2017年1月10日 (火)

pixivの不正ログインが継続中?

2016年11月と12月にかけて二度ほどリスト型攻撃を受けたpixivですが、この時に発表された普段と違う端末や場所からのログインがあった場合の通知機能が動き出したようです。

[pixiv] お知らせ - 【重要】pixivの一部アカウントに対する「なりすましログイン」の報告とパスワード変更のお願い
http://www.pixiv.net/info.php?id=3897

ユーザーの皆さまにpixivを安心・安全にご利用いただくため、今後普段とは違う場所や端末からのログインを検知・通知するなど不正なログインを防止できる機能の開発を行ってまいります。

そのためか、先週末あたりからpixivに不正ログインされたとのツイートが見つかりだしています。大半が中国からとのことで台湾も混じっているようですね。

規模は小さいものの現在も継続的に不正ログインを試みられていると思われるので、お知らせに書いてある方法で不正ログインを防ぐようにしておかないと年末のような騒ぎがまた起こるかもしれないですね。

「pixiv 不正 -rt」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

2017年1月 5日 (木)

ネルケプランニングでサイト改ざんと情報流出?

最初確認した時は最初の復旧後だったのか正常に表示されていましたが、現在1/5夕方にはサイトは表示されていない状態となっています。

http://www.nelke.co.jp/

公式の情報だけだと何が起こったかわからないので他の情報も拾っていくと、カラッキングのようですね。トップページはこのようになっていたようです。

http://archive.is/pJC5b

また、これだけではなく一部情報流出しているとの話も出ていますね。

犯行声明ページのアーカイブ
http://archive.is/6iofW

別のバージョン?
http://i.imgur.com/KJNdFP2.jpg

その場限りの対応をした結果、かなりコケにされていたみたいですね…

1/12 追記

公式から情報があり、閲覧(流出?)の可能性のある情報は

必須入力

PCメールアドレスもしくは携帯メールアドレス、パスワード(暗号化)、名前、名前フリガナ、性別、生年月日、職業、都道府県

任意入力

郵便番号、住所、電話番号

との発表がありました。サイトの再開は1月中の予定のようです。

生年月日など他サイトの秘密の質問などにも使えそうなものがあるので、閲覧された可能性のある情報でパスワードや秘密の質問を他のサイトで利用している場合は、そのサイトも不正ログインされないか注意をしておかないといけないですね。

2016年12月24日 (土)

Amazonの不正ログイン被害に注意

二人だけですがAmazonで被害が出ているとのツイートを見かけました。他にも被害が出ている可能性がありますね。

どうやってログインしたかは不明ですが、いくつか考えられます。

少し前から大量に出回っていたフィッシングメールに入力してしまっていた場合。
この場合はすぐにパスワードの変更とクレジットカードの情報も入力してしまった場合はカードの停止も検討してください。

他のサイトから流出したパスワードによるリスト型攻撃の場合。
パスワードの使い回しが原因なので、パスワードを変更してパスワードの使い回しをしないようにしましょう。

リスト型攻撃でメールを乗っ取られている場合。
Amazonのパスワードを変更するだけでは不十分で、メールの設定の変更箇所がないかやパスワードの変更が必要です。その後Amazonのパスワードの変更とそのメールを使用していたサービスすべての安全確認が必要となってきます。一番狙われているのはYahooメールで、連絡先メールアドレスに知らないメールが追加されていてパスワードを変更しても連絡が向こうにもいって再度変更されて不正ログインされてしまいますのでよく確認してください。

他にも可能性はありますが、主な攻撃パターンはこんなところですので、被害に遭った場合はこれらを参考にしてみてください。

2016年12月19日 (月)

中国からのYahooへの不正ログインの状況

日本のYahooメールへの不正ログインが大量におこなわれていたとのツイートがありました。

一つ目の画像は以前からあるログイン履歴のようですね。二つ目は新しくできたメールソフトログイン履歴のようです。二つを比べるとメールソフトログイン履歴の方に中国や台湾からの履歴がかなり多いため、以前から懸念していたPOP/IMAPからの不正ログインが継続的におこなわれていることがわかります。

Yahoo!メールヘルプ - メールソフト ログイン履歴
http://www.yahoo-help.jp/app/answers/detail/p/622/a_id/118557

そして、台湾のIPアドレスはhinet.netという台湾のISPで、以前から台湾にある中華Proxyとして利用されているものを利用していると考えられますね。

それらの状況から中国から不正ログインをされていると考えられますが、どういった被害が考えられるかというと、メールの不正ログインをされた人物は、Yahooオークションの悪用やポイントの悪用、スパムメールの送信、そのメールを利用して他に登録しているサイトの不正ログイン、新しく知らないアカウントを勝手に作成されるといった被害が過去にあります。

それ以外にも、メールを大量に入手されていた場合はスパムやマルウェアのばらまきに使うメールの文面の参考にされている可能性もあるため、ここ数年そういったメールの文面がおかしくなくなってきたのはこういった事情があるものと考えています。

対策としては、パスワードの使い回しをしない、単純で推測しやすいパスワードを利用しないといった方法に、Yahooの場合はシークレットIDでメールアドレスとと別のIDでログインするようにしたり、セーフティアドレスでいろいろなサイトに登録するときにIDと違うものを利用してログイン用のIDを知られないようにするといった方法もあり、さらにワンタイムパスワードで防御すればかなり強固になるので考えてみてください。

2016年12月13日 (火)

大人のおもちゃ通販大魔王のフィッシングメール

弊社を詐称するフィッシングメールにつきまして
http://daimaoh.co.jp/page72.html

2000円分の金券を配布するのでログインさせてクレジットカードの情報を入力させようと言うことのようです。また、サーバーへの不正アクセスと情報流出もないとの発表もしています。

ところがちょっと気になるツイートが…

日本語におかしなところがあるので冷静に見ればダマされる人は少ないと思いますが、問題なのはパスワードを平文保存やメールで送信してるというところですね…

このツイートが事実なら、今時そんなことしてて大丈夫なのかというようなサイトですね…

2017/ 1/10 追記

少し変えて再度メールを送ってきているようです。

2016年12月 9日 (金)

プロバイダーメールとキャリアメールに不正ログインが増加?

中華Proxyの取り締まりが厳しくなってからメールやSNSへの不正ログインが中心でその他のサイトへの攻撃は減少していましたが、プロバイダーのメールと携帯のキャリアメールへの不正ログインされているというツイートがまた見つかりだしています。

それ以外にも、こちらは踏み台に利用された可能性のあるツイートです。

不正ログインがかなり活発になり、攻撃対象のサイトも増えていると思われますね。

他に気になるのは、最近SNSやメールなどへ不正ログインがきだしたというツイートにイプサからの流出を疑っている人が20人以上は見かけています。タイミング的に発表の少し前からきだしたというものが多く、イプサの発表でもパスワードをハッシュ化しているとの情報が無いため、平文か簡単なハッシュだった可能性があります。単なる偶然かもしれないですが、イプサから流出した可能性のある人は他サイトで同じパスワードを利用していた場合はパスワードの変更をした方がいいですね。また、パスワードが違っても通知がくるLINEのようなタイプにはメールアドレスの変更が有効です。

弊社通販サイト「イプサ公式オンラインショップ」における不正アクセスによるお客さま情報流出に関するお知らせとお詫び | IPSA 公式サイト
http://www.ipsa.co.jp/news/2/

2016年12月 6日 (火)

チートプログラムと称してマルウェアを配布してコオロギを送った事件の個人的まとめ

この事件について最初自分が情報の断片だけで勘違いしていたのと、検索でも勘違いしていた人が結構いたのでいくつもの報道をつなぎ合わせて実際に何があったのかを残しておこうと思った個人的なまとめです。

まずはゲームの公式サイトの発表

ウォーロック《公式サイト》|兵器を操縦する本格FPS
【重要】不正アクセス容疑並びに業務妨害行為による逮捕に関するお知らせ 2016-11-29
http://warrock.playgra.com/boards/notice/detail?category=notice&id=32190&page=

本件は2015年11月~2016年5月に掛けて、WarRockを利用しているお客様の個人情報を抜き取り悪用や勝手にアクセスしたり、個人情報を掲示板などに大量に投稿し当社の業務妨害を目的として行った疑いがあるとするものです。

当初この発表から公式サイトのコミュニティの掲示板への書き込みかと思いましたが報道からどうやら違うのでは?となりました。

  • 容疑者:長野県松本市の通信制高校生の少年(18)(公式、etc)
  • 被害者:10~40代の男性ら少なくとも8人(産経)千葉県の20代男性(日経毎日MBS
  • 期間:2015年11月~2016年5月(公式毎日産経)2016年3月と4月にマルウェア作成(MBS
  • 193回にわたり不正取得した他人のアカウントで通販サイトに不正アクセス(産経)SNSとオンラインゲーム(朝日
  • 男性らを差出人として知人の住所に乾燥コオロギ600匹などを送りつけていた(産経)8人のうちの1人のネットショッピング情報を使って、乾燥したコオロギ600匹を他人に送りつけるなどしていた(朝日)神奈川県の30代男性に生きたコオロギ50匹、乾燥コオロギ600匹を送る(時事毎日
  • 違法薬物などの情報を扱うサイトに個人情報を投稿(毎日MBS朝日
  • 海外サイトで得たソフトで作成(産経)3種類のウイルスを作成(日経
  • チートツールを使う人を懲らしめたかった(産経時事NHKMBS)ウイルスを使って遊んでみたかった(日経朝日毎日

自分勘違いしていた公式の掲示板に書き込んだと思っていたのは違法薬物などを扱う掲示板でした。

検索で見つけた代表的な勘違いとしては、チートをしようとしていた人物へコオロギを送っていたというものですが、報道によるとチートをしようとしていた人物を差出人にしてその人物の知り合いへ送りつけたと思われます。チートと関係が無い可能性があるため、無関係で巻き込まれコオロギを送られてきたという事になりそうですね。

2016年12月 2日 (金)

リスト型攻撃の活発化

数日前にレシポというサイトの利用者で不正ログインにあったと思われる人がいたので様子を見ていましたが、リスト型攻撃が行われていたようです。

【注意!】レシポ!に注意!不正ログイン&ポイント被害にあいました! - 子連れトラベラーの陸マイル情報局(JGC・SFCを目指して)
http://mairu-de-hawaii.hatenablog.jp/entry/2016/11/26/143959

このブログを読んだときにはお知らせにはメンテとしか出ていませんでしたが、その後ワンタイムパスワードを急遽導入したようです。

お知らせ | レシポ!
https://recipo.jp/news.html

別の被害者によるとリスト型攻撃を受けたとのメールが届いているようです。

【レシポ!】なりすましログインに関する大切なご連絡がきた! – ネットで稼ぐ方法と実態!お小遣い稼ぎ
http://netdeokodukai.com/archives/2643

さらにこちらのユーザーはレシポでは被害に遭わなかったものの、他の使用しているサイトでもリスト型攻撃の発表があったと書いてあります。時期は11月とほぼ同時期に攻撃されているようですね。

レシポで不正アクセス?サグーワークスとファンくるも
http://okodukaisaito.net/blog-entry-10196.html

パスワードリセットに関するお知らせ | サグーワークス運営者ブログ
http://works.sagooo.com/blog/archives/2760
不正ログインに関する続報とご確認のお願い | サグーワークス運営者ブログ
http://works.sagooo.com/blog/archives/2854

・不正ログインが確認された期間:2016年11月13日~23日
・不正ログインが確認されたID件数:6件
・閲覧、操作された可能性のあるユーザー情報:ニックネーム、メールアドレス、生年月日、性別、地域(都道府県)などの登録プロフィール、獲得ポイント(※氏名や住所など個人情報の閲覧は確認されておりません)
・ポイントが換金されたID件数:4件
・ポイントが換金された金額合計:18,000円

ファンくるのお知らせはすでに削除されてしまっているようです。

YahooキャッシュGoogleキャッシュ

Fancrew

このようにポイント狙いの不正ログインがいくつものサイトでおこなわれていると思われます。

パスワードの使い回しをしているユーザーが数多くいるのを狙った攻撃のため、パスワードの使い回しをしなければほぼ防げるんですけどね…

2016年11月29日 (火)

Amebaへのリスト型攻撃

急にログインできない人が増えていたので疑っていましたが発表されました。

Amebaにまたリスト型攻撃、約59万アカウントが不正ログイン受ける、パスワード再設定を呼び掛け -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/1032411.html

「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント
https://www.cyberagent.co.jp/newsinfo/info/print/id=12977

この度、発生した不正ログインは、2016年11月25日(金)22時35分から「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、2016年11月28日(月)2時22分の時点で不正ログイン試行回数は37,547,786回、不正ログインされたアカウント数は、589,463件となります。

なお、第三者に閲覧された可能性のある「Ameba」の登録情報(ニックネームやメールアドレス、生年月日など)について、改ざんの事実は確認されていません。

以下は昨日チェックしていたツイートの一部。

こういったツイートからリスト型だろうと判断していましたが、一つサーバーの不具合を疑うようなツイートがあったため公式サイトの発表でどちらか待っている状態でした。

このツイートで記事にはせずに公式発表が無いか調べている状態でした。

今回はAmebaへの攻撃ですが、最近は非常に活発に攻撃をしている状態で、いつどこのサイトが攻撃を受けてもおかしくないと考えておいた方がいいでしょう。

被害に遭わないようにパスワードの使い回しをしないようにしてください。また、登録しているメールアドレスを流出していないメールアドレスに変更してしまうのも有効な手法です。

メールのアカウントは現在だけで無く過去も使い回していないパスワードを利用して絶対にログインされないようにしてください。ここを乗っ取られると残っていたメールなどから他のサービスも次々不正ログインされる被害が多数発生しています。

追記

Amebaからメールが届いたという人たちを調べていると、登録したことが無いのに届いてるというのが複数人見つかります。

メールアドレスを間違っても登録できるのかと思いましたが、調べてみると仮登録のみでメールで送られてくるリンクをクリックしないと登録完了しないようです。

アメブロの登録からログインまで|アメブロ(アメーバーブログ)の使い方を解かりやすい画像でアメブロの登録から使い方まで説明します。
http://ameblo.digitalcore.jp/registration.html

となると、本人が忘れているのでなければ、メールを乗っ取られて勝手に登録されていた可能性がありますね。

2016年11月21日 (月)

ローソンの不正ログインとの関連あり?

ローソンWEB会員向けサービスサイトご利用のお客様に向けたパスワード再設定のお願いを実施いたします|ローソン
http://www.lawson.co.jp/company/news/detail/1284326_2504.html

9月末頃からリスト型攻撃で3人にポイントでの被害が出ているとのことですが、読売新聞によると発覚は被害者からの問い合わせのようです。

ローソンのサイトに不正アクセス、ポイント使用 : 社会 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/national/20161121-OYT1T50124.html

 9月30日に会員から「身に覚えのない商品が注文されている」と連絡があり発覚した。ポイントは化粧品の購入などに使われた。クレジットカードの不正利用による被害はなかった。

詳細がわからずこの一連の報道と関係あるのかは不明ですが、ポンタを不正利用されたなんて話もあるようなので、ローソンのみというよりもポンタ全般で考えた方がいいのかもしれないですね。

被害に遭わないようにパスワードの使い回しは危険ですのでやめましょう。

11/22 追記

悪い予想が当たったようで、ポンタ系列のリクルートIDが攻撃を受けているとのメールが届いているようです。

不正ログインされました 「リクルートIDへの「なりすましログイン」に関する大切なご連絡」 - タカハシプロジェクト
http://takahashi7p.hatenablog.com/entry/2016/11/22/183928

«またリモートデスクトップ系の不正ログインが増えてる?