2018年5月19日 (土)

Instagramのレイバンスパム

忙しくて長い間Instagramの情報収集を指定いなかったのですが、久しぶりに定期的に調べていたタグを覗いてみるとInstagramで1ヶ月はレイバンスパムが大量に発生していたようです。

わかりやすいのは”乗っ取り”タグでの検索ですね。

https://www.instagram.com/explore/tags/%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A/

サイトもいくつかあり、母の日ようにルイ・ヴィトンバージョンもあったようです。

https://www.instagram.com/p/BhyxZo8hJoS/

他にも先月には乗っ取りで韓国人女性の写真とプロフィールに変わっていて知らないフォローやフォロワーがいっぱいいたなんて被害も2件ほど見かけています。こちらもスパム系の乗っ取り可能性が高いと思います。

接続元は世界中からで地域に偏りがあまりないのも特徴で、レイバンスパムは中国が大本だと思われますが、アカウントが別人になるのは以前はロシア人女性のバージョンもありましたので、どこの国の人間がやっているとかまではわかりません。

不正ログイン対策としてはパスワードの使い回しをしない、推測されやすいものは使わないといった方法と2段階認証の設定ですが、Instagramの2段階認証はSMSですのでSMSが利用できる環境を用意しておかないといけません。

Skypeの不正ログインでURLスパム送信

少し前からSkypeへの不正ログインから何かURLを送られるといった被害が出始めていましたが、昨晩あたりから被害数が一気に増えているようです。

送られるURLを調べてみるとこのようなツイートが見つかりました。iPhone当選の画面が表示されたとのことです。

パソコンでサイトにアクセスしてみると次々とサーバーを転送してMacに偽装しているブラウザのUserAgentのためかMackeeperの偽警告画面に誘導されたのでUserAgentで表示する内容を変えてそうですね。

情報があまりなくて推測ですが、マルウェア感染ではなくリスト型攻撃による不正ログインではないかと考えています。ですから対策はSkypeもしくはMicrosoftアカウントのパスワードの使い回しをしないといったところになりますね。

もし怪しいURLが送信されてきてもクリックせずに送信してきた人にパスワードの変更をするように教えた方がいいでしょうね。

2018年5月16日 (水)

台湾からの不正ログイン

ここのところGoogleに台湾からの不正ログインが多かったのですが、ここ2日程度は見かけないと思ったら台湾から楽天市場での被害が増えてきているようです。フィッシングメールと思ってスルーしそうになってる人が多いようです。

さらに5月上旬からのmixiへの不正ログインも主に台湾からの攻撃が現在も続いていて、被害はかなりの範囲におよんでいるようです。対策をとっていない・とれないアカウントが大量にあるようで、自分のアカウントが不正ログインされたのでログインすると大勢のマイミクも同じような状態で放置されているなんて話も複数あります。(同時期に注意喚起のあったニコニコは発表後被害はなぜか収まっています)

それ以外にも仮想通貨のノアコインで被害という話もあったり、かなり活動が活発な状態です。

https://twitter.com/shinjyo_gin/status/995217646927818752

この台湾からの不正ログインは中華Proxyだと思われるんですが、NASなどを踏み台にする行為も中国系と思われ、こんなツイートもありました。

https://twitter.com/iozo70/status/994760860940713984

かなり活動が活発で、今年から収集している投稿はIPアドレスや場所付きなどに絞ってるんですが、情報収集と整理が追いつかないような状態ですよ…

2018年5月14日 (月)

nexonへの不正ログイン

ここ数日nexonに不正ログインされそうになったとのツイートが増えています。

公開されていたログを見ると数時間おきにIPアドレス(国も)を変更しながらログイン試行をしているようですが、複数の接続元のIPアドレスをブラウザで開いてみると約半数でこのような画面が表示されました。

Mikrotik_router

Mikrotik_router2

Mikrotik_router3

特定の製品のログイン画面ということで、ちょっとかたよりがありますね。

RouterOSの現在配布されているバージョンを調べてみてるとこのような感じですね。

MikroTik Routers and Wireless - Software
https://mikrotik.com/download#

6.40.8 (Bugfix only) 6.42.1 (Current) 5.26 (Legacy) 6.43rc11 (Release candidate)

v6.43rc7というのが接続元にあったので設定ミスで踏み台に利用されているとかかな?という風に考えていますが、ちょっと多いですね…

5/16 追記

接続元にこんなのも見つかりました。

Nexon

Nexon2

2018年5月10日 (木)

ニコニコの不正ログインの接続元

他社流出パスワードを用いた不正ログインについて(2018/05)|ニコニコインフォ
http://blog.nicovideo.jp/niconews/73053.html

ここ数日ニコニコへの不正ログインが増えていると思っていたところニコニコから発表がありました。

そこでツイートされていたものの中から気になるものを調べてみました。

こちらの一番上の時間の余りたっていないIPアドレスに接続にいくとこのような画面に。

Webcamera

どうもWEBカメラのログイン画面のようで、WEBカメラが踏み台にされていたと思われますね。

他のツイートなどを見ていても国内が結構目立ちます。いろいろと踏み台に利用されているものがありそうな感じですね。

わかる範囲で国内のIPアドレスを調べてみましたが、地域が間違って表示されるための勘違いと思われるものが多いようで確実に不正ログインと思われるものがわかりにくいですね。

2018年5月 8日 (火)

Googleへの不正ログイン、東京からの接続元

Qnap

画像は昨日見かけたIPアドレスですが、ここ数ヶ月SNSで投稿されている国内からのIPアドレスに接続しにいくとQNAPのログイン画面が表示されるものが多いのが特徴的です。(特にGoogleへの不正ログイン)

初期設定のユーザー名とパスワードがadminのままから変更していないのが原因だと思われますが、利用者にあまり知られていない可能性がありますね…

デフォルトのユーザー名とパスワードは何ですか? - QNAP
https://www.qnap.com/ja-jp/how-to/faq/article/%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%90%8D%E3%81%A8%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B

2018年5月 6日 (日)

mixiにリスト型攻撃

mixiのアカウントが乗っ取られ、台湾のIPアドレスからオークリーのサングラスのスパムが送信されているという被害が複数確認されています。

mixiということで長年使用しておらず登録に使用していたメールアドレスが現在使用しておらず、パスワードまで忘れてしまってアカウントの持ち主が対応できないという事態も発生しているようですから、この機会にアカウントを持っている人はメールアドレスが使用できるか、パスワードは過去も含めて使い回していたものではないかをチェックし、今後使用することがないならアカウントの削除も考えるなども検討してください。

https://bitly.com/2HVjzV4+
www.oakjpsun.com

いつもの中華系のアクセス解析付きの偽サイトでフォームでもhttpsにならず、問い合わせ先に一切の情報が掲載っていない明らかに怪しいサイトです。もし注文してしまった場合はメールアドレスとパスワードを入力させるので、その組み合わせと同じもので利用しているサイトがあればすぐに変更しておいた方がいいとクレジットカード会社などにすぐ連絡でカードの無効と再発行ですね。

118.169.184.13 118-169-184-13.dynamic-ip.hinet.net

 

 

 

5/7 追記

短縮URLが変わったようです。転送先は同じサイトのまま。

https://bitly.com/2KIHY1Y+

 

さらに追記

レイバンバージョンも出てきたようです。

 

 

 

5/8 追記

台湾だけでなく国内からも不正ログインがあったようです。

 

追記

ナイキバージョンが出てきたようです。

 

5/16 追記

 

60.154.191.236 60.154.185.162というようにIPアドレスが微妙に変わりつつUserAgentは同じということから、日本のソフトバンクのは中華Proxyっぽいログの残り方ですね。台湾のhinet.netは以前からずっと活動している台湾の中華Proxyだろうと思われます。

5/17 追記

126.73.109.245というソフトバンクのもあるようですね。

【不正アクセス被害】mixiを乗っ取られて、周りにスパムを撒き散らす事態になった - Life Jam
https://life-jam.com/mixi-unauthorized-access/

5/19 追記

60.154.180.74 126.73.109.228というIPアドレスの報告もありますね。

おらのアカウントシリーズ – おらのmixiアカウントが乗っ取られただよorz
http://www.hits-net.com/blog/?p=4488

2018年5月 2日 (水)

リスト型攻撃の進化形?

最近単純なリスト型攻撃とはちょっと違うのではと思われるような事例が出てきていますので、はっきりとこういった攻撃と断定するほどではないものの頭の片隅にでも入れておいた方がいいといった感じの話程度に紹介しておきます。

重要なお知らせと被害者の話から4月11日頃にリスト型攻撃を受けたと思われるビットポイントジャパンですが、この攻撃は通常の攻撃とはちょっと違う可能性があります。

BITPoint|ビットポイント パスワード及び取引暗証番号の定期的な変更のお願い
https://www.bitpoint.co.jp/2018/04/11/info-55/

最初は被害者がメールへのログインはなかったとのことから、通常のリスト型攻撃かと思いましたが、こちらのブログによるとID(メールアドレス)と初期パスワードは郵送で送られてきてユーザーが設定できないようになっており、パスワードをユーザーが使い回しているものに変更しないとリスト型攻撃は成功しないはずです。さらに取引暗証番号という取引時に必要な4桁の数字(ユーザーが登録時に入力)もあるので普通に考えれば困難です。

BITPoint(ビットポイント)の登録方法と使い方 - 仮想通貨の教科書
https://coin-textbook.com/bitpoint/

パスワードを他のサイトでも使い回しているものに変更していればリスト型攻撃は成功しますが、取引暗証番号をどうするのかという問題が残っています。3つめの入力を求めるサイトは少ないので流出と使い回しで複数人の被害が出るのは確率として低い。なら同時に流出したと考えられる生年月日や電話番号から4桁の数字を使用していたと考えられるんじゃないかと。もしくは1つの流出によるリストではなく、メールアドレスなどから名寄せをして個人情報を集めたのかもしれません。

ここまで破られやすいパスワードと取引暗証番号に変更してればユーザー側に随分と過失があると思いますが、リスト型攻撃を防ぐ仕組みがあったのかという点が問題になりそうです。他の大手取引所では2年ほどはリスト型攻撃による被害は見かけていませんからね…

次はちょっと気になるツイートがあったので

 

次々とあちこちのサイトへ不正ログインがあったとのことですが、メールアドレスは違うとのこと。ひょっとすると単純にリストを利用するのではなく、IDのメールアドレスの@より後の部分を有名なフリーメールアドレスにしてパスワードは使い回しを前提として試しているのかもしれないという話です。

同時期に複数のリストが流出していて被害も同時期にあったという可能性もありますが、使い回しをしていないのに被害に遭ったという人も見かけるので、こちらの可能性も考えていた方がよさそうですね。

5/3 恥ずかしい誤字修正…

2018年4月25日 (水)

仮想通貨関係のサイトが複数攻撃を受けているので注意!

現在SNS上で複数の被害があったと思われるものは

ビットポイント リスト型攻撃?(2段階認証無しが被害)

Monappy ビットポイントと同じ4月11日にリスト型攻撃?

ノアコイン 公式サイトらしいけどログイン画面すら見つからないのでリスト型攻撃以外?メールに登録時にログイン用のURLが送信されていたようですので、Queryの文字列の部分を推測された可能性もあります。

HitBTC 被害は一人だけですがノアコインの被害。検索で偽サイトが表示されるとの情報あり。
https://twitter.com/crypto2640/status/988580853918806016

My Ether Wallet DNSをハイジャック
https://twitter.com/myetherwallet/status/988787116015415296

ビットポイントでは被害者へリプライで2段階認証をしていないからで、それ以上ツイートすれば株主などから訴訟されるかもと被害のツイートをしないように恫喝のようなことをしているアカウントもありましたので、この界隈は情報公開より金儲けが優先といった人たちが多そうなんですよね…

2段階認証などを利用して対策をすべきですが、ビットポイントで手口がわからないときに2段階認証を調べていると4桁の数字がメールかSMS(最近?)に送信するという方式で、最近のメールを乗っ取る方法や4桁しかないためランダムに数字を何度も送信することで破ると入った方法で破られる危険性が考えられるため、名目だけのセキュリティではなく実際にどの程度セキュリティに力を入れているかといったことも利用する目安にしてください。

ちなみに、このブログのココログでは2段階認証のメールでは登録と別のメールアドレスで8桁の数字といった方式です。

4/29 追記

ビットポイントで4月28日に、つまり14日以降の強制2段階認証後に被害に遭ったという話が出てきました。一体どう対応するんでしょうね。

【BTC】ビットコイン情報交換スレッド1236[アフィ転載禁止]
http://fate.5ch.net/test/read.cgi/cryptocoin/1524928278/380-
https://i.imgur.com/eOR1naE.png

他にはbitFlyerやCoinExchangeといったところでも被害が出ているようですが少人数なのでメールが乗っ取られていた可能性が高そうですね。

5/4 追記

拡張機能を使った攻撃があったようです。

https://twitter.com/crypto_mori/status/991969405545332737
https://twitter.com/kabuakan1/status/991970531275505664

他の拡張機能からも見つかったとの情報もあります。

また、HitBTCでも手口がよくわからない被害の話があるので要注意です。

HitBTCから不正ログインについての回答がきました | CREATION
http://keitayoshida.com/creation/2018/04/12/hitbtc/

2018年4月20日 (金)

小ネタ集

1

ここのところEpic GamesがSteamの水準並みに不正ログインが増えているようです。

二段階サインインという機能があるようですから有効にすると不正ログインされにくくなります。

Epic Games | アカウントセキュリティ情報
http://fortnitehelp.epicgames.com/customer/ja/portal/articles/2921261-アカウントセキュリティ情報

2

サイトが書いてないものの不正ログインされそうになったとの攻撃元のIPアドレスが書いてあったのでブラウザで接続してみるとこんな画面が。どっかの会社が踏み台にされてるんでしょうかね…

Allied_telesis

Allied_telesis2

«またQNAPが踏み台?