2017年12月15日 (金)

ワンクリックウェア業者もVPN使用

「家で荷受け」バイト持ちかけスマホ詐取の疑い、男逮捕:朝日新聞デジタル
http://www.asahi.com/articles/ASKDG6HZPKDGUTIL053.html

VPNで発信元隠す スマホ詐取容疑で男ら逮捕 警視庁  :日本経済新聞
https://www.nikkei.com/article/DGXMZO24673860V11C17A2CC0000/

スマホを荷受けでだまし取る犯罪でVPN Gateを使っていたとのことですが、2010年頃にパソコン向けのワンクリックウェアをやっていたところでstatic.zoot.jpを使用していたのを確認しています。しかも逮捕されていないグループで。

マイIPはどこでも固定IP環境を実現します - INTERLINK
https://www.interlink.or.jp/service/myip/

こちらはインターリンクのマイIP ソフトイーサ版と思われ、外部サイトにアクセスするときはこのようなサービスを使っていたと思われます。これ以外にもホスト名の引けず余計な情報が出ない匿名Proxyを使っていたりと直接のIPアドレスを知られないような細工は当時からしていましたね。かえって目立ってたんですけどね…

サーバーを公開していただけで外部との接点がないはずなのになぜ知ってるかというと、悪質化しないように圧力をかけ続けていたので向こうからアクセスに来るようなことをやっていたもので…

メール乗っ取りからの仮想通貨による被害

まず一つ目はこちら

https://fate.5ch.net/test/read.cgi/cryptocoin/1495783263/218-

bitbankという取引所でモナーコインの被害です。

まずメールを不正ログインで乗っ取り、使用しているサービスを調べた中に仮想通貨の取引所があったために被害に遭ったということなんですが、取引所の被害に気づいてパスワードの変更と2段階認証を導入したところ変わった動きがあったという話です。

こちらで簡単にまとめられていますのでツイートをのせておきます。掲示板の方には書いてありましたが、メールはSoftbankのキャリアメールです。

もう一つは送金では無く、少し手の込んだ被害です。

Bitcoin盗まれたお話 - @tomotomo66のメモログ | Monappy
https://monappy.jp/memo_logs/view/tomotomo66/977

取引確認のメールがないとのことなので、おそらくメールを乗っ取られているとお思われます。被害がちょっと違っていて、送金ではなくマイナーな仮想通貨の取引。

よくよく取引履歴を見てみると、

ある通貨を非常に高く買って、その後非常に安く売るを繰り返しているではありませんか!

この取引所、マイナーなアルトコインを扱っていて、さらにUSDの板は薄いんです。

その板で犯人が非常に有利になる取引を、ハックしたアカウントで行い、

実質的な送金をしていたのです。

犯人は僕がZNYをBTCにしてから2分後に作業を開始、0.46BTCをほぼ0にするまで15分で作業を終わらせました。

風呂に入る時間で十分です。

この方法で犯人を特定しにくくしようとしていると思われますね。利益を上げたアカウントも乗っ取られている可能性もありますね。また、タイミングが良すぎることからすでにメールの方に不正ログインしていたところタイミング良く取引のメールがあったので、そこから狙われたという感じじゃないでしょうか。

こういった被害があることから取引所の2段階認証だけでなく、メールの方も不正ログイン対策をしておかないと、そこから突破されるといった被害が出ていますのでしっかり対策を!

2017年12月13日 (水)

国内からの不正ログインが増加中

時系列順に書いていきます。

11月頃からFacebookへの不正ログインで国内からというのが増えていますが、地域が比較的バラバラで愛知県からというのが少し多い状態でした。IPアドレスを公開している投稿を見かけなかったですが、WindowsでFirefoxという共通点があり、誤判定としてはあまりにも不自然ということで踏み台を利用した不正ログインの可能性があります。

具体的な被害と結びついていたわけではないですが、この間にあったレイバンスパムとLINEのようなメッセンジャーの乗っ取りによるWebmoneyなどを買ってきてもらうといった不正ログインの痕跡じゃないかと思われます。

同時期にGoogleも国内からの不正ログインが増えてきてますが、バラバラだったのが12月に入ってから東京の多摩というのが増加します。2つの時間の違う投稿で同じIPアドレスということから踏み台かIPアドレスを気にせず不正ログインしている初心者かという感じかなというところですね。

Googleが止めることが多いので具体的な被害にあう人は少ないと思いますが、被害に遭う場合はGoogle Playでの購入やメールの流出や送信、保存しているメールから利用しているサービスへの不正ログインへ悪用などが考えられます。

210.228.38.126 126.CH353.cyberhome.ne.jp

CYBERHOME(サイバーホーム)インターネット接続会員さま向けサイト
https://www.cyberhome.ne.jp/app/home.do

マンション向けのISPのようですね。

最後にTwitter。

12月になってから不正ログインをされそうになったというので長野からというのが極端に多いです。レイバンスパムも活発化しているのとちょうどその時間帯に長野からログインされたとの投稿もあるのでレイバンスパムは長野の中華Proxyを利用しているんじゃないかと考えられます。

2017年11月29日 (水)

秘密の質問が破られた事例の考察

少し前にこのような被害があったのを見つけました。

ちょびリッチで不正アクセスを食らって11,500円を搾取されたので経緯を簡単にご紹介したい
https://www.ana-mileage-shoes.net/entry/cyberattack

※愚痴注意※不正アクセスを食らったら被害者は泣き寝入り。少なくともちょびリッチさんは助けてくれないことがよくわかった
https://www.ana-mileage-shoes.net/entry/nakineiri

要約すると

・ポイントサイトのちょびリッチに不正ログインされてAmazonギフト券のコードの変換されていた。

・登録していたYahooメールが不正ログインされていてそこからちょびリッチに不正ログインされた模様。日本からの接続。

・Yahooとちょびリッチのパスワードは違ったものの、ちょびリッチのは過去にYahooから流出したものと同じだった。

・ポイントからAmazonギフト券への交換には秘密の質問による認証があるが突破されている。(答えの問い合わせなど無し)

・ちょびリッチ側には落ち度が無く保証はしない。

こういった内容なんですが、秘密の質問が破られているという点が特徴的です。

ブログ記事を公開する前にTwitterで被害情報をツイートしていたときには、ちょびリッチに秘密の質問の答えが問い合わせできるようなのでそちらを使ったのかと考えていました。

現在は変更されているようですが、当時は生年月日で秘密の質問の答えを問い合わせでき、なおかつ秘密の質問も変更できなかったようです。そのためYahooのアカウントを乗っ取られて登録してある個人情報を入手された場合は秘密の質問を問い合わせできた可能性がありました。

http://web.archive.org/web/20160918152057/https://chobirich.info/help/detail.php?a_id=89

https://chobirich.info/help/detail.php?a_id=89

まずはユーザー側のパスワード管理の落ち度からみていきましょう。

Yahooメールへの不正ログインはリスト型攻撃と思われるので、おそらく複数のパスワードを使い回していたと思われます。そのため、同じパスワードを利用していたどこかのサイトから流出したリストで攻撃されたために防げなかったんでしょうね。

次にちょびリッチ側のパスワードを過去に流出したものを使い続けていたというのが問題です。Yahooだけしか変更しなかったと考えられますね。

パスワードの管理をしっかりしておけば防げた攻撃ですが、これらの情報から攻撃側がどんな攻撃をしてきたかという推測するといくつか浮かび上がってくる点があります。

まず、違うパスワードでも破られたということから、リストの名寄せをしている可能性があります。Twitterの方でYahooからちょびリッチのログインまで時間は1分30秒しかかからなかったということからパスワードが違っていてもいいようにすぐに情報を取り出せる準備ができていたと考えられますね。

ここから秘密の質問の突破に関して考察していきますが、情報が少ないので結論は出ていません。少ない情報からある程度の推測ですので間違っていることもありますので始めに断っておきます。

・被害者が疑っていたちょびリッチのシステムへの侵入。

これは同様の被害が他に見つかっていない、Yahooも同時にログインされているといったことからちょびリッチのシステムが脆弱だった可能性は低いと考えています。

・パソコンやスマホのマルウェア感染。

他に同様の被害者がいないことから可能性は低いかなと考えています。この場合他のサイトの被害もおきてそうなんですよね。

・秘密の質問もパスワードと同時に流出。

Yahooの過去の情報流出では秘密の質問も流出した疑いのユーザーもいたので可能性はありますが、同じ質問とは限らない、秘密の質問の突破まで少し時間がかかっているということから少し違うかもと考えています。

・残っていたメールから推測された。

一番可能性が高いのはこれじゃないかと考えています。ちょびリッチを使っているのもメールを調べて使用しているサービスを割り出していると思われるので、秘密の質問の内容によっては答えもしくはヒントになるようなメールが残っていたかもしれません。

・他サイトに保存していたパスワードなどの情報から入手。

EvernoteやWebストレージサービスなどのサイトに保存しておいたものを入手された可能性ですが、パスワード管理ソフトも利用していないことからパスワードなどを保存していたんだろうかという疑問符がつくので少し可能性が低くなりますね。

・SNSアカウントを特定して公開されている情報から推測。

可能性は高くないとは思いますが、この情報収集をされると一番やっかいだなと考えた攻撃です。流出したメールアドレスや電話番号からSNSのアカウントを特定し、公開されているプロフィールや投稿から秘密の質問の答えを推測するという方法です。友達やフォローにならずにアカウントを特定して情報収集するだけなので気づかれにくく、メールアドレスや電話番号で知り合いとのつながりを増やそうとしている人ほど収集されやすいと考えられます。

とりあえず浮かんだ攻撃方法はこんなところですが、今回のようにメールアドレスが乗っ取られていた場合は秘密の質問を突破する方法が増えるのでパスワードの強化と管理が重要ですが、最後のSNSアカウントの特定に関していうとそれ以外の怖さがあります。

もしパスワードがわからなくても秘密の質問と少しの個人情報でパスワードが回避できた場合、SNSの公開情報から回避される危険性がありそうだなと。

例えば、Facebookのプロフィールから生年月日を確認して秘密の質問の好きな食べ物をInstagramやTwitterの画像からよく出てくるものから推測なんて攻撃が考えられそうです。こうなるとユーザー側にできることは非公開にするなど少なく、使い方に制限がかかってしまいます。

そのため、すべてのサイトにいえることですがユーザーではなくサイト側での対処が望ましく、秘密の質問の質問を簡単に調べられないようなものにしたり、秘密の質問を複数にしたりといった対策や秘密の質問をやめるといった事も考えた方がいい事態が近づいてきているのかもしれないですね。パスワードを名寄せするような相手だということを頭に入れておかないといけません。

最後に

このSNSで秘密の質問の答えを探すという話題は、こんな個人ブログで書かずにどこか正式なところから発表した方がいいんじゃないかとも思ったんですが、ツテが無いのと情報不足ではっきりしたことは言えないということからあきらめたんですが、有名な専門家あたりがサイト管理者にも目にとまるようにこんな危険性が考えられるから気をつけた方がいいと話題にした方がいいんじゃないかなと思ってます。

まっ、一介の素人なんで間違っててもおかしくは無いんですけどね。

2017年11月27日 (月)

Instagramにブラジルからの不正ログインが急増

Instagram_bra

「instagram OR インスタ 不正 ブラジル」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

少し落ち着いたようですが、ここのところInstagramでブラジルから不正ログインされそうになったとの投稿が増えています。原因まではわかりませんが、こちらのリポートにあるようにブラジルのIoT機器やルーターといったところが踏み台になっているのでは?と考えられますね。

10月度IoTサイバー脅威分析リポート | IoTサイバー脅威分析リポートリポート | Online Security
https://www.onlinesecurity.jp/iotsec_reports/2017/201711.html

8月度IoTサイバー脅威分析リポート | IoTサイバー脅威分析リポートリポート | Online Security
https://www.onlinesecurity.jp/iotsec_reports/2017/201709.html

IoT関係としては先日NHKスペシャルで放送されたのが話題になりましたが、次回のサイエンスZEROでも同様の内容をするようです。

NHKスペシャル | あなたの家電が狙われている~インターネットの新たな脅威~
http://www6.nhk.or.jp/special/detail/index.html?aid=20171126

サイエンスZERO「家電が狙われる!?新たなサイバー犯罪の脅威」 - NHK
http://www4.nhk.or.jp/zero/x/2017-12-03/31/15941/2136658/

2017年11月20日 (月)

北朝鮮からの不正ログイン

北朝鮮、サイバー攻撃に力も国内パソコンがウイルス大量感染 大使館は機密守れぬフリーメール使用(1/2ページ) - 産経ニュース
http://www.sankei.com/world/news/171120/wor1711200008-n1.html

こういう記事が出ていますが、以前から北朝鮮から不正ログインされたとの投稿は数は少ないもののいくつかあり、踏み台なのか直接やっているのかまでの判断がつかないといった状態だったりします。

記事の内容を割り引いたとしても多少は踏み台にされてる可能性は十分ありそうですよ。

2017年11月15日 (水)

SMSの架空請求画面の見つけ方

消費者庁がSMSを使ってAmazonをかたりギフト券での不正請求に注意喚起をしたので話題になっているので、実際に送られてきている画像を比較的簡単に見つける方法というのをノウハウとして持っているので紹介しておきます。

いくつかのSNS検索をした結果、SMSの架空請求画面が簡単に見つかるのはInstagramの #架空請求 タグです。

#架空請求 • Instagram写真と動画
https://www.instagram.com/explore/tags/%E6%9E%B6%E7%A9%BA%E8%AB%8B%E6%B1%82/

ページの最初の9つの投稿は人気のもので古いものも表示されますが、その下の最新から新しい投稿から古いものへ順に表示されます。

大半が請求画面の画像での投稿で、頻度や電話番号にどこの会社を騙っているのか一目瞭然なのでこの辺りの情報を調べるときはこのタグは便利ですよ。

他にも情報収集用に利用しているタグはありますが、現在はTwitterとFacebookだけで手一杯の状況でなかなか調べ切れていない状況です。

2017年11月10日 (金)

AmazonとLINEの連携の弱点発見

前回の記事の追記ではなく別の記事で書いておきます。

AmazonをLINEと連携させて注文確認メッセージを受信する: 独房の中
http://f36type.cocolog-nifty.com/blog/2017/11/amazonline-089f.html

記事を書いた後もいろいろと調べていたんですが、注文をキャンセルするのを繰り返すのも気が引けるのでチェックに時間がかかってしまいました。

問題点として見つかったのは、パスワードの変更に弱いという点です。

Amazonでパスワードの変更をしてもLINEでは通知がなく何の変化もありません。連携が切れていないのかチェックとして連携用のリンクを押しても「すでにリンクされています」と表示されました。

Amazon_line3

これでAmazon側でパスワードを変更しても大丈夫なのかと思いましたが、注文後の発送までの間にパスワードを変更したところ、発送のメールが届いてもLINEでは通知がなかったので連携が切れてる可能性があります。

このことからパスワードを変更すると通知は届かなくなると思われ、不正ログインで注文される前にパスワード変更するとこの連携機能は無効化されるようで、何の通知も無く気づけないと思われます。

Amazonにはパスワードの変更などの通知をLINEでもするように変更してもらわないと、このままだとちょっと問題がありまそうですね。

パスワード変更で通知が来なくなった場合は一度LINEで友達から削除して再度登録して連携し直すという作業になりそうです。

2017年11月 8日 (水)

AmazonをLINEと連携させて注文確認メッセージを受信する

*致命的な問題点が見つかったので次の記事にしました。

AmazonとLINEの連携の弱点発見: 独房の中
http://f36type.cocolog-nifty.com/blog/2017/11/amazonline-f21f.html

最近知ったのですが、AmazonとLINEを連携させる機能があります。

Amazon.co.jp:公式LINEアカウント
https://www.amazon.co.jp/b?node=3377800051

上記のページにあるQRコードから友達にすると連携するためのメッセージが送られてきます。そこからAmazonにログインするためのメールアドレスとパスワードを入力すると完了という仕組みです。

Amazon_line

注文したときにはこのようなメッセージが届きます。

Amazon_line2

注文確認メッセージがLINEで届くようになりますが、これを有効にした場合のメリットが結構ありそうです。

1.不正ログインによる注文をLINEで知ることができる。

メールが届くので必要ないと思うかもしれませんが、メールアドレスを乗っ取ってからAmazonでの被害というのは結構ありますので、メールをチェックする前にAmazonからのメールを削除されたりスパムとしてブロックされていることもあります。また、Amazonの購入履歴の非表示を機能を利用して簡単に注文されたことを知られないようにといった工作もしています。
ログインアラートと違い注文されたときにしか気づかないため2段階認証を使った方がより安全ですが、使いたくなかったり使えない場合などでの次善の策として利用するのが有効と考えられますね。
Amazonにログインされたら勝手に解除されるんじゃないかという疑問点もありますが、Amazonの設定を軽く調べた限りでは表示されるものは無く解除もLINEから友達の解除となるためにAmazonを不正ログインされても解除されることはありません。

2.実際に注文されたかLINEで知ることができる。

Amazonの注文を騙ったフィッシングやスパムメールに対してLINEでメッセージが来ているかどうかで判断することができます。不正ログインを騙るものに対しては2段階認証が有効でLINEとの連携の方は効果がありませんが、一部としても実際にログインして履歴を調べなくてもいいというのはある程度メリットがあります。

以上の2点が主なメリットですが、より確実に不正ログインから守るためには2段階認証をおすすめします。

また、この対策以外にもパスワードの使い回しと推測されやすいパスワードを使用しないようにし、メールアドレスの方も不正ログイン対策をしておくことをおすすめします。

LINEの方も不正ログイン対策が必要ですが、ログインの失敗の通知がよく来る場合はパスワードの変更でなく、流出していないメールアドレスに変更することが有効です。LINEに登録しているメールアドレスを変更することをおすすめしますよ。

2017年11月 5日 (日)

批判サイトを妨害目的で(D)DoS攻撃?

 

 

 

 

 

詳細はわからないですけど、ちょっと怪しいですね。

検索されないようにしていると思われるのはノアコインなる仮想通貨を勧めている講座を批判しているサイトと思われますので、金銭目的のために攻撃をしている疑いがあるようです。情報商材関係で色々やっているようですが、知恵袋が上にくるYahoo検索だとそちらのページを消すのは困難なので一つの対策方法かもしれないですね。

こちらは削除依頼があったというブログですね。

泉忠司 ノアコインについての考察 (追記あり)
http://yoshikun29.com/blog-entry-35.html

まとめてるサイトもありますね。

泉氏やノアコイン批判したブログがDDoS攻撃!?実際に調べてみたら……ヤバかった。
https://virtualmoneylife.com/news/ddos-attack-blog

11/15 追記

DoS攻撃全般のまとめが作られていますのでリンクしておきます。

2017年10月、11月の国内レンタルサーバー事業者へのDoS攻撃についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20171110/1510338911

«楽天にIPアドレスが表示されない不正ログインとAmazonの被害