたといったツイートが増えています。数が多いためリスト型攻撃を疑っていますが中にはパウワードの使い回しをしていないという人も複数いました。この場合最初に考えるのはすでにメールを乗っ取られているパターンですがそういった人は見かけなかったため違うようです。おそらく何度かパスワードの失敗を繰り返したことにより不正ログインを試みられていると判断されたのではないかと考えています。

対策といてはサインインID(メールアドレス)を変更したりパスワードを使い回さないなどの方法や、2段階認証もありますのでそちらも利用できます。ただしMy Sony IDと同じメールアドレスで登録していると2段階認証ができないようですのでご注意を。

PSNで2段階認証の設定をしました - PS4ちゃんねる Pro
http://www.ps4pro.jp/entry/2017/04/29/030000

2017年6月12日 (月)

岐阜の中華Proxy候補

3月頃から岐阜から不正ログインをされたとのツイートが定期的に見つかっています。

岐阜は過去にも中華Proxyで逮捕者が出たこともあるところで2015年10月に一度止まっていました。

岐阜の中華Proxy経由の疑いがあるツイート集: 独房の中
http://f36type.cocolog-nifty.com/blog/2015/11/proxy-6197.html

個人的に収集している記録から探してみると2016年5月頃からまた見つかりだし11月頃に途切れていて中断していたと思われます。その原因は10月に埼玉の中華Proxyで警察に押収されたのを知ったのが原因ではないかと先月の報道から推測できます。

中継サーバー無届け運営容疑で逮捕 不正送金の温床か:朝日新聞デジタル
http://www.asahi.com/articles/ASK5L312PK5LUDCB007.html

ところが今年の3月頃からまた定期的に岐阜からの不正ログインのツイートが見つかりだしています。

.

Googleアカウントに不正アクセスされ、勝手にパスワードを変更されてしまった! - Life Jam
https://life-jam.com/google-account-unauthorized-access/

60.131.158.51 softbank060131158051.bbtec.net

IPアドレスでわかっているのはこの一つだけです。HOST名に地域が書いていないので地域の信頼度は少し疑問がありますがブラウザなどの情報が同じということで同一の攻撃元からと考えられます。

踏み台にしては期間が長いのと見つかる頻度が過去の中華Proxyの時と同程度ということで中華Proxyを疑っています。

2017年6月11日 (日)

台湾からGoogleとMicrosoftアカウントへの不正ログインが多発

Taiwan_201706

9日頃から台湾からの不正ログインの通知メールが届いたなどの投稿が増えています。

大半がGoogleですがMicrosoftアカウントもあり、リスト型攻撃が行われていると考えられます。

118.160.17.35 118-160-17-35.dynamic-ip.hinet.net

中華Proxyの可能性が高そうです。どこかから新しいリストを入手した可能性があるのでパスワードの使い回しをしている人は要注意で使い回さないようにしておかないと被害に遭う可能性があります。

この数日で不正ログインから実際に何かしらの被害にあったとの話は見つかりませんでしたが、過去のパターンからクレジットカードを登録している場合のアプリへの課金、登録していなくても第三者のカードを登録して課金に悪用されるパターンや、残っていたメールからどこのサービスを利用しているかを調べてそちらにさらに不正ログインしていくといったパターン、さらにフィッシングやウイルスの添付付きなどの迷惑メールに情報が使われるなどの攻撃が考えられるためにメール関係のログインは2段階認証も含めて厳重にすることも検討してみて下さい。

2017年6月 1日 (木)

統合失調症と不正ログイン

不正ログイン関係の情報をSNSで情報収集していると集団ストーカーの被害にあってるなどという人が何人も見つかるわけなんですが、統合失調症と思われるので本人が気づいて治療してほしいと思うだけ何もできません。

ただ、本人がログインしたと思われるのに不正ログインの疑いの通知で全然違う地域が表示されていると騒いでいるのを見かけると何とかならないものなのかなとは思います。証拠があると騒いでより症状が悪化していくわけでして…

見かねて他人が指摘しても集団ストーカーの一人とされる恐れもあるわけで、どうにかならないものでしょうかね…

2017年5月30日 (火)

dアカウントにリスト型攻撃?

先週からdアカウントに不正ログインされそうになったととの連絡がきたとのツイートが増えています。普段はほとんど見かけなかったのが日に一人程度のペースで見つかります。

このような連絡が届くようになったのか不正ログインが増えているのかわかりませんが、フィッシングが出回っているとの情報もないようですから攻撃があると考えられます。

以前から周期的に狙われることが多いため、パスワードの使い回しや推測されやすいパスワードを利用しないようにしたり2段階認証を利用するなどして不正ログインできないように対策をしないとポイントの被害などがおこるおそれがありますよ。

IDおよびパスワードの取り扱いに関するご注意とお願い | dアカウント
https://id.smt.docomo.ne.jp/src/utility/noticepassword.html

2017年5月26日 (金)

ビデオリサーチ VRリサーチモニターにリスト型攻撃

このツイートを見かけて調べてみたところこちらのサイトでリスト型攻撃があったと発表されていたようですね。

当サイトの一部機能停止のお知らせ
https://www.video-research.jp/info_20170511.html

5月11日に発表されているようです。サービスとしてはポイントサイトのようでアンケートに答えてポイントを貰いマイルやAmazonギフト券へ交換できるようです。現在はポイントの交換等を停止中とのことです。

VRポイントについて
https://www.video-research.jp/monitor/point/

そのポイント狙いにリスト型攻撃をしていたと思われるのでパスワードの使い回しは危険なのでやめた方がいいですね。

追記

書き忘れていましたがメールによるとすでに退会となっているユーザーにも送っていたようなので、ここがちょっと引っかかってます。

今まで登録したことあるユーザーすべてが対象なのか、それとも攻撃以降に退会したユーザーなのか。退会したユーザーの情報を持ち続けていたということになりますから気になりますね。

2017年5月22日 (月)

Amazonでいまだに不正ログイン被害が増加中

先月から被害が増えているAmazonの不正ログインですが、被害が発覚しにくかったりすぐに対応できないようにするためと思われる設定の変更をしていると思われる被害が見つかっています。

AMAZON 不正アクセス 非マーケットプレイス 高額ギフト券詐欺:螺旋館Blog @ So-net:So-netブログ
http://rasenkan.blog.so-net.ne.jp/2017-05-17

こちらのブログでは不正ログインされてギフト券を買われたようですが、注文の表示を非表示にすることでアカウントのユーザーに気づかれにくくしていたようです。

他にも乗っ取ったアカウントに不正に入手したと思われるギフト券などで購入することでカード情報が無いアカウントも悪用しているようです。

クッションが送られてきたのはおそらく住所の変更を忘れていたためじゃないかと。

このような感じでクレジットカードを登録していなくとも不正ログインで悪用のターゲットになっているようですので、安心せずにパスワードの使い回しをしない、2段階認証など十分な安全対策をした方が良さそうです。

そして非表示の注文履歴がないかを調べてみたほうがいいですね。発覚していない被害が結構あるかもしれません。

それに対してAmazon側も少し動きがあるようで、長期間出品をしていないアカウントを閉鎖していっているようです。

追記

メールアドレスとパスワードを変更されていて気づいたらログインできなくなったとの被害者もいたので試しにパスワードを変更してみたところ「Amazon.co.jpのアカウントの修正」というタイトル連絡のメールが届くのみで変更できてしまうようです。メールに気づかなければログインできないようにされている可能性があります。

2017年5月14日 (日)

test.userlocal.jpでサイト改ざん?

このようなツイートを見かけてちょっと調べてみるとキャッシュから話は本当のようですね。

Yahooキャッシュ http://archive.is/Egz77

Googleキャッシュ http://archive.is/87dAW

どちらも「xn--fkqr09a.co」のキャッシュと表示されていて日本語ドメインで「巨乳.co」が表示されていたようですね。

2010年は修正後の状態と同じようで、いつからか別のサイトの情報が表示される状態になっていたと思われます。

https://web.archive.org/web/20100416153441/http://test.userlocal.jp/ 

ちょっとよくわからない状態だったようですね…

«yahooメールの海外からのアクセス制限の設定