2017年11月15日 (水)

SMSの架空請求画面の見つけ方

消費者庁がSMSを使ってAmazonをかたりギフト券での不正請求に注意喚起をしたので話題になっているので、実際に送られてきている画像を比較的簡単に見つける方法というのをノウハウとして持っているので紹介しておきます。

いくつかのSNS検索をした結果、SMSの架空請求画面が簡単に見つかるのはInstagramの #架空請求 タグです。

#架空請求 • Instagram写真と動画
https://www.instagram.com/explore/tags/%E6%9E%B6%E7%A9%BA%E8%AB%8B%E6%B1%82/

ページの最初の9つの投稿は人気のもので古いものも表示されますが、その下の最新から新しい投稿から古いものへ順に表示されます。

大半が請求画面の画像での投稿で、頻度や電話番号にどこの会社を騙っているのか一目瞭然なのでこの辺りの情報を調べるときはこのタグは便利ですよ。

他にも情報収集用に利用しているタグはありますが、現在はTwitterとFacebookだけで手一杯の状況でなかなか調べ切れていない状況です。

2017年11月10日 (金)

AmazonとLINEの連携の弱点発見

前回の記事の追記ではなく別の記事で書いておきます。

AmazonをLINEと連携させて注文確認メッセージを受信する: 独房の中
http://f36type.cocolog-nifty.com/blog/2017/11/amazonline-089f.html

記事を書いた後もいろいろと調べていたんですが、注文をキャンセルするのを繰り返すのも気が引けるのでチェックに時間がかかってしまいました。

問題点として見つかったのは、パスワードの変更に弱いという点です。

Amazonでパスワードの変更をしてもLINEでは通知がなく何の変化もありません。連携が切れていないのかチェックとして連携用のリンクを押しても「すでにリンクされています」と表示されました。

Amazon_line3

これでAmazon側でパスワードを変更しても大丈夫なのかと思いましたが、注文後の発送までの間にパスワードを変更したところ、発送のメールが届いてもLINEでは通知がなかったので連携が切れてる可能性があります。

このことからパスワードを変更すると通知は届かなくなると思われ、不正ログインで注文される前にパスワード変更するとこの連携機能は無効化されるようで、何の通知も無く気づけないと思われます。

Amazonにはパスワードの変更などの通知をLINEでもするように変更してもらわないと、このままだとちょっと問題がありまそうですね。

パスワード変更で通知が来なくなった場合は一度LINEで友達から削除して再度登録して連携し直すという作業になりそうです。

2017年11月 8日 (水)

AmazonをLINEと連携させて注文確認メッセージを受信する

*致命的な問題点が見つかったので次の記事にしました。

AmazonとLINEの連携の弱点発見: 独房の中
http://f36type.cocolog-nifty.com/blog/2017/11/amazonline-f21f.html

最近知ったのですが、AmazonとLINEを連携させる機能があります。

Amazon.co.jp:公式LINEアカウント
https://www.amazon.co.jp/b?node=3377800051

上記のページにあるQRコードから友達にすると連携するためのメッセージが送られてきます。そこからAmazonにログインするためのメールアドレスとパスワードを入力すると完了という仕組みです。

Amazon_line

注文したときにはこのようなメッセージが届きます。

Amazon_line2

注文確認メッセージがLINEで届くようになりますが、これを有効にした場合のメリットが結構ありそうです。

1.不正ログインによる注文をLINEで知ることができる。

メールが届くので必要ないと思うかもしれませんが、メールアドレスを乗っ取ってからAmazonでの被害というのは結構ありますので、メールをチェックする前にAmazonからのメールを削除されたりスパムとしてブロックされていることもあります。また、Amazonの購入履歴の非表示を機能を利用して簡単に注文されたことを知られないようにといった工作もしています。
ログインアラートと違い注文されたときにしか気づかないため2段階認証を使った方がより安全ですが、使いたくなかったり使えない場合などでの次善の策として利用するのが有効と考えられますね。
Amazonにログインされたら勝手に解除されるんじゃないかという疑問点もありますが、Amazonの設定を軽く調べた限りでは表示されるものは無く解除もLINEから友達の解除となるためにAmazonを不正ログインされても解除されることはありません。

2.実際に注文されたかLINEで知ることができる。

Amazonの注文を騙ったフィッシングやスパムメールに対してLINEでメッセージが来ているかどうかで判断することができます。不正ログインを騙るものに対しては2段階認証が有効でLINEとの連携の方は効果がありませんが、一部としても実際にログインして履歴を調べなくてもいいというのはある程度メリットがあります。

以上の2点が主なメリットですが、より確実に不正ログインから守るためには2段階認証をおすすめします。

また、この対策以外にもパスワードの使い回しと推測されやすいパスワードを使用しないようにし、メールアドレスの方も不正ログイン対策をしておくことをおすすめします。

LINEの方も不正ログイン対策が必要ですが、ログインの失敗の通知がよく来る場合はパスワードの変更でなく、流出していないメールアドレスに変更することが有効です。LINEに登録しているメールアドレスを変更することをおすすめしますよ。

2017年11月 5日 (日)

批判サイトを妨害目的で(D)DoS攻撃?

 

 

 

 

 

詳細はわからないですけど、ちょっと怪しいですね。

検索されないようにしていると思われるのはノアコインなる仮想通貨を勧めている講座を批判しているサイトと思われますので、金銭目的のために攻撃をしている疑いがあるようです。情報商材関係で色々やっているようですが、知恵袋が上にくるYahoo検索だとそちらのページを消すのは困難なので一つの対策方法かもしれないですね。

こちらは削除依頼があったというブログですね。

泉忠司 ノアコインについての考察 (追記あり)
http://yoshikun29.com/blog-entry-35.html

まとめてるサイトもありますね。

泉氏やノアコイン批判したブログがDDoS攻撃!?実際に調べてみたら……ヤバかった。
https://virtualmoneylife.com/news/ddos-attack-blog

11/15 追記

DoS攻撃全般のまとめが作られていますのでリンクしておきます。

2017年10月、11月の国内レンタルサーバー事業者へのDoS攻撃についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20171110/1510338911

2017年10月24日 (火)

楽天にIPアドレスが表示されない不正ログインとAmazonの被害

ログイン履歴を確認するとIPアドレスの欄が空欄だったとのツイートが多くはないんですが見かけます。どういった理由でこのような現象が起こるのか部外者ではわからないですが、一つの可能性としてIPv6で対応していないので表示されないんじゃないのかなと考えています。Googleでは過去にいくつかIPv6のIPアドレスから不正ログインされたと思われるツイートをいくつか見かけているので、他のサイトでもやられている可能性があるんじゃないかと。

最近多いのは住所を変更しない被害で、外国人が荷物を取りに来るという話があるので治安の点からもいいとは思えないですね。

また、楽天以外にもAmazonも少し前から変な動きがあり、不正ログインで購入履歴を非表示にして商品を買われていたというのは以前からありましたが、デジタルタイプのAmazonギフト券とさらに登録してある場所に過去に買った商品や全く身に覚えのない商品が届いたと言った被害を多数見かけます。届いた商品は高額でなく誰かが受け取りに行ったとの話も見かけないので、もしかすると不正ログインでの購入と見破られないようにするための偽装工作の可能性が考えられますね。

被害に遭わない対策としては、パウワードの使い回しをしない、推測されやすいものにはしないといった対策と、登録してあるメールアドレスも同じように対策しないとそこから被害に遭うパターンも多いです。

さらに楽天の機能で追加すると、IDをメールアドレス以外にする機能やログインするとメールが届くログインアラートといった機能があります。

【楽天市場|公式ヘルプ】ユーザIDを変更したい
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9174

【楽天市場|公式ヘルプ】ログインアラートの使用方法
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/15680/

Amazonでは2段階認証があります。

Amazon.co.jp ヘルプ: 2段階認証を有効にする
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

2017年10月10日 (火)

Yahooメールの不正ログイン対策で海外からのアクセス制限のみは不十分

先週ぐらいからYahooメールのアカウントに不正ログインをされた人が海外からのアクセス制限で対策すれば大丈夫とのツイートがそれなりに拡散しているので、効果が限定的なので他の対策も必要になることを知ってもらうために書いておきます。

攻撃元が海外のIPアドレスのみならいいんですが、現実は日本からというのが混じっている状況です。

そこで最近の不正ログインの情報を公開されていたブログをもとに解説します。

ヤフーメールに、中国、台湾から不正ログインされました - SHW48のリアルライフ
http://shw48.blog.fc2.com/blog-entry-56.html

うっはあ、、、よりによって。 | mixiユーザー(id:10124351)の日記
http://open.mixi.jp/user/10124351/diary/1961715059

上記のブログに掲載されている画像から日本と判定されている不正ログインのアクセス元が確認できます。

softbank126130111167.bbtec.net

こちらは踏み台にされているか中華Proxy可能性もあり判断できませんが、このアクセス元だとサーバー側からは大量にアクセスでもしない限り一般ユーザーと見分けるのが困難でしょう。

linode.com、vultr.com

この2つはレンタルサーバーですが日本と判定されるため、これらのアクセスも海外からのアクセス制限ではブロックされない可能性があります。

このように不正ログインは海外からのみとはかぎらず、国内の判定のものも珍しいとはいえない状況で海外からのアクセス制限のみに頼ると防ぎきれません。そのため対策としては、パスワードを使い回さない・推測されやすいものを使用しないといった基本的なことにYahooで用意してあるシークレットIDやワンタイムパスワードなどでより強固にしておくのがおすすめです。

ちなみに先月ぐらいから乗っ取ったYahooのアカウントを持ち主が入れないように設定を変更する手口が増えています。ひどい場合だと、パスワードの変更・シークレットIDの設定…連絡先メールアドレスに登録といった不正対策を不正ログインをした相手にされてしまうといった行為をされていたので、悪用される前に先に設定して乗っ取られないようにしておかないと後で面倒なことになるかもしれないですよ。

2017年10月 5日 (木)

海外への不正送金

銀行の不正送金でプリペイド式の電子マネーが悪用されていたという記事が出ていました。

最新ウイルス「ドリームボット」初摘発 不正送金事件:朝日新聞デジタル
http://www.asahi.com/articles/ASKB464YJKB4UTIL040.html

 武村容疑者は、出し子から受け取った現金の一部でプリペイド式の電子マネーカードを購入していた。同課は、カードに記載されている電子マネーの使用に必要なコードを、海外にいる仲間に送っていたとみている。指示や連絡には「中国版ライン」の微信(ウィーチャット)が使われていた。

この方式による海外送金は以前から状況証拠はあるものの、これといった証拠がなかったりしたので個人的に興味を持っています。

気づいたのは2014年秋頃からでiTunesカードを中国人が買い占めているというツイートをいくつも見かけていました。

これ以外にもコンビニ店員のツイートもあったんですが再発見できず…

iTunesカードは2014年の夏にLINEの乗っ取りで要求されたことで有名ですが、2014年末頃まで不正送金にも使われていたと考えています。その後iTunesカード以外に変わっていったのはiTunesカードが国ごとに利用制限があり、日本にしか使えないので需給の問題と他のプリペイド式電子マネーが増えたのが原因の一つと考えています。

現在はこれの方式以外にも海外への送金に仮想通貨も利用されているんじゃないかと考えていますが証拠になりそうな情報は見かけていないので現状がどのようになっているのかはわかりません。

今後は中国系の電子決済が日本に進出してくると、こちらも不正送金に利用される可能性があると考えています。

2017年9月19日 (火)

ccsetup533.exe

システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜
http://forest.watch.impress.co.jp/docs/news/1081368.html

8月20日にダウンロードした物が残っていました。

ccsetup533.exe

https://www.virustotal.com/ja/file/1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff/analysis/

2台に該当のバージョンがインストールされていましたが、インストール状態ではWin10  64bitだったためかカスペルスキーは反応せず。インストール用のファイルには反応します。

もう一台はWindows DefenderのみでUpdateのために週に一度程度しかネットに接続しないパソコンですが、こちらはWin10 64bitのインストール状態とインストール用のファイルともに反応せず。

Ccleaner

CCleanerを起動するとこのような画面が出るので気づかない人がでないように対策はしているようです。

10/6 追記

ネットエージェントから解析した情報が公開されました。64bitでも条件によっては感染したかもしれないということのようです。

64bit環境だからといって安心してはいけないCCleanerの話 - セキュリティごった煮ブログ|ネットエージェント
https://www.netagent.co.jp/study/blog/hard/2017105.html

2017年9月14日 (木)

自宅に届く不正購入の詳細

こちらのラジオ番組にて落語家の桂春蝶さんが被害に遭い、どのようなことが起こったかの話をしていました。

桂春蝶のバタフライエフェクト | CRKラジオ関西 | 2017/09/12/火  10:00-11:45
http://radiko.jp/share/?sid=CRK&t=20170912102515
25分頃から

外出中に奥さんから20万円ほどのカメラを購入したかとの確認の連絡があり、シンガポールから購入されていて自宅に届くことになっていた。しかもすでに届いていて、運送会社に問い合わせると自宅の横から出てきた中国系らしい人物がサインをして受け取った後だという話です。

この方法は以前からあり、おそらくAmazonの受け取り住所が変更になるとカード情報を再入力しないといけなくなるという対策のための方法で、その後運送会社側で家の中から出てこない人には受け渡ししないように教育がされているはずだったんですが、いまだに続いているようです。

時々、自宅に注文した覚えのない荷物が届いたとの話があるのもこの手口か、住所の変更忘れじゃないかと考えていましたが、いまだに脇から出てきて受け取る手口が使われているのがわかりました。

運送会社で脇から出てきた人物に受け渡さないようにしてもらえればかなり防げるはずですが、Amazonでは運送会社を変更したりしているので教育を受けていなくて知らない人も多いのかもしれませんね。

2017年9月13日 (水)

ドコモのdアカウントにリスト型攻撃?

9月7日の午前中にdアカウントに不正ログインされそうになってアカウントが停止されたとのツイートがいくつか見つかっていたんですが、数はそれほど多くないためどういった攻撃か様子見をしていたんですが、それ以降に当ブログのドコモへの不正ログインの記事のPV数が増えているのでどうやらリスト型攻撃でもあったと考えられますね。

フィッシングの情報もないようですし、不正ログインの何らかの攻撃があったと考えられます。

他の携帯電話会社でいうとauでウォレットが使われそうになったというのが1件あったぐらいで現時点ではドコモの被害が目立っています。ただ、他が安心かというと現時点で被害の投稿が見つからないだけで攻撃があるかもしれないのと今は攻撃がない時期ということも考えられます。

以前からドコモから不正ログイン対策に関する注意が出ているので、2段階認証などで不正ログイン対策も検討してみた方がいいですね。

IDおよびパスワードの取り扱いに関するご注意とお願い | dアカウント
https://id.smt.docomo.ne.jp/src/utility/noticepassword.html

9/24 追記

外部のサイトへ登録していたサービスがアクセスしにきたのを反応して可能性があるようです。

«気になるツイート