2019年7月 3日 (水)

7payの不正対策は不十分

昼頃の公式発表までに大体の被害状況と事情の情報収集がすんでいました。それでもブログのリニューアル以降使いにくくて更新を控えていたんですが、クレジットカードでのチャージを防ぐだけの対策だとまだ不十分だと会社側が認識していないかもしれないので書いておきます。

公式サイトの発表では今回の問題点はログインでリスト型攻撃などで不正ログインをされチャージ用の認証パスワードもログイン時のIDかパスワードの使い回しなどの方法で破られた可能性が考えられますが(認証パスワードを使い回していなかったという人もいますが)対策としてクレジットカードでのチャージをできないようにしています。

チャージされたのは確かですが、それは反抗の一端であってすでにチャージしてあった場合は意味がありません。これでは現金でチャージしていてもパスワードが破られれば同様の被害に遭ってしまいます。

実際にこのようなツイートもあります。

早急に2段階認証などで不正ログイン対策をしないとまだ被害が増える危険性があります。

また、今回の騒動をPayPayと比較する人が大勢いますが、個人的にはポイントかどうかの違いでPontaやTポイントの被害の方がより近いという印象です。いままでアプリでポイントなどが使用できなかったために狙われておらず危機感が足りないところを新しいサービスでターゲットにされてしまい問題点が露呈したという印象を持っています。

今回よかったと思う点は公式発表の速さ。3日未明から(会見で2日の夕方頃から被害が出始めたとのことですね) 被害が出始めたと思われますが、昼には発表をしてマスコミもそれを見て報道をし始め多くの人に知られるようになったのは評価すべき点だとは思います。

以下のツイートでメールが届かないとの話もありますが、他に届いたという人もいるので方法が違ったのか詳細は不明です。

7/5 追記

7月4日の14時から会見でチャージ全般の停止と新規受付も対応が完了次第停止すると発表されました。

チャージができなくなっても残っていた場合は不正利用される危険性がありますが、とりあえず収束する方向に向かっていくとは思われます。

また、22時頃のニュースで出し子と思われる中国人が逮捕されたと報道されました。電子たばこを購入していたとのことでTポイントでの事例との共通点があり同じグループが関与していた可能性も考えられます。

多くの人が比較していたPayPayはというと、ATMの同時引き出しの時以外はなかった出し子に日本人が逮捕されているので(のちに不起訴)どちらかというとこの事件は特殊な事件でほかと比較しにくいかもれません。

会見で話していた海外からのアクセス(中国などから)というのは、ログインできるか試しているのにProxyなどを利用していなかったと考えられ、一時的にアクセスを禁止してもProxyなどを通じて再度攻撃してきた可能性があるため一時しのぎにしかならなかった可能性が高いです。サービスを停止してじっくりと調べ直す方がよかったんですが、今回はこの対策でなんとか乗り切れるかもしれません。

ただ、今までセブン&アイ(オムニ7)のサイトやアプリが狙われるだけのメリットかが無く無事だっただけなのが7payという動機ができてターゲットとなってしまったのでシステム全体を攻撃されても大丈夫なように隅々まで再点検し、別の方法で予想外の攻撃がおこると想定しないとまた大変なことになりかねません。

2019年6月 6日 (木)

大英博物館オンラインショップで改ざん?

ツイート直後から調べ出しましたがサイトが503と表示されている状態で(現在は復旧しています)Googleのキャッシュからソースを調べたところ怪しいスクリプトが最後に追加されていました。

Britishmuseumshoponlineorg3

Britishmuseumshoponlineorg

ちょっと読みづらいのでわかりやすいところをピックアップするとクレジットカード情報を盗むスクリプトかな?といった記述があります。

Britishmuseumshoponlineorg2

接続先のサイトの様子はこんな感じですね。

Analyticsadsensecom

難読化を解除するのは手間がかかるのでソースをhtmlで保存して実行してみても動作していないっぽい?という状態だったので、どの程度の被害があったのかはわかりません。

2019年5月25日 (土)

「アンとケイト」及び「ポケットアンとケイト」の不正アクセスによる情報流出

24日に情報が更新されていたんですが、あまり気づかれていないのかもしれないので少しだけ。

「アンとケイト」及び「ポケットアンとケイト」不正アクセスによるお客様情報流出に関するお詫びとお知らせ
https://www.ann-kate.jp/incident.html

(1)流出アカウント数:770,074件

(2)流出内容

氏名(*2)、メールアドレス、パスワード、性別(*1)、生年月日、未既婚(*1)、子供の有無(*1)、個人年収(*1,2)、世帯年収(*1)、職業(*1)、勤務先業種(*1)、郵便番号、都道府県(*1)、市区町村(*2)、市区町村以降の住所(*2)、電話番号、銀行口座の支店番号(*2)、口座番号(*2)、口座名義(*2)、Pex ポイント口座番号(*2)、ドットマネー口座番号(*2) 等

(*1)該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(*2)任意項目のため回答頂いていた方のみ該当します

流出アカウント数が発表されましたが、22日の発表の時に4月にアカウントを削除していたのにメールが届いたとの人もいたので削除後も一定期間か長期間保存していた可能性があるかもしれません。そういったアカウントも流出したアカウントに含まれている可能性があります。

次に気になったのはパスワードのハッシュ化に関する記述がありません。書き忘れという可能性もありますが、平文で保存されていた可能性がありリストが出回るとすぐに攻撃に利用される恐れがあると考えていた方が良さそうです。

また、流出した情報が多岐にわたるためにYahooなどの秘密の質問やSNSなどの個人の特定やなりすましなどの悪用にも注意しておいたほうが良さそうです。

2019年5月19日 (日)

ワンクリックウェア作成グループの逮捕の解説

ワンクリック詐欺首謀格逮捕=ウイルス作成容疑-愛知県警など:時事ドットコム
https://www.jiji.com/jc/article?k=2019051301158&g=soc

アダルト動画サイト巡り、男逮捕 - ロイター
https://jp.reuters.com/article/idJP2019051301002070

5月13日にワンクリックウェアを作成していた容疑者が逮捕されましたが、この人物が過去どういったことをしていたかは知られていませんし、検索エンジンも古い結果は表示しなくなってきていますので過去の情報を辿るのは難しくなっているので少し紹介しておきます。

まず、どのサイトでの被害かというところですが、こちらの掲示板の情報で特定できます。

ワンクリウェア画像
http://inuou.bbs.fc2.com/

2017年1月下旬から2月上旬という時期からいくとレジストリのスタートアップに"web***"と記述するタイプのhtaのワンクリックウェアだと思われます。

手元の資料からこの種類のワンクリックウェアが出たしたのは2009年11月中旬頃からで、手元にhtaファイルも保存されています。

こぐまねこ帝国のブログ | heart[架空・不当請求サイト]
http://blog.kogumaneko.tk/log/eid1366.html

Webheart

Webheart2

http://web.archive.org/web/20091123210652/http://www.heart-pc.net:80/

サイトなどの特徴などから、これ以前から活動していたexe形式のワンクリックウェアがhtaに切り替わったと考えられワンクリックウェア界隈でははちれも系と呼ばれる(最初に発見されたサイトがはちみつレモンだったらしい)という2004年頃から猛威を振るっていた2種類のうちの1種類の系統がhtaバージョンに変化したものだと考えられています。このことはこちらのブログでも指摘されています。

こぐまねこ帝国のブログ | ワンクリック詐欺の首謀者「中馬哲郎」ついに逮捕される
http://blog.kogumaneko.tk/log/eid3765.html

exe形式はアダ被さんで駆除方法が載っているような有名なものでした。VB6で作成されていて起動用にbatファイルを作成するタイプです。実はこのexe形式の頃に一時掲示板で相談しても駆除できないといった事態が起こっていましたが、掲示板のhtmlタグの関係で複数の空白スペースは一つに表示される設定になっていました。それを狙ったのかフォルダ名に2つの空白が入ったものを設定して掲示板でファイルの削除ができないようにといった事をしていた障害となるようなところは情報収集をして対策をするようなワンクリックウェアでした。レジストリは削除できるので起動しないようにできるので被害自体は抑えられましたが。

http://web.archive.org/web/20130120103509/http://wiki.higaitaisaku.com/wiki.cgi?page=%B0%AD%BC%C1%A5%EF%A5%F3%A5%AF%A5%EA%A5%C3%A5%AF%BA%BE%B5%BD%A5%B5%A5%A4%A5%C8%A4%CE%A5%B9%A5%D1%A5%A4%A5%A6%A5%A7%A5%A2

ワンクリックウェアでは2004年頃からで通常のワンクリック詐欺などもしていたとなるとそれ以前から活動していたグループの逮捕となっているわけですが、今回の逮捕は長年のワンクリックウェアとの戦いにおいて象徴的な出来事となっているはずです。

あとがき

ある程度資料と情報のある場所を知っていてもサイトの閉鎖や検索エンジンに表示されなかったりと情報収集に苦労するぐらいですから、古い情報は知らない人が調べてもなかなか大変で難しくなるんじゃないかなというのが今回の感想ですね。誰かがまとめておいておかないとダメなんだろうか…

2019年3月20日 (水)

東方神起をはじめとするSMエンターテインメントの韓国公式FCの有料会員登録でクレジットカード情報流出?

3/23 加筆修正

ファンの人にはわかりにくい、間違いあると指摘を受けたので最初に簡易の箇条書きを追加しておきます。

  • クレジットカードの被害があったのは東方神起とスーパージュニアの募集時期のみ。ただし改善されていないと思われるのでそれ以降も気をつけないといけない。
  • 状況からyes24でのブラウザでの登録で保護されていない可能性が高いのでブラウザでメッセージが出ている場合は盗聴される危険性がある。
  • OSは関係なくiPhone,Androidともに保護されていないのでフリーWi-Fiや安全ではないVPNを利用すると盗聴の危険性がある。
  • クレジットカード情報だけでなく保護されずに入力している情報すべてが盗聴される危険性がある。ID・パスワードを使い回していた場合はその他のサイトでも危険。

追加分はここまで、ここからは最初に書いた文章になります。

一番最初に話題になった東方神起を例にしますが、他のファンクラブも加入方法は同じです。

韓国でのオフィシャルファンクラブ発足に関してのお知らせ – SMTOWN OFFICIAL JAPAN[SMTJ]
https://smtown-official.jp/news/n20190121/

前提条件として日本と韓国ではファンクラブが別々でながらく海外から入会が認められていなかったようで、特典のある有料会員登録を開始したということのようで、韓国の有料ファンクラブに加入することで韓国でのチケットやグッズなどが購入できるようになるといった特典があります。その韓国のファンクラブが1月末ごろから日本からも入会できる方法が話題になり有料会員に加入した人にクレジットカードの不正利用が相次いだというのが今回の騒動です。

加入方法はlynsというアプリをダウンロードし、アプリ内で会員登録。そこでSMS認証がありその後yes24というサイトでクレジットカード(3Dセキュア)での決済という流れになるようです。

ところが、lynsというアプリは日本からダウンロードできず(後に聞いた話では中国やタイでも不可)SMS認証も日本の電話では海外からのSMSをブロックする設定の場合もあり届かなかったり、海外サイトでの決済でクレジットカードが止められて使えないといったトラブルが多発していたようです。そこで回避する方法を書いたブログを参照しての加入者が増えたようですが、そこからクレジットカードの不正利用が出始めたという状況でした。ただ不正利用は2月の上旬ぐらいまででSNS上では10人程度でGoogleの知らないアカウントからで数千円程度が多く、それ以降は確認されていません。

こういった情報からフォームの改ざんを疑ったんですが、被害が1月下旬から2月上旬のみで一般的なフォームの改ざんの時はもっと長期間ですので被害の出方が違います。

また、被害に偏りがあるのも気になりました。OSはAndroid中心でカード会社はJCBが中心。さらにモバイル向けとPC向けでサイトの違いが。

https://ticket.yes24.com/
https://m.ticket.yes24.com/

mがついているモバイル向けと思われるサイトではhttpsでの接続ができません。これらの情報から考えたのは保護されない送信が行われていてそれを盗聴されているのでは無いかという疑惑です。

どうやって日本から登録するよう回避していたかというのを紹介されているブログなどをみてみると

iOS

新たなAppleアカウントを作成して国を韓国にする。
lysnアプリのダウンロードしてそれ以降の登録などは止められるなどのトラブルが無い限り通常通り。

Android

VPNアプリでネットに接続して新しく作成したアカウントで韓国にする。
lysnアプリのダウンロードしてそれ以降の登録などは止められるなどのトラブルが無い限り通常通り。

これ以外にも公式以外のサイトからアプリをダウンロードする方法もありますが、今回はそちらでの被害は確認できませんでした。

違いはVPNアプリの差。ということで登録を紹介しているブログなどで特定のVPNアプリを紹介しているので、そのVPNのサーバーで情報が盗聴されていたのではないか?と疑っています。iOSでも被害があったのはうまく登録できなかった人がAndroidの方法を参考にしてVPNアプリを利用した可能性が考えられますが、被害に遭った人達から聞き取り調査をするにしても肩書きも無くファンでも無いため不審者と思われるでしょうからこれ以上は踏み込めなかったりします。

JCBで被害が目立ったのもブログでJCBのカードが通ったとの書き込みからJCBを使う人が多かったので被害が目立ったんじゃないかと。

2月上旬以降被害が出ていないので対策されたのかと思ったら最近でもこの状態のようです。

 

VPNの管理者か第三者が盗聴できる状態で個人情報を記録して売買していたんじゃないかとも考えられるので今後も登録するときにブラウザが警告画面を出す場合は即座に中止するぐらいじゃないと危ない状態と考えた方がいいですね。

アプリのダウンロード後にVPN接続を切ったとしても保護されていない状態のまま送信だと他にも危険ですし、今回のはカード以外も保護されていない情報は盗聴されていた可能性があります。メールアドレスとパスワードの組み合わせで使い回しをしていた場合は他のサイトへ不正ログインをされたり、使い回しをしていなくてもフィッシングメールのようなものが送られてくる可能性は考えていた方がいいですね。

一時的な対処法としては、ブラウザのurlをhttp://m.ticketをhttps://ticketという風に変更していけるようならこういった方法もありますが、メールで送られてくるurlがhttpsでなかった場合は注意が必要です。

下記ブログの画像ではyes24から送信されてきたメールのurlがhttp://ticket.yes24.com/となっていて個人情報をフォームに入力するとブラウザが安全ではありませんと表示しているのが画像で記録されています。

東方神起の韓国のファンクラブ「Cassiopeia(カシオペア)」に入会する方法。「Lysn」アプリのダウンロードからアカウント設定まで詳しく解説しています! | 『ロミコリ!』韓国でヲタ活とかしませんか?
https://romiromikorea.com/11701.html

今回の検証で難しいのは人によっては警告が出なかったという人もいて他にも条件がありそうなんですがまだ判明していません。

サイトの中に入るのも大変で忙しく時間も無かったので確認作業まではできませんでしたが、SMエンターテインメントが今後も次々とタレントのファンクラブ募集をしていくようなので注意喚起もかねて何が問題と思われるかといった情報を書いておきます。

またよくある間違いですが、yes24で3Dセキュアでの登録なので悪用されないと思っている人が何人かいましたが、こちらで流出した情報を3Dセキュアに対応していないサイトで悪用すると関係ありません。3Dセキュアは採用しているサイトで悪用されにくくする技術です、また収集した情報を今すぐ悪用するとも限らないので心当たりのある人はクレジットカードの明細をしっかりとチェックするようにしておいた方がいいです。

今回の件で気になったのは韓国は大量の個人情報が流出した場合は報告の義務と経営責任を問われるらしいのですが、今回のはそれに当たるかどうか。流出とはちょっと違うような気もしますし大量ともいえないかもしれない。

韓国における大規模情報漏えい事故発生時の経営責任 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
https://scan.netsecurity.ne.jp/article/2014/07/24/34574.html

また、公衆無線LAN(フリーWi-Fi)を利用するときにはVPNを利用した方がいいという記事もよく見かけますが、今回のように逆にサーバー側で収集されると同等かそれ以上に危険ということが知られておらず、かえって危ないのでブラウザで警告が出ているときは送信しないとした方がいいんじゃないかとも思いますね。なにもVPNからの問題でなくアダ被さんでも10年以上前から匿名Proxyの危険性は書いていたんで同様だと思うんですけどね。VPNのサービスをしているサーバーが信用できるかどうか。特に無料のは危険なものが多いと思われます。

無料サービスの危険性について
https://web.archive.org/web/20130923034914/http://www.higaitaisaku.com/muryou.html

2019年2月 5日 (火)

嵐のファンクラブへ不正ログイン攻撃?

数日前からファンクラブに正しいパスワードでログインしようとしているのにログインできないという人の投稿がある程度あり、チケットを申し込むのに会員でいないといけないので妨害目的ではないかという説も出てきています。

3回ログインに失敗すると一定期間(24時間?)ログインできなくなるようで、それを利用した攻撃かもしれないですし、アカウント乗っ取りからチケット購入をするつもりの攻撃の可能性も考えられます。

ジャニーズ事務所も2017年から電子チケットに切り替えているようですが転売対策は完璧ではないという話もあるので、botなどを使った転売目的のための攻撃も考えられるんですよね…

追記

パスワードの再設定ができるできないは初期パスワードから変更しているかどうかが影響しているようです。

今回の問題は問題は会員番号が連番で初期パスワードが登録電話番号の下4桁と推測されやすいといったところが大きいのですが、ログインできてしまうと不正アクセス禁止法、ログインできなくとも大量にアカウントをロックさせると電子計算機損壊等業務妨害罪に問われる可能性があるので、いたずら程度に思っていると後でひどいことになるかもしれないんですけどね…

削除した部分の確認ができたので再度追記。

Johnny's net:ファンクラブ
Q.新パスワードを忘れてしまったので再設定したい。
https://www.fc-member.johnnys-net.jp/support_faq/detail/id/115002834207

被害は組織的な攻撃ほど多くはなさそうなので、一部の人間による嫌がらせのような行動の可能性が高いと現時点では判断しています。

2/7 追記

サイト側で対策をしたようで、24時間から1分になっているようです。

2/9 追記

ロック時間が4時間になったというのといまだにロックされるという投稿が少ないですが続いてます。時間が長くなったのは初期パスワードが脆弱なので短すぎると不正ログインのリスクが高まるということでしょうけど、いまだに続いているのは数が少ない場合は会員番号間違いも考えられますがある程度の数がある場合は何らかの攻撃を受けている可能性がありますね。

2019年2月 2日 (土)

リーチサイトのSNSアカウント放置ですよ

静止画ダウンロードの違法化関係でスクリーンショットの違法化や違法サイトのブロッキングや警告画面を出すとか話題になってますが、SNSで宣伝用アカウントが凍結もされずに生きている時点で関係会社は何やってるんだかという感想しかないんですよ。

宣伝目的と言われかねない文字を消してスクリーンショットでも違法と問われかねないので消すとこんな画像になりますけどね。

Sns

2019年1月31日 (木)

小ネタ集

PayPayの不正使用でキャンペーン終了後にも被害に遭ったとの話を見かけました。

SANGARIAN'S KANTO カードが不正使用された
http://kwantaka.blog129.fc2.com/blog-entry-3199.html

12月20日にヤマダ電機で122,344円と267,624円。

翌日の21日から金額の上限制限が実行されたので、直前に悪用されていたということのようです。

次に、現在情報収集中のものに東方神起などの韓国のファンクラブに入ったところクレジットカードを不正使用されたとの話があります。

情報不足で何が原因かまでは特定できていませんが、フォーム送信で保護されていないとのメッセージが出てきたとのツイートがあり特定のサイトで決済をするためにサイトのフォームの改ざんか、日本からダウンロードできないアプリをインストールするためにある無料のVPNアプリを紹介されていたためにVPNで情報を盗まれた可能性を考えています。

Udemyで一部個人情報が流出

リンク先を見たところパスワードを平文で掲載されているようなので、平文で流出したんじゃないかとおもわれます。

すでに悪用されていてそれで発見という流れのようで、サイトではこの件に関する発表はまだないようです。

オンラインコース - いろんなことを、あなたのペースで | Udemy
https://www.udemy.com/

2019年1月24日 (木)

LINEとFacebookの不正ログインが増加傾向

Facebook201901

最近Facebookへの不正ログインが増えてきているようで、大体が台湾からログインされそうになったというもの。以前からよくある台湾の中華Proxy経由でのリスト型攻撃の可能性が高く、パスワードの使い回しをしていると被害にあうと考えられます。ログインされた後にどういった被害があるのかは不明ですが、アカウントの乗っ取りで別人に帰られてしまったりメッセンジャーによるスパム行為、Facebookとの連携でログインできるサイトへさらに被害の拡大が考えられます。

Line201901

次はLINEの被害。

しばらくSNSでの被害数がそれほど多くなかったので活発で無かったと考えていましたが、また増えだしています。ただ、今回は全盛期ほどの被害数でもないですが、パソコンからのログインでの端末名でわけるとまだ不正ログインに戻ってきていないグループがあると考えられるので、そこが戻ってくるならさらに攻撃が増える可能性があります。

«クレジットマスターについて