2017年10月10日 (火)

Yahooメールの不正ログイン対策で海外からのアクセス制限のみは不十分

先週ぐらいからYahooメールのアカウントに不正ログインをされた人が海外からのアクセス制限で対策すれば大丈夫とのツイートがそれなりに拡散しているので、効果が限定的なので他の対策も必要になることを知ってもらうために書いておきます。

攻撃元が海外のIPアドレスのみならいいんですが、現実は日本からというのが混じっている状況です。

そこで最近の不正ログインの情報を公開されていたブログをもとに解説します。

ヤフーメールに、中国、台湾から不正ログインされました - SHW48のリアルライフ
http://shw48.blog.fc2.com/blog-entry-56.html

うっはあ、、、よりによって。 | mixiユーザー(id:10124351)の日記
http://open.mixi.jp/user/10124351/diary/1961715059

上記のブログに掲載されている画像から日本と判定されている不正ログインのアクセス元が確認できます。

softbank126130111167.bbtec.net

こちらは踏み台にされているか中華Proxy可能性もあり判断できませんが、このアクセス元だとサーバー側からは大量にアクセスでもしない限り一般ユーザーと見分けるのが困難でしょう。

linode.com、vultr.com

この2つはレンタルサーバーですが日本と判定されるため、これらのアクセスも海外からのアクセス制限ではブロックされない可能性があります。

このように不正ログインは海外からのみとはかぎらず、国内の判定のものも珍しいとはいえない状況で海外からのアクセス制限のみに頼ると防ぎきれません。そのため対策としては、パスワードを使い回さない・推測されやすいものを使用しないといった基本的なことにYahooで用意してあるシークレットIDやワンタイムパスワードなどでより強固にしておくのがおすすめです。

ちなみに先月ぐらいから乗っ取ったYahooのアカウントを持ち主が入れないように設定を変更する手口が増えています。ひどい場合だと、パスワードの変更・シークレットIDの設定…連絡先メールアドレスに登録といった不正対策を不正ログインをした相手にされてしまうといった行為をされていたので、悪用される前に先に設定して乗っ取られないようにしておかないと後で面倒なことになるかもしれないですよ。

2017年10月 5日 (木)

海外への不正送金

銀行の不正送金でプリペイド式の電子マネーが悪用されていたという記事が出ていました。

最新ウイルス「ドリームボット」初摘発 不正送金事件:朝日新聞デジタル
http://www.asahi.com/articles/ASKB464YJKB4UTIL040.html

 武村容疑者は、出し子から受け取った現金の一部でプリペイド式の電子マネーカードを購入していた。同課は、カードに記載されている電子マネーの使用に必要なコードを、海外にいる仲間に送っていたとみている。指示や連絡には「中国版ライン」の微信(ウィーチャット)が使われていた。

この方式による海外送金は以前から状況証拠はあるものの、これといった証拠がなかったりしたので個人的に興味を持っています。

気づいたのは2014年秋頃からでiTunesカードを中国人が買い占めているというツイートをいくつも見かけていました。

これ以外にもコンビニ店員のツイートもあったんですが再発見できず…

iTunesカードは2014年の夏にLINEの乗っ取りで要求されたことで有名ですが、2014年末頃まで不正送金にも使われていたと考えています。その後iTunesカード以外に変わっていったのはiTunesカードが国ごとに利用制限があり、日本にしか使えないので需給の問題と他のプリペイド式電子マネーが増えたのが原因の一つと考えています。

現在はこれの方式以外にも海外への送金に仮想通貨も利用されているんじゃないかと考えていますが証拠になりそうな情報は見かけていないので現状がどのようになっているのかはわかりません。

今後は中国系の電子決済が日本に進出してくると、こちらも不正送金に利用される可能性があると考えています。

2017年9月19日 (火)

ccsetup533.exe

システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜
http://forest.watch.impress.co.jp/docs/news/1081368.html

8月20日にダウンロードした物が残っていました。

ccsetup533.exe

https://www.virustotal.com/ja/file/1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff/analysis/

2台に該当のバージョンがインストールされていましたが、インストール状態ではWin10  64bitだったためかカスペルスキーは反応せず。インストール用のファイルには反応します。

もう一台はWindows DefenderのみでUpdateのために週に一度程度しかネットに接続しないパソコンですが、こちらはWin10 64bitのインストール状態とインストール用のファイルともに反応せず。

Ccleaner

CCleanerを起動するとこのような画面が出るので気づかない人がでないように対策はしているようです。

10/6 追記

ネットエージェントから解析した情報が公開されました。64bitでも条件によっては感染したかもしれないということのようです。

64bit環境だからといって安心してはいけないCCleanerの話 - セキュリティごった煮ブログ|ネットエージェント
https://www.netagent.co.jp/study/blog/hard/2017105.html

2017年9月14日 (木)

自宅に届く不正購入の詳細

こちらのラジオ番組にて落語家の桂春蝶さんが被害に遭い、どのようなことが起こったかの話をしていました。

桂春蝶のバタフライエフェクト | CRKラジオ関西 | 2017/09/12/火  10:00-11:45
http://radiko.jp/share/?sid=CRK&t=20170912102515
25分頃から

外出中に奥さんから20万円ほどのカメラを購入したかとの確認の連絡があり、シンガポールから購入されていて自宅に届くことになっていた。しかもすでに届いていて、運送会社に問い合わせると自宅の横から出てきた中国系らしい人物がサインをして受け取った後だという話です。

この方法は以前からあり、おそらくAmazonの受け取り住所が変更になるとカード情報を再入力しないといけなくなるという対策のための方法で、その後運送会社側で家の中から出てこない人には受け渡ししないように教育がされているはずだったんですが、いまだに続いているようです。

時々、自宅に注文した覚えのない荷物が届いたとの話があるのもこの手口か、住所の変更忘れじゃないかと考えていましたが、いまだに脇から出てきて受け取る手口が使われているのがわかりました。

運送会社で脇から出てきた人物に受け渡さないようにしてもらえればかなり防げるはずですが、Amazonでは運送会社を変更したりしているので教育を受けていなくて知らない人も多いのかもしれませんね。

2017年9月13日 (水)

ドコモのdアカウントにリスト型攻撃?

9月7日の午前中にdアカウントに不正ログインされそうになってアカウントが停止されたとのツイートがいくつか見つかっていたんですが、数はそれほど多くないためどういった攻撃か様子見をしていたんですが、それ以降に当ブログのドコモへの不正ログインの記事のPV数が増えているのでどうやらリスト型攻撃でもあったと考えられますね。

フィッシングの情報もないようですし、不正ログインの何らかの攻撃があったと考えられます。

他の携帯電話会社でいうとauでウォレットが使われそうになったというのが1件あったぐらいで現時点ではドコモの被害が目立っています。ただ、他が安心かというと現時点で被害の投稿が見つからないだけで攻撃があるかもしれないのと今は攻撃がない時期ということも考えられます。

以前からドコモから不正ログイン対策に関する注意が出ているので、2段階認証などで不正ログイン対策も検討してみた方がいいですね。

IDおよびパスワードの取り扱いに関するご注意とお願い | dアカウント
https://id.smt.docomo.ne.jp/src/utility/noticepassword.html

9/24 追記

外部のサイトへ登録していたサービスがアクセスしにきたのを反応して可能性があるようです。

気になるツイート

LG製のモバイルWi-Fiルータが話題になっていますが、この問題なのかそれとも他の原因なのかちょっと気になるツイートがいくつか見つかっています。Googleへの不正ログインでは国内からは静岡というのが相次いでツイートされているので踏み台の可能性がありそうなんですよね。

126.31.55.220 softbank126031055220.bbtec.net

2017年9月12日 (火)

Amazonのレビューをする不正ログイン

二人ほど見かけたんですが被害の内容がほぼ同じです。目的ははっきりとしませんが、詐欺目的でマーケットプレイスに出品した物にいいレビューをつける目的かな?と考えていますが確認は取れていません。

具体的な被害はないもののパスワードが変更されていたという被害も数件見かけていますので、こちらも同じような目的だった可能性があります。

ここ数ヶ月はAmazonへの不正ログイン等が増加傾向なので、Amazonは安全だと安心することなくパスワードの使い回しをしない推測されやすい物は使用せず、2段階認証を利用するなど対策することをおすすめします。

Amazon.co.jp ヘルプ: 2段階認証について
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202025410

Amazon.co.jp ヘルプ: 2段階認証を有効にする
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

2017年9月11日 (月)

関ジャニ∞チケット詐欺の記事まとめ

piyologですでにまとめられていますが、個人的に気になったことを追加。

徳島県警察の誤認逮捕事件についてまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20170910/1505065248

誤認逮捕に関する記事

徳島・三好署が誤認逮捕 詐欺容疑の専門学校生 成り済まし被害【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15050064266675.html

女性を誤認逮捕 その後釈放|NHK 徳島県のニュース
http://www3.nhk.or.jp/lnews/tokushima/20170910/8020000118.html

徳島県警が女性を誤認逮捕 詐欺容疑で19日間勾留 - 共同通信 47NEWS
https://this.kiji.is/279611563246485510

徳島県警、21歳女性を誤認逮捕…詐欺容疑で19日間勾留  - 芸能社会 - SANSPO.COM(サンスポ)
http://www.sanspo.com/geino/news/20170910/tro17091022420002-n1.html

21歳女性を誤認逮捕、一貫否定も19日間勾留 : 社会 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/national/20170911-OYT1T50025.html

徳島・三好署が誤認逮捕謝罪 19日間勾留された専門学校生宅訪れ【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15050996820396.html

個人的に興味を持ったのは5月の逮捕時にどう報道されたかということで、5月分も調べてみました。

「関ジャニ∞」チケット譲ると現金詐取疑い、愛知の専門学校生を逮捕 - 産経WEST
http://www.sankei.com/west/news/170515/wst1705150057-n1.html

関ジャニ公演チケットで詐欺…女子高生から4万円だまし取った専門学校生を逮捕  - 芸能社会 - SANSPO.COM(サンスポ)
http://www.sanspo.com/geino/news/20170515/tro17051512560010-n1.html
実名入りなのでリンクにはせず。(午後に記事が削除されたようです)

関ジャニ公演代で詐欺疑い 愛知の専門学校生を逮捕 - 社会 : 日刊スポーツ
https://www.nikkansports.com/general/news/1823829.html
リンク切れで確認できず。

あとはTwitterアカウントも調べたかったところですが時間的に探している余裕が無かったのでこのぐらいです。

しかし、実名報道の記事が残っていたり、某巨大掲示板に実名入りで転載されてまとめサイトにもあったりするので、これはいったいどうするんでしょうね…

中学生がなりすましていたとの報道がでました。

関ジャニのチケット転売詐欺で誤認逮捕 少女が偽投稿か:朝日新聞デジタル
http://www.asahi.com/articles/ASK9C3G2GK9CPTIL00B.html

関ジャニ∞チケット詐欺で誤認逮捕の徳島・三好署 女子中生を書類送検 【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15050993850306.html

徳島県警が誤認逮捕、19日間勾留 「公演チケット売る」と女性に成り済ました女子中生を書類送検 - 産経WEST
http://www.sankei.com/west/news/170911/wst1709110017-n1.html

徳島県警が誤認逮捕 女子中学生“成りすまし”でチケット詐欺|MBS 関西のニュース
http://www.mbs.jp/news/kansai/20170911/00000021.shtml

【徳島県警 誤認逮捕】中3女子、警察をも欺く手の込んだ偽装工作 被害女性はチケット配送記録で潔白証明(1/2ページ) - 産経WEST
http://www.sankei.com/west/news/170911/wst1709110056-n1.html

チケット詐欺で誤認逮捕=21歳女性を19日間勾留-徳島県警:時事ドットコム
https://www.jiji.com/jc/article?k=2017091101026&g=soc

なりすまし誤認逮捕、「ネット犯罪の知識不足」 : 社会 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/national/20170911-OYT1T50080.html

徳島・三好署幹部が経緯説明 チケット詐欺で誤認逮捕【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15051774522352.html

女子中学生、女性の情報得て犯行 徳島・チケット詐欺【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15051767495938.html

三好署誤認逮捕  【社説】- 徳島新聞社
http://www.topics.or.jp/editorial/news/2017/09/news_15051768617726.html

徳島県警証拠乏しいまま誤認逮捕 成り済ましの可能性考慮せず : 京都新聞
http://www.kyoto-np.co.jp/top/article/20170912000113

【徳島県警 誤認逮捕】チケットの送付先を調べず、専門学校生を逮捕 - 産経WEST
http://www.sankei.com/west/news/170912/wst1709120035-n1.html

なおざりな捜査が誤認逮捕招く 徳島・チケット詐欺【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15051847245614.html

徳島県警本部長が県議会委で陳謝 三好署・誤認逮捕【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_1505193274719.html

誤認逮捕で本部長が再発防止の徹底を指示 徳島県警 | NHKニュース
http://www3.nhk.or.jp/news/html/20170912/k10011136701000.html 

成り済まし女子中生、匿名性悪用 徳島・チケット詐欺【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15052653456481.html

成り済まし女子中生、アカウント複数使う 徳島・チケット詐欺【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_1505351123087.html

【徳島県警 誤認逮捕】チケット詐欺 女性専門学校生不起訴 嫌疑なし、徳島地検 - 産経WEST
http://www.sankei.com/west/news/170927/wst1709270077-n1.html

チケット代詐取容疑で誤認逮捕、女性に地検謝罪 : 社会 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/national/20170927-OYT1T50101.html

チケット転売で誤認逮捕の女性不起訴 徳島地検謝罪【徳島ニュース】- 徳島新聞社
http://www.topics.or.jp/localNews/news/2017/09/2017_15065610672276.html

チケット詐欺:ご用心!「結びつきやすい」SNSを悪用 - 毎日新聞
https://mainichi.jp/articles/20170912/k00/00e/040/273000c

「関ジャニ∞」チケット詐欺で誤認逮捕 中学生が成り済ましできた背景
https://www.tokyo-sports.co.jp/entame/entertainment/763048/

誤認逮捕で勾留19日 無実の21歳女性が受け取るスズメの涙|社会|ニュース|日刊ゲンダイDIGITAL
https://www.nikkan-gendai.com/articles/view/news/213371

ネットのチケット売買で誤認逮捕!あなたが犯罪に巻き込まれないために気を付けること | ホウドウキョク
https://www.houdoukyoku.jp/posts/18107 

中学生によるチケット詐欺および誤認逮捕事件は今後も起きる?!(森井昌克) - 個人 - Yahoo!ニュース
https://news.yahoo.co.jp/byline/moriimasakatsu/20170915-00075720/

女子中学生チケット詐欺事件 · GitHub
https://gist.github.com/shunirr/2bd6a5a00b966e1e534b443790c68eda

一部並びにおかしな場所があったので訂正。 (9/11 17時)

2017年8月28日 (月)

ビットフライヤー被害者の会

フィンテック株式会社が運営している仮想通貨取引所Super bit brothersがビットフライヤーに預けていたBitCoinを不正な方法で失ったので取引所のサービスの継続ができず被害者の会を立ち上げるとの発表を8月25日に発表したようです。

Super BIT Brothers
http://www.s-bitcoin.com/

株式会社ビットフライヤーでのビットコイン盗難事件によるサービス停止のお知らせ
http://www.s-bitcoin.com/stop_service_0825.pdf
https://docs.google.com/viewer?url=http://www.s-bitcoin.com/stop_service_0825.pdf

株式会社ビットフライヤーでのビットコイン盗難事件について
http://www.s-bitcoin.com/bitcoin_0825.pdf
https://docs.google.com/viewer?url=http://www.s-bitcoin.com/bitcoin_0825.pdf

今年に入ってから仮想通貨の被害が目につくようになってきたんですが、こちらの記事によると二段階認証を利用していたのに被害に遭ったとの話もあり、推測のみでどのような方法で被害に遭ったのかまでははっきりわかっていないようです。

6000万円分が消えた!? 盗まれたビットコインの舞台ウラ | 日刊SPA!
https://nikkan-spa.jp/1374642

かなりのシェアをもっているようなので噂だけで色々と影響が出るかもしれないようですね。

ノジマオンラインでの買い物に注意

画像は再現で購入しようとしたのは少し前の話です。

まず前提として液晶ディスプレイが壊れないため古いのを使用してたりするんですが、1280 x 1024とワイドじゃないんですよ。

Nojima_online0

そんな状況でいーでじでアカウントを作成していたのでノジマオンラインで安かったのでトラックボールを購入しようとしたところちょっと分かりにくい画面のレイアウトになってます。

Nojima_online1

何がわかりにくいかというとカートのボタンの上のフォームがすすめているだけかと思ったら最初からボタンを押すとカートに一緒に入れられている状態です。ワイド画面ではないということもあって右側がちょっと表示されていない部分がありわかりにくくなっています。

Nojima_online2

初期状態からカートのボタンを押すとこのような状態になり金額が合わずにあれ?となってしまうことに。厳重梱包や延長サポートならまだわかりますけどいらないセキュリティソフトまでつけようとしてくるんですよ。

Nojima_online3

それで購入画面に戻ってよく見てみるとフォーム画面で最初から購入させようとしていたのに気づくという状態です。気をつけていないといらないものまで買わされそうになるという仕組みですね。

ちなみに、もっと安い商品はどうなっているかというと…

Nojima_online4

商品代よりも高い金額をセットで買わせようとしています。利用するときは気をつけないといらないものまでセットで買うことになるかもしれないので注意した方がいいですね。

«Amazonのマーケットプレイスで詐欺アカウントが多発?