2018年7月11日 (水)

楽天に中国からリスト型攻撃?

今朝から楽天への不正ログイン未遂も含めたツイートが増えていて、中国からだったというものが増えています。

これまでは台湾から多く、しかも登録してあるメールアカウントを先に乗っ取ってから残っていたメールから楽天を利用しているのを確認してから楽天へも不正ログインという手口もあったんですが、今日になって急に増えていてIPアドレスや手口などから別のグループが入ってきてるのかな?という感じもします。

可能性としてはmixiが6月22日からGoogleのreCAPTHAを導入したあたりで1ヶ月以上の活動もあってかmixiへの不正ログインは止まったようです。mixiへの不正ログインは台湾と日本からでした。次にしばらくしてニコニコへの不正ログインが目立った当日のうちに発表と対策で防いだようで、その後しばらくして楽天をターゲットにしたのかもしれないという感じですね。

次々とサイトを変えて攻撃を仕掛けているかもしれないので、パスワードの使い回しは非常に危ない状態と考えられます。

[mixi] 運営者からのお知らせ
http://mixi.jp/release_info.pl?mode=item&id=3525

他社流出パスワードを用いた不正ログインについて(2018/07)|ニコニコインフォ
http://blog.nicovideo.jp/niconews/79797.html

楽天は2段階認証はありませんが、IDをメールアドレスから任意の文字列に変更ができるので、こういった機能を利用して不正ログインを防ぐ方法もあります。

【楽天市場|公式ヘルプ】ユーザIDを変更したい場合
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9174

2018年7月 8日 (日)

UBIアカウントにリスト型攻撃

6月頃から増えていましたが被害にあった人がおらず何が目的かわからなかったですが、ついに被害者が見つかりました。

チートで遊ぶ目的で不正ログインをされたようですね。

他のログインされそうになったとのツイートなどではロシアからログインされそうになったというのが多く、中国系ではなくロシア系の攻撃の可能性が高そうです。ユーザーの数が多く一度に大量にログインされそうになっていることから、他のサイトで流出したパスワードなどを利用したリスト型攻撃と思われます。

このロシア系のゲーム関係の不正ログインは数年前からSteamなどで活発に活動していますが、今回のようなチート以外にも登録されていたクレジットカードで購入してシリアルキーを通称鍵屋と呼ばれる海外の非公式のライセンス売買のショップに転売する事例が多数ありますのでそちらの被害も注意が必要です。

また、ロシア系の攻撃の手法としてはメールアドレスに先にログインするのが一般的なので、登録に利用していたメールアドレスもログインされていないかのチェックやログインされないようにパスワードの使い回しをしないようにしたり推測されやすいものを使用せず、より強固にするには2段階認証も導入するなどの方法がありますのでそういった対策を検討してください。

2018年6月30日 (土)

Yahooで秘密の質問による被害

Yahooでパスワードを変えても何度もパスワードを変更されて不正ログインされているという人がいたので色々と話を聞いてみたところユーザー側では対処しきれないような被害状況でした。

不正ログイン前の使用状況は

  • いろいろなサイトの登録に利用
  • 知り合いなどとはYahooのメールアドレスは使用していないためアカウントを知らない
  • セーフティーアドレスも使用していた。

このような状況で、シークレットIDやワンタイムパスワードは利用していないもののセーフティーアドレスもありリスト型攻撃も受けにくそうな感じで利用していたようです。

それが数日前から毎日のようにパスワードの変更からの不正ログインという被害をうけているということで、パスワードの変更をしても同様の被害がなくならないということでした。

そこで連絡用メールアドレスに知らないメールアドレスが追加されていないかと、シークレットID、ワンタイムパスワードの利用と個人情報などの削除でパスワードの変更の手段を減らす対策をした方がいいと話したところ、すでに調べていたようでメールアドレスの追加は無し、シークレットIDの導入で現在はパスワードの変更のみでログインは止まっている、個人情報も削除済みとのことでした。

この状態でも一時的にシークレットIDを解除してみたところパスワードの変更をして不正ログインをしてきたということで誕生日と秘密の質問を利用したパスワードの変更の可能性が高いと判断できます。

そこでログイン履歴からIPアドレスがどのようになっているかを聞いてみると通常のログイン履歴にTorからの履歴が残っており、一時的にシークレットIDを停止していたときには海外の匿名Proxyの履歴が残っておりメールソフトログイン履歴には何も残っていないという話です。

他に同じ被害の人がいないことやTorを使った大規模な不正ログインはないことから私怨による被害だろうと判断できる状態です。被害に遭った人によると犯人に心当たりはないようで、最近までIT関係の職場にいたからそれ関係かもという程度のようです。

どうやってアカウントか秘密の質問などを知ったのかということを考えて、Facebookやmixiのような個人情報とメールアドレスが知られやすいSNSを利用していないかを質問したところどちらも利用したことがないという話で、どうやって知ったのかというところは不明です。

可能性としてはTwitterのアカウントを知っていてパスワードの忘れた場合から一部表示されるメールアドレスをTwitterのアカウントや知っている個人情報などから推測してYahooのアカウントを特定したのか、Yahooのアカウントかセーフティアドレスのベースネームを知っている人間がTwitterのアカウントを特定して秘密の質問の答えなどの個人情報を調べたという2種類の可能性を疑っています。

どちらにしろ秘密の質問の回答が知られてパスワードが簡単に変更される事態になるとユーザー側では秘密の質問の変更ができず、サポート側の対応次第といったところでしたが対応を待っている間にも何度もパスワードの変更をおこなわれるために新しいアカウントを作るということで対応することになりました。

3年前に試したときにも思いましたが、シークレットIDの解除やワンタイムパスワードを利用していてもパスワードの変更が可能だったり(追記で書きましたが解除も可能でした)といった秘密の質問の機能が強力すぎるために知られた場合の被害が甚大になってしまうというところに問題点があります。嫌がらせ目的やストーカー対策の点からも秘密の質問にまじめに答えると問題点がありすぎます。他にも被害が出ないように別の方策を考えないと悪用されかねません。

7/4 追記

私の調査不足でこちらからワンタイムパスワードも停止できるとのことです。

https://account.edit.yahoo.co.jp/forgot_acct?.src=acct&.done=https%3A%2F%2Fwww.yahoo.co.jp&.mode=3&.display=

ある程度個人情報などを知っている知人やストーカーなどに秘密の質問の答えを知られるとユーザー側ではどうすることもできずアカウントを削除して別のアカウントを作成するなどしか方法がなさそうですね。

秘密の質問以外にもTカード番号でも解除できるようなのでTカード番号も知られると危険ですし、以前調べたときにワンタイムパスワードもメールとアプリで解除に何か違いでないかといった調査も時間不足でできていなかったので、そちらもやるべきなんですけどね…

7/11 追記

Yahooのサポートからは身元確認のできる有料会員でないと秘密の質問の変更はできないとの回答があったとのことです。ただ、このような被害にあっているのに有料会員にしたくないということでアカウントを使用しないようにしたという結論です。

その後さらにパスワードの変更をされたようですが、シークレットIDの解除まではされずにログインはされなかったようです。その時に過去も含めてメールに利用していたニックネームを利用してパスワードの変更をされていたということがわかりましたが、ちょうど同時期に同じようにニックネームでパスワードを変更されたというツイートが一つあったので、ひょっとすると知り合いではなく何らかの情報から無差別にやっていた知り合いでも何でもない人という可能性もありそうなんですよね。

2018年6月23日 (土)

Steam乗っ取りからのメッセージで偽サイトへ誘導

こういうツイートがありurlに接続してみるとこんな画面が

Upskinsgames

UPSKINS GAMESというのは検索で出てこないので架空のゲームサイトのようですね。

右上のSteamアカウントでログインのボタンを押すとセキュリティソフトが反応して開けませんでしたが、解除して開いてみるとこのようにSteamアカウントの入力画面が開いてアカウント情報を盗むのが目的のようですね。

Upskinsgames2

乗っ取ったアカウントから怪しいurlへの誘導があるようなので気をつけた方がいいですね。

2018年6月22日 (金)

中華Proxy再び?

6月21日に中華Proxyで久しぶりに逮捕の報道がありました。

無届けでサーバー運営疑い、中国籍男を書類送検 奈良 - 産経ニュース
https://www.sankei.com/west/amp/180621/wst1806210036-a.html

無届けで中継サーバー運営疑い 奈良、中国へ不正送金使用か : 京都新聞
http://www.kyoto-np.co.jp/top/article/20180621000097

不正ログインでも国内の中華Proxyを疑うようなログが5月頃からよく見かけるようになっています。(IPアドレスを公開している人が少ないので少なくともそれ以前からあるはず)

最初に疑ったのはmixiで、1ヶ月以上経った現在も活発に不正ログインが続いているようですが、当初から台湾の中華Proxyと思われるもの以外に国内の中華Proxyぽいログが目立っています。具体的にどのようなものかというと、UserAgentが同じ、IPアドレスが似通っているが同じではない、ISPが共通と同一人物やグループからの攻撃を疑わせ、同一IPアドレスではないので踏み台の可能性が低く、過去の中華Proxyの傾向とよく似ているといったところです。

では、mixiだけかというとYahooのメールソフトログイン履歴でもこのようなツイートを見かけました。

https://imgur.com/a/qggKP7m

すべて本人以外のログイン履歴のようですが、国内から複数のISPで短時間で切り替えながら不正ログインをしているように見えます。

ここから複数のISPと契約して中華Proxyとして利用しているということも考えられますが、もう一つロジテックのルーターの時のようなルーターからISPへの接続用のパスワードなどを盗んでの接続というのも考えられます。

無届けでのサーバー運営は回線契約も厳しくなっているはずですからISPに無断接続の線でちょっとした話を。

最近Googleへの不正ログイン元として公開されたIPアドレスをブラウザで接続してみるとルーターのログイン画面が表示されました。

Wxp1900dhp

ファームウェアを更新してなくての脆弱性か初期パスワードのまま公開状態でログインされてVPNを利用されての踏み台かと思い調べてみたところ、ルーターのファームウェアは最新で自動更新機能付きのファームウェアに変更してあるようで未知の脆弱性でない限り初期パスワードのままだったという可能性が高そうです。

Buffaloのルーターは使ったことがないですが、マニュアルによると admin , password が初期状態のパスワードのようで

http://manual.buffalo.jp/buf-doc/35020580-01.pdf

設定画面に入ってISPへの接続用のパスワード画面で「パスワードを表示する」にチェックを入れれば表示されてしまうようですね。

接続先ユーザー名、接続先パスワードには何を入力すればよいですか - アンサー詳細 | BUFFALO バッファロー
http://faq.buffalo.jp/app/answers/detail/a_id/16398

こういったルーターがいくつか見つかればロジテックの時のように無断で回線に接続して犯罪行為に利用するといった攻撃が増えてもおかしくないんですよね…

2018年6月18日 (月)

Googleの不正ログインでパスワード変更の被害

先週から今週にかけてGoogleのアカウントでパスワードの変更をされたとの被害が増えています。共通点としてアクセス元が大阪府泉佐野市が多く貝塚市というのもあり、大阪府南部からログインされたと表示されているようですがIPアドレスまではわかりません。

気になるのはその少し前にアメリカのワシントン州やカリフォルニア州からも不正ログインがあったとのツイートも複数あるので、アメリカのIPアドレスからログインできるか試した後に日本のIPアドレスで乗っ取りをしようとしている可能性があります。

パスワードの変更の通知で気づいた人によるツイートで変更後に何をしようとしているのか目的まではわかりませんが、クレジットカードを登録していた場合は不正使用。それ以外でもメールが残っていた場合は利用しているサイトを調べて他のサイトへも不正ログインを試みる可能性があります。パスワードの再発行などメールアドレスを乗っ取っている場合はできますので。

目的ではないですが、Googleのアカウントで利用しているサービス類も乗っ取られた場合は影響があるので、そちらも注意が必要です。

予防としてはパスワードの使い回しをしない、推測されやすいパスワードは使わないと言った方法と2段階認証の導入というところになります。

Google 2 段階認証プロセス
https://www.google.co.jp/intl/ja/landing/2step/

6/19 追記

182-165-89-252f1.hyg2.eonet.ne.jp

IPアドレスがわかったので調べてみるとeo光の兵庫県のようですね。

IPアドレスをブラウザでアクセスしてみるとQNAPのNASの画面が出てくるので踏み台でしょうね…

2018年6月14日 (木)

NetflixとSpotifyへの不正ログインが増加中

Netflixは南米のベネズエラやペルーといったところからの不正ログインの被害がこのところ増えています。特徴的なのは登録してあるカード情報はそのままにメールアドレスやパスワードなどの個人情報を書き換えての乗っ取りをしてくるということです。

具体的な手口までは判明していませんが、流出したパスワードによるリスト型攻撃かリスト型攻撃で乗っ取ったメールからNetflixを見つけてメールからという線が考えられますが、南米からの不正ログインでメールアドレスが大量に攻撃を受けているとの情報もないようですし、Netflixのみへのリスト型攻撃の可能性が高いのじゃないかと思われます。

予防としてはメールアカウントの方も含めてパスワードの使い回しをしない、推測されやすいものを利用しないというところで2段階認証には未対応のようです。

誰かが私のNetflixアカウントを無断で使用しています。
https://help.netflix.com/ja/node/18

Spotifyの方でも不正ログインされたとのツイートが1ヶ月ほどで複数見つかっています。

こちらも手口までわからず、どこの国からのアクセスだったかもわかりませんが、リスト型攻撃の可能性があるためNetflixと同様にメールアカウントの方も含めてパスワードの使い回しと推測されやすいパスワードを使用しないという予防方法になりますね。

Spotifyアカウントを保護する - Spotify
https://support.spotify.com/jp/article/protect-your-spotify-account/

アカウントが乗っ取られた - Spotify
https://support.spotify.com/jp/account_payment_help/privacy/someone-has-gained-access-to-my-account/

2018年6月 7日 (木)

セシールの不正ログインについて考察

6月6日に発表されたセシールオンラインの不正ログインについて少し考察してみました。

https://www.dinos-cecile.co.jp/whatsnew/topics_20180606.final.pdf

  弊社が運営する「セシールオンラインショップ」において、6 月2 日(土)・10 時19 分~22 分にかけて 同一IP アドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセス が発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧 された可能性があることが判明。そのため、攻撃元IP アドレスを自動遮断処理によってアクセス不可の状 態に遷移させたものの、その後も他の複数 IP アドレス(全て中国)から不正ログイン試行が続いた ため、プロバイダー単位のアクセス遮断対応を実施。

  • 不正アクセス発生日時…2018 年6 月2 日(土)10 時19 分~17 時59 分
  • 不正アクセス元…中国国内の201 個のIP アドレス
  • 不正アクセス及び不正ログイン件数…不正アクセス:1,938 件、うち不正ログイン成功:490 名分
  • 上記の不正ログインでお客様情報(氏名、所有ポイント数)が、第三者に閲覧された可能性がある ことが判明。なお、不正ログインされたお客様情報については、ファイルとして出力、転送及びダウ ンロードなどで外部に流出していないことを確認済み。登録クレジットカード情報等が閲覧された 可能性もなし。
  • 今回不正アクセスに使われたメールアドレス 1,938 名分全てが、「セシール」にご登録中のお客様 ID と 一致することが判明。そのため、本件に使用されたメールアドレスは、事前に何らかの形で弊社より 流出していた可能性が高く、その経路も含めた事実関係について現在調査中。

発表としてはこういった内容なんですが、まずは中国がアクセス元というところから。

他サイトの不正ログインの状況から考えると中国本土からの不正ログインというのは少数です。もっとも中国からの不正ログイン攻撃をされているYahooでの被害実態から考えると、ISPは一定でなくホスト名が引けないものまであります。そこから中国本土でなく台湾の中華Proxy経由(ISPは1社)の攻撃で政治的な配慮から中国と発表している可能性も考えています。

次にログインの成功率。約25%が成功するというのは極めて高い成功率で、通常のリスト型攻撃だとサイトによって前後しますが、1から2%程度と考えてもらっていいかと思います。過去に高確率の不正ログインの発表があったのではリクルートのポンパレモールでの約3割の成功率というのがありました。こちらもあまりにも高かったため、使用されていないIDは省いて実在するIDのみの発表ではないかと考えられていましたが、後日その旨が追加されています。

「なりすましログイン」への対応に関して(9月11日更新) | リクルートホールディングス - Recruit Holdings
https://recruit-holdings.co.jp/news_data/notification/20140908_7754.html

この時に次ぐ成功率ですので、かなりの成功率だということがわかります。

流出元も2種類を検討してみました。一つ目はパスワードとセットでセシールから流出していたが古いリスト。二つ目は発表通りのメールアドレスのみの流出。

セシールからパスワードとセットで古いリストが流出していて今回使われたと仮定すると、メールアドレスの変更による失敗がない、過去に何度かリスト型攻撃を受けて変更を呼びかけてるにしては成功率が低いのでは?とちょっとつじつまが合わないところがありそうです。メールアドレスのみの流出だとすると、これらの問題点が出てこないため発表通りのメールアドレスのリストのみが流出という可能性が高そうです。既存のパスワードとメールアドレスの組み合わせのリストからメールアドレスが一致するもののみを抽出して利用した可能性があります。

ではどこから流出したかとなると、メールアドレスのみということからセールなどの情報を受け取る設定で管理しているところなどが怪しく、例えばメールを外注で送信していた場合はそちらからの流出なども考えられますね。

過去の例だと弥生株式会社での個人情報流出で調べてみると、大日本印刷の業務委託先の社員が持ち出していたという事件がありました。

大日本印刷から個人情報863万件以上が流出 - @IT
http://www.atmarkit.co.jp/news/200703/12/dnp.html

さらに、今回の発表で不正ログインの実態がある程度わかるところがあります。

10 時19 分~17 時59 分の間に201個のIPアドレスから1,938のIDへのアクセスということで、1つのIPアドレスでは平均で10個ほどのIDで、平均で20(入力ミス)10秒以上の間隔を開けてログインを試していると思われます。これを検知したセシールは頑張っている方だと思いますけどね。

できれば2段階認証などを取り入れればさらに良いとは思いますけど。

6/9 追記

第2報がでました。

https://www.dinos-cecile.co.jp/pdf/20180608_topics2.pdf

どうやら新規登録ですでに登録してあるメールアドレスは再度登録できないのを利用してそこから利用できるメールアドレスを絞り込んだということのようで、流出ではないようです。

これは他のサイトでも利用されそうな攻撃なので他人事と思わずにサイト管理者は対策を考えないといけない内容のようですね。

2018年6月 4日 (月)

iMessageへのリスト型攻撃?

こういったツイートを見かけましたが、過去にあったiMessageを使ったスパムと特徴が一致しています。

iMessageの不正ログインでスパム: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/09/imessage-1ac9.html

また、過去のこのページへのアクセス数が増えているためにiMessageを狙ったリスト型攻撃が発生している可能性があるため注意が必要です。

Apple ID の不正利用が疑われる場合 - Apple サポート
https://support.apple.com/ja-jp/HT204145

2018年5月19日 (土)

Instagramのレイバンスパム

忙しくて長い間Instagramの情報収集を指定いなかったのですが、久しぶりに定期的に調べていたタグを覗いてみるとInstagramで1ヶ月はレイバンスパムが大量に発生していたようです。

わかりやすいのは”乗っ取り”タグでの検索ですね。

https://www.instagram.com/explore/tags/%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A/

サイトもいくつかあり、母の日ようにルイ・ヴィトンバージョンもあったようです。

https://www.instagram.com/p/BhyxZo8hJoS/

他にも先月には乗っ取りで韓国人女性の写真とプロフィールに変わっていて知らないフォローやフォロワーがいっぱいいたなんて被害も2件ほど見かけています。こちらもスパム系の乗っ取り可能性が高いと思います。

接続元は世界中からで地域に偏りがあまりないのも特徴で、レイバンスパムは中国が大本だと思われますが、アカウントが別人になるのは以前はロシア人女性のバージョンもありましたので、どこの国の人間がやっているとかまではわかりません。

不正ログイン対策としてはパスワードの使い回しをしない、推測されやすいものは使わないといった方法と2段階認証の設定ですが、Instagramの2段階認証はSMSですのでSMSが利用できる環境を用意しておかないといけません。

«Skypeの不正ログインでURLスパム送信