2018年8月15日 (水)

eoIDにリスト型攻撃

ケイ・オプティコムからリスト型攻撃があったとの発表がありました。

eoIDに対する不正なログインについてのお知らせ|ケイ・オプティコムからのお知らせ|ケイ・オプティコム
http://www.k-opti.com/announce/180815/index.html

8月13日(月)22時05分から8月15日(水)11時53分の期間に6,307件の不正ログインがあったようです。

不正ログインに関するツイートが少し増えていたので注目していたところ発表がありましたね。実際に不正ログインされた人が公開していたIPアドレスによるとQNAPのNASのログイン画面が表示されるため踏み台を利用しての攻撃のようです。

2018年8月11日 (土)

ドコモオンラインショップの不正ログインでiPhoneを注文される被害が発生中

8月13日 追記

ITmediaでドコモに取材した記事によると、どこかのサイトから流出したパスワードによるリスト型攻撃とのことのようです。そのため対策はパスワードの使い回しをしない、2段階認証を利用するという方法で防げます。

ツイートの中には使い回しをしていないといった人もいたため別の攻撃方法の可能性も想定して調べていましたが、リスト型攻撃だったようですね。

「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で - ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1808/13/news084.html

現在確認されているドコモ側の対策はiPhoneをコンビニ受け取り対象外にしたようです。

 

8月15日 追記

ドコモオンラインショップで追加の対策が行われたようです。

ここから追記前の記事

ここ数日でドコモオンラインショップにて知らない間にiPhoneを注文されていたといったツイートが複数見つかっています。現在時間がたつにつれて被害が増えている状態になっています。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2018年8月 8日 (水)

Amazonでマーケットプレイスの販売実績アップのための不正ログイン?

最近Amazonでやらせのレビュー関係の記事がいくつかありましたし、こちらも不正ログインでレビューを書かれていたという被害が6月頃から再度増えていたのもわかっていましたが、それとは別に不正ログインでマーケットプレイスでの販売実績のために不正ログインで購入していたという可能性があります。

上記のツイートによると同じ店で大量にしかもバラバラの商品を50円という同じ金額で購入していることになっていて、さらに被害者自身が支払いしていないということから商品ではなく別の目的での行為と考えられます。

こちらのツイートでは支払いは被害者自身ですが、同じように50円の商品を購入されているようです。

ここからは推測ですが、販売実績狙いで優良店舗にしてから通常のユーザーをだまそうとするための準備ではなかったかと考えています。商品が実際に届かなくても売買の記録が残りクレームもなければ通常の販売が行われたとみなされると考えての犯行ではないかと。

レビューでの評価以外にこのような手があるかもしれないので犯罪に加担しないようにパスワードの使い回しと推測されやすいパスワードを使用せず、パスワード管理ソフトなどを使用して使い回しをしないようにしたり2段階認証などを利用してみた方がいいですよ。

Amazonは他にも注文した記憶がないのに注文されていてサポートに連絡しても不正ログインではないといってキャンセルはしてもらえたものの釈然としないといった話を複数見かけています。可能性としてはAIスピーカーや1-Click注文などで誤って注文されたか、不正ログインされていたのを国内からのIPアドレスでサポートが本人と誤認したかじゃないかと考えていますが、ユーザー側にログイン履歴が見ることができないのでこれ以上は調べられないんですよね…

追記

個人用メモ

https://www.amazon.co.jp/sp?_encoding=UTF8&asin=B07G5ZPT1N&isAmazonFulfilled=0&isCBA=&marketplaceID=A1VC38T7YXB528&orderID=&seller=A3KMYNT09L13WE&tab=&vasStoreID=

2018年7月11日 (水)

楽天に中国からリスト型攻撃?

今朝から楽天への不正ログイン未遂も含めたツイートが増えていて、中国からだったというものが増えています。

これまでは台湾から多く、しかも登録してあるメールアカウントを先に乗っ取ってから残っていたメールから楽天を利用しているのを確認してから楽天へも不正ログインという手口もあったんですが、今日になって急に増えていてIPアドレスや手口などから別のグループが入ってきてるのかな?という感じもします。

可能性としてはmixiが6月22日からGoogleのreCAPTHAを導入したあたりで1ヶ月以上の活動もあってかmixiへの不正ログインは止まったようです。mixiへの不正ログインは台湾と日本からでした。次にしばらくしてニコニコへの不正ログインが目立った当日のうちに発表と対策で防いだようで、その後しばらくして楽天をターゲットにしたのかもしれないという感じですね。

次々とサイトを変えて攻撃を仕掛けているかもしれないので、パスワードの使い回しは非常に危ない状態と考えられます。

[mixi] 運営者からのお知らせ
http://mixi.jp/release_info.pl?mode=item&id=3525

他社流出パスワードを用いた不正ログインについて(2018/07)|ニコニコインフォ
http://blog.nicovideo.jp/niconews/79797.html

楽天は2段階認証はありませんが、IDをメールアドレスから任意の文字列に変更ができるので、こういった機能を利用して不正ログインを防ぐ方法もあります。

【楽天市場|公式ヘルプ】ユーザIDを変更したい場合
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9174

2018年7月 8日 (日)

UBIアカウントにリスト型攻撃

6月頃から増えていましたが被害にあった人がおらず何が目的かわからなかったですが、ついに被害者が見つかりました。

チートで遊ぶ目的で不正ログインをされたようですね。

他のログインされそうになったとのツイートなどではロシアからログインされそうになったというのが多く、中国系ではなくロシア系の攻撃の可能性が高そうです。ユーザーの数が多く一度に大量にログインされそうになっていることから、他のサイトで流出したパスワードなどを利用したリスト型攻撃と思われます。

このロシア系のゲーム関係の不正ログインは数年前からSteamなどで活発に活動していますが、今回のようなチート以外にも登録されていたクレジットカードで購入してシリアルキーを通称鍵屋と呼ばれる海外の非公式のライセンス売買のショップに転売する事例が多数ありますのでそちらの被害も注意が必要です。

また、ロシア系の攻撃の手法としてはメールアドレスに先にログインするのが一般的なので、登録に利用していたメールアドレスもログインされていないかのチェックやログインされないようにパスワードの使い回しをしないようにしたり推測されやすいものを使用せず、より強固にするには2段階認証も導入するなどの方法がありますのでそういった対策を検討してください。

2018年6月30日 (土)

Yahooで秘密の質問による被害

Yahooでパスワードを変えても何度もパスワードを変更されて不正ログインされているという人がいたので色々と話を聞いてみたところユーザー側では対処しきれないような被害状況でした。

不正ログイン前の使用状況は

  • いろいろなサイトの登録に利用
  • 知り合いなどとはYahooのメールアドレスは使用していないためアカウントを知らない
  • セーフティーアドレスも使用していた。

このような状況で、シークレットIDやワンタイムパスワードは利用していないもののセーフティーアドレスもありリスト型攻撃も受けにくそうな感じで利用していたようです。

それが数日前から毎日のようにパスワードの変更からの不正ログインという被害をうけているということで、パスワードの変更をしても同様の被害がなくならないということでした。

そこで連絡用メールアドレスに知らないメールアドレスが追加されていないかと、シークレットID、ワンタイムパスワードの利用と個人情報などの削除でパスワードの変更の手段を減らす対策をした方がいいと話したところ、すでに調べていたようでメールアドレスの追加は無し、シークレットIDの導入で現在はパスワードの変更のみでログインは止まっている、個人情報も削除済みとのことでした。

この状態でも一時的にシークレットIDを解除してみたところパスワードの変更をして不正ログインをしてきたということで誕生日と秘密の質問を利用したパスワードの変更の可能性が高いと判断できます。

そこでログイン履歴からIPアドレスがどのようになっているかを聞いてみると通常のログイン履歴にTorからの履歴が残っており、一時的にシークレットIDを停止していたときには海外の匿名Proxyの履歴が残っておりメールソフトログイン履歴には何も残っていないという話です。

他に同じ被害の人がいないことやTorを使った大規模な不正ログインはないことから私怨による被害だろうと判断できる状態です。被害に遭った人によると犯人に心当たりはないようで、最近までIT関係の職場にいたからそれ関係かもという程度のようです。

どうやってアカウントか秘密の質問などを知ったのかということを考えて、Facebookやmixiのような個人情報とメールアドレスが知られやすいSNSを利用していないかを質問したところどちらも利用したことがないという話で、どうやって知ったのかというところは不明です。

可能性としてはTwitterのアカウントを知っていてパスワードの忘れた場合から一部表示されるメールアドレスをTwitterのアカウントや知っている個人情報などから推測してYahooのアカウントを特定したのか、Yahooのアカウントかセーフティアドレスのベースネームを知っている人間がTwitterのアカウントを特定して秘密の質問の答えなどの個人情報を調べたという2種類の可能性を疑っています。

どちらにしろ秘密の質問の回答が知られてパスワードが簡単に変更される事態になるとユーザー側では秘密の質問の変更ができず、サポート側の対応次第といったところでしたが対応を待っている間にも何度もパスワードの変更をおこなわれるために新しいアカウントを作るということで対応することになりました。

3年前に試したときにも思いましたが、シークレットIDの解除やワンタイムパスワードを利用していてもパスワードの変更が可能だったり(追記で書きましたが解除も可能でした)といった秘密の質問の機能が強力すぎるために知られた場合の被害が甚大になってしまうというところに問題点があります。嫌がらせ目的やストーカー対策の点からも秘密の質問にまじめに答えると問題点がありすぎます。他にも被害が出ないように別の方策を考えないと悪用されかねません。

7/4 追記

私の調査不足でこちらからワンタイムパスワードも停止できるとのことです。

https://account.edit.yahoo.co.jp/forgot_acct?.src=acct&.done=https%3A%2F%2Fwww.yahoo.co.jp&.mode=3&.display=

ある程度個人情報などを知っている知人やストーカーなどに秘密の質問の答えを知られるとユーザー側ではどうすることもできずアカウントを削除して別のアカウントを作成するなどしか方法がなさそうですね。

秘密の質問以外にもTカード番号でも解除できるようなのでTカード番号も知られると危険ですし、以前調べたときにワンタイムパスワードもメールとアプリで解除に何か違いでないかといった調査も時間不足でできていなかったので、そちらもやるべきなんですけどね…

7/11 追記

Yahooのサポートからは身元確認のできる有料会員でないと秘密の質問の変更はできないとの回答があったとのことです。ただ、このような被害にあっているのに有料会員にしたくないということでアカウントを使用しないようにしたという結論です。

その後さらにパスワードの変更をされたようですが、シークレットIDの解除まではされずにログインはされなかったようです。その時に過去も含めてメールに利用していたニックネームを利用してパスワードの変更をされていたということがわかりましたが、ちょうど同時期に同じようにニックネームでパスワードを変更されたというツイートが一つあったので、ひょっとすると知り合いではなく何らかの情報から無差別にやっていた知り合いでも何でもない人という可能性もありそうなんですよね。

2018年6月23日 (土)

Steam乗っ取りからのメッセージで偽サイトへ誘導

こういうツイートがありurlに接続してみるとこんな画面が

Upskinsgames

UPSKINS GAMESというのは検索で出てこないので架空のゲームサイトのようですね。

右上のSteamアカウントでログインのボタンを押すとセキュリティソフトが反応して開けませんでしたが、解除して開いてみるとこのようにSteamアカウントの入力画面が開いてアカウント情報を盗むのが目的のようですね。

Upskinsgames2

乗っ取ったアカウントから怪しいurlへの誘導があるようなので気をつけた方がいいですね。

2018年6月22日 (金)

中華Proxy再び?

6月21日に中華Proxyで久しぶりに逮捕の報道がありました。

無届けでサーバー運営疑い、中国籍男を書類送検 奈良 - 産経ニュース
https://www.sankei.com/west/amp/180621/wst1806210036-a.html

無届けで中継サーバー運営疑い 奈良、中国へ不正送金使用か : 京都新聞
http://www.kyoto-np.co.jp/top/article/20180621000097

不正ログインでも国内の中華Proxyを疑うようなログが5月頃からよく見かけるようになっています。(IPアドレスを公開している人が少ないので少なくともそれ以前からあるはず)

最初に疑ったのはmixiで、1ヶ月以上経った現在も活発に不正ログインが続いているようですが、当初から台湾の中華Proxyと思われるもの以外に国内の中華Proxyぽいログが目立っています。具体的にどのようなものかというと、UserAgentが同じ、IPアドレスが似通っているが同じではない、ISPが共通と同一人物やグループからの攻撃を疑わせ、同一IPアドレスではないので踏み台の可能性が低く、過去の中華Proxyの傾向とよく似ているといったところです。

では、mixiだけかというとYahooのメールソフトログイン履歴でもこのようなツイートを見かけました。

https://imgur.com/a/qggKP7m

すべて本人以外のログイン履歴のようですが、国内から複数のISPで短時間で切り替えながら不正ログインをしているように見えます。

ここから複数のISPと契約して中華Proxyとして利用しているということも考えられますが、もう一つロジテックのルーターの時のようなルーターからISPへの接続用のパスワードなどを盗んでの接続というのも考えられます。

無届けでのサーバー運営は回線契約も厳しくなっているはずですからISPに無断接続の線でちょっとした話を。

最近Googleへの不正ログイン元として公開されたIPアドレスをブラウザで接続してみるとルーターのログイン画面が表示されました。

Wxp1900dhp

ファームウェアを更新してなくての脆弱性か初期パスワードのまま公開状態でログインされてVPNを利用されての踏み台かと思い調べてみたところ、ルーターのファームウェアは最新で自動更新機能付きのファームウェアに変更してあるようで未知の脆弱性でない限り初期パスワードのままだったという可能性が高そうです。

Buffaloのルーターは使ったことがないですが、マニュアルによると admin , password が初期状態のパスワードのようで

http://manual.buffalo.jp/buf-doc/35020580-01.pdf

設定画面に入ってISPへの接続用のパスワード画面で「パスワードを表示する」にチェックを入れれば表示されてしまうようですね。

接続先ユーザー名、接続先パスワードには何を入力すればよいですか - アンサー詳細 | BUFFALO バッファロー
http://faq.buffalo.jp/app/answers/detail/a_id/16398

こういったルーターがいくつか見つかればロジテックの時のように無断で回線に接続して犯罪行為に利用するといった攻撃が増えてもおかしくないんですよね…

2018年6月18日 (月)

Googleの不正ログインでパスワード変更の被害

先週から今週にかけてGoogleのアカウントでパスワードの変更をされたとの被害が増えています。共通点としてアクセス元が大阪府泉佐野市が多く貝塚市というのもあり、大阪府南部からログインされたと表示されているようですがIPアドレスまではわかりません。

気になるのはその少し前にアメリカのワシントン州やカリフォルニア州からも不正ログインがあったとのツイートも複数あるので、アメリカのIPアドレスからログインできるか試した後に日本のIPアドレスで乗っ取りをしようとしている可能性があります。

パスワードの変更の通知で気づいた人によるツイートで変更後に何をしようとしているのか目的まではわかりませんが、クレジットカードを登録していた場合は不正使用。それ以外でもメールが残っていた場合は利用しているサイトを調べて他のサイトへも不正ログインを試みる可能性があります。パスワードの再発行などメールアドレスを乗っ取っている場合はできますので。

目的ではないですが、Googleのアカウントで利用しているサービス類も乗っ取られた場合は影響があるので、そちらも注意が必要です。

予防としてはパスワードの使い回しをしない、推測されやすいパスワードは使わないと言った方法と2段階認証の導入というところになります。

Google 2 段階認証プロセス
https://www.google.co.jp/intl/ja/landing/2step/

6/19 追記

182-165-89-252f1.hyg2.eonet.ne.jp

IPアドレスがわかったので調べてみるとeo光の兵庫県のようですね。

IPアドレスをブラウザでアクセスしてみるとQNAPのNASの画面が出てくるので踏み台でしょうね…

2018年6月14日 (木)

NetflixとSpotifyへの不正ログインが増加中

Netflixは南米のベネズエラやペルーといったところからの不正ログインの被害がこのところ増えています。特徴的なのは登録してあるカード情報はそのままにメールアドレスやパスワードなどの個人情報を書き換えての乗っ取りをしてくるということです。

具体的な手口までは判明していませんが、流出したパスワードによるリスト型攻撃かリスト型攻撃で乗っ取ったメールからNetflixを見つけてメールからという線が考えられますが、南米からの不正ログインでメールアドレスが大量に攻撃を受けているとの情報もないようですし、Netflixのみへのリスト型攻撃の可能性が高いのじゃないかと思われます。

予防としてはメールアカウントの方も含めてパスワードの使い回しをしない、推測されやすいものを利用しないというところで2段階認証には未対応のようです。

誰かが私のNetflixアカウントを無断で使用しています。
https://help.netflix.com/ja/node/18

Spotifyの方でも不正ログインされたとのツイートが1ヶ月ほどで複数見つかっています。

こちらも手口までわからず、どこの国からのアクセスだったかもわかりませんが、リスト型攻撃の可能性があるためNetflixと同様にメールアカウントの方も含めてパスワードの使い回しと推測されやすいパスワードを使用しないという予防方法になりますね。

Spotifyアカウントを保護する - Spotify
https://support.spotify.com/jp/article/protect-your-spotify-account/

アカウントが乗っ取られた - Spotify
https://support.spotify.com/jp/account_payment_help/privacy/someone-has-gained-access-to-my-account/

«セシールの不正ログインについて考察