2018年6月18日 (月)

Googleの不正ログインでパスワード変更の被害

先週から今週にかけてGoogleのアカウントでパスワードの変更をされたとの被害が増えています。共通点としてアクセス元が大阪府泉佐野市が多く貝塚市というのもあり、大阪府南部からログインされたと表示されているようですがIPアドレスまではわかりません。

気になるのはその少し前にアメリカのワシントン州やカリフォルニア州からも不正ログインがあったとのツイートも複数あるので、アメリカのIPアドレスからログインできるか試した後に日本のIPアドレスで乗っ取りをしようとしている可能性があります。

パスワードの変更の通知で気づいた人によるツイートで変更後に何をしようとしているのか目的まではわかりませんが、クレジットカードを登録していた場合は不正使用。それ以外でもメールが残っていた場合は利用しているサイトを調べて他のサイトへも不正ログインを試みる可能性があります。パスワードの再発行などメールアドレスを乗っ取っている場合はできますので。

目的ではないですが、Googleのアカウントで利用しているサービス類も乗っ取られた場合は影響があるので、そちらも注意が必要です。

予防としてはパスワードの使い回しをしない、推測されやすいパスワードは使わないと言った方法と2段階認証の導入というところになります。

Google 2 段階認証プロセス
https://www.google.co.jp/intl/ja/landing/2step/

6/19 追記

182-165-89-252f1.hyg2.eonet.ne.jp

IPアドレスがわかったので調べてみるとeo光の兵庫県のようですね。

IPアドレスをブラウザでアクセスしてみるとQNAPのNASの画面が出てくるので踏み台でしょうね…

2018年6月14日 (木)

NetflixとSpotifyへの不正ログインが増加中

Netflixは南米のベネズエラやペルーといったところからの不正ログインの被害がこのところ増えています。特徴的なのは登録してあるカード情報はそのままにメールアドレスやパスワードなどの個人情報を書き換えての乗っ取りをしてくるということです。

具体的な手口までは判明していませんが、流出したパスワードによるリスト型攻撃かリスト型攻撃で乗っ取ったメールからNetflixを見つけてメールからという線が考えられますが、南米からの不正ログインでメールアドレスが大量に攻撃を受けているとの情報もないようですし、Netflixのみへのリスト型攻撃の可能性が高いのじゃないかと思われます。

予防としてはメールアカウントの方も含めてパスワードの使い回しをしない、推測されやすいものを利用しないというところで2段階認証には未対応のようです。

誰かが私のNetflixアカウントを無断で使用しています。
https://help.netflix.com/ja/node/18

Spotifyの方でも不正ログインされたとのツイートが1ヶ月ほどで複数見つかっています。

こちらも手口までわからず、どこの国からのアクセスだったかもわかりませんが、リスト型攻撃の可能性があるためNetflixと同様にメールアカウントの方も含めてパスワードの使い回しと推測されやすいパスワードを使用しないという予防方法になりますね。

Spotifyアカウントを保護する - Spotify
https://support.spotify.com/jp/article/protect-your-spotify-account/

アカウントが乗っ取られた - Spotify
https://support.spotify.com/jp/account_payment_help/privacy/someone-has-gained-access-to-my-account/

2018年6月 7日 (木)

セシールの不正ログインについて考察

6月6日に発表されたセシールオンラインの不正ログインについて少し考察してみました。

https://www.dinos-cecile.co.jp/whatsnew/topics_20180606.final.pdf

  弊社が運営する「セシールオンラインショップ」において、6 月2 日(土)・10 時19 分~22 分にかけて 同一IP アドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセス が発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧 された可能性があることが判明。そのため、攻撃元IP アドレスを自動遮断処理によってアクセス不可の状 態に遷移させたものの、その後も他の複数 IP アドレス(全て中国)から不正ログイン試行が続いた ため、プロバイダー単位のアクセス遮断対応を実施。

  • 不正アクセス発生日時…2018 年6 月2 日(土)10 時19 分~17 時59 分
  • 不正アクセス元…中国国内の201 個のIP アドレス
  • 不正アクセス及び不正ログイン件数…不正アクセス:1,938 件、うち不正ログイン成功:490 名分
  • 上記の不正ログインでお客様情報(氏名、所有ポイント数)が、第三者に閲覧された可能性がある ことが判明。なお、不正ログインされたお客様情報については、ファイルとして出力、転送及びダウ ンロードなどで外部に流出していないことを確認済み。登録クレジットカード情報等が閲覧された 可能性もなし。
  • 今回不正アクセスに使われたメールアドレス 1,938 名分全てが、「セシール」にご登録中のお客様 ID と 一致することが判明。そのため、本件に使用されたメールアドレスは、事前に何らかの形で弊社より 流出していた可能性が高く、その経路も含めた事実関係について現在調査中。

発表としてはこういった内容なんですが、まずは中国がアクセス元というところから。

他サイトの不正ログインの状況から考えると中国本土からの不正ログインというのは少数です。もっとも中国からの不正ログイン攻撃をされているYahooでの被害実態から考えると、ISPは一定でなくホスト名が引けないものまであります。そこから中国本土でなく台湾の中華Proxy経由(ISPは1社)の攻撃で政治的な配慮から中国と発表している可能性も考えています。

次にログインの成功率。約25%が成功するというのは極めて高い成功率で、通常のリスト型攻撃だとサイトによって前後しますが、1から2%程度と考えてもらっていいかと思います。過去に高確率の不正ログインの発表があったのではリクルートのポンパレモールでの約3割の成功率というのがありました。こちらもあまりにも高かったため、使用されていないIDは省いて実在するIDのみの発表ではないかと考えられていましたが、後日その旨が追加されています。

「なりすましログイン」への対応に関して(9月11日更新) | リクルートホールディングス - Recruit Holdings
https://recruit-holdings.co.jp/news_data/notification/20140908_7754.html

この時に次ぐ成功率ですので、かなりの成功率だということがわかります。

流出元も2種類を検討してみました。一つ目はパスワードとセットでセシールから流出していたが古いリスト。二つ目は発表通りのメールアドレスのみの流出。

セシールからパスワードとセットで古いリストが流出していて今回使われたと仮定すると、メールアドレスの変更による失敗がない、過去に何度かリスト型攻撃を受けて変更を呼びかけてるにしては成功率が低いのでは?とちょっとつじつまが合わないところがありそうです。メールアドレスのみの流出だとすると、これらの問題点が出てこないため発表通りのメールアドレスのリストのみが流出という可能性が高そうです。既存のパスワードとメールアドレスの組み合わせのリストからメールアドレスが一致するもののみを抽出して利用した可能性があります。

ではどこから流出したかとなると、メールアドレスのみということからセールなどの情報を受け取る設定で管理しているところなどが怪しく、例えばメールを外注で送信していた場合はそちらからの流出なども考えられますね。

過去の例だと弥生株式会社での個人情報流出で調べてみると、大日本印刷の業務委託先の社員が持ち出していたという事件がありました。

大日本印刷から個人情報863万件以上が流出 - @IT
http://www.atmarkit.co.jp/news/200703/12/dnp.html

さらに、今回の発表で不正ログインの実態がある程度わかるところがあります。

10 時19 分~17 時59 分の間に201個のIPアドレスから1,938のIDへのアクセスということで、1つのIPアドレスでは平均で10個ほどのIDで、平均で20(入力ミス)10秒以上の間隔を開けてログインを試していると思われます。これを検知したセシールは頑張っている方だと思いますけどね。

できれば2段階認証などを取り入れればさらに良いとは思いますけど。

6/9 追記

第2報がでました。

https://www.dinos-cecile.co.jp/pdf/20180608_topics2.pdf

どうやら新規登録ですでに登録してあるメールアドレスは再度登録できないのを利用してそこから利用できるメールアドレスを絞り込んだということのようで、流出ではないようです。

これは他のサイトでも利用されそうな攻撃なので他人事と思わずにサイト管理者は対策を考えないといけない内容のようですね。

2018年6月 4日 (月)

iMessageへのリスト型攻撃?

こういったツイートを見かけましたが、過去にあったiMessageを使ったスパムと特徴が一致しています。

iMessageの不正ログインでスパム: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/09/imessage-1ac9.html

また、過去のこのページへのアクセス数が増えているためにiMessageを狙ったリスト型攻撃が発生している可能性があるため注意が必要です。

Apple ID の不正利用が疑われる場合 - Apple サポート
https://support.apple.com/ja-jp/HT204145

2018年5月19日 (土)

Instagramのレイバンスパム

忙しくて長い間Instagramの情報収集を指定いなかったのですが、久しぶりに定期的に調べていたタグを覗いてみるとInstagramで1ヶ月はレイバンスパムが大量に発生していたようです。

わかりやすいのは”乗っ取り”タグでの検索ですね。

https://www.instagram.com/explore/tags/%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A/

サイトもいくつかあり、母の日ようにルイ・ヴィトンバージョンもあったようです。

https://www.instagram.com/p/BhyxZo8hJoS/

他にも先月には乗っ取りで韓国人女性の写真とプロフィールに変わっていて知らないフォローやフォロワーがいっぱいいたなんて被害も2件ほど見かけています。こちらもスパム系の乗っ取り可能性が高いと思います。

接続元は世界中からで地域に偏りがあまりないのも特徴で、レイバンスパムは中国が大本だと思われますが、アカウントが別人になるのは以前はロシア人女性のバージョンもありましたので、どこの国の人間がやっているとかまではわかりません。

不正ログイン対策としてはパスワードの使い回しをしない、推測されやすいものは使わないといった方法と2段階認証の設定ですが、Instagramの2段階認証はSMSですのでSMSが利用できる環境を用意しておかないといけません。

Skypeの不正ログインでURLスパム送信

少し前からSkypeへの不正ログインから何かURLを送られるといった被害が出始めていましたが、昨晩あたりから被害数が一気に増えているようです。

送られるURLを調べてみるとこのようなツイートが見つかりました。iPhone当選の画面が表示されたとのことです。

 

パソコンでサイトにアクセスしてみると次々とサーバーを転送してMacに偽装しているブラウザのUserAgentのためかMackeeperの偽警告画面に誘導されたのでUserAgentで表示する内容を変えてそうですね。

情報があまりなくて推測ですが、マルウェア感染ではなくリスト型攻撃による不正ログインではないかと考えています。ですから対策はSkypeもしくはMicrosoftアカウントのパスワードの使い回しをしないといったところになりますね。

もし怪しいURLが送信されてきてもクリックせずに送信してきた人にパスワードの変更をするように教えた方がいいでしょうね。

5/25 追記

いまだに不正ログイン被害が続いているようですが、ログイン履歴を公開する人が増えてきたのでアクセス元の情報もある程度集まりました。

IPアドレスからアクセス元は海外からで国もバラバラですが、Windows Firefoxというのが共通です。このことから踏み台を利用したグループか個人が攻撃していると考えられます。

2018年5月16日 (水)

台湾からの不正ログイン

ここのところGoogleに台湾からの不正ログインが多かったのですが、ここ2日程度は見かけないと思ったら台湾から楽天市場での被害が増えてきているようです。フィッシングメールと思ってスルーしそうになってる人が多いようです。

さらに5月上旬からのmixiへの不正ログインも主に台湾からの攻撃が現在も続いていて、被害はかなりの範囲におよんでいるようです。対策をとっていない・とれないアカウントが大量にあるようで、自分のアカウントが不正ログインされたのでログインすると大勢のマイミクも同じような状態で放置されているなんて話も複数あります。(同時期に注意喚起のあったニコニコは発表後被害はなぜか収まっています)

それ以外にも仮想通貨のノアコインで被害という話もあったり、かなり活動が活発な状態です。

https://twitter.com/shinjyo_gin/status/995217646927818752

この台湾からの不正ログインは中華Proxyだと思われるんですが、NASなどを踏み台にする行為も中国系と思われ、こんなツイートもありました。

https://twitter.com/iozo70/status/994760860940713984

かなり活動が活発で、今年から収集している投稿はIPアドレスや場所付きなどに絞ってるんですが、情報収集と整理が追いつかないような状態ですよ…

2018年5月14日 (月)

nexonへの不正ログイン

ここ数日nexonに不正ログインされそうになったとのツイートが増えています。

公開されていたログを見ると数時間おきにIPアドレス(国も)を変更しながらログイン試行をしているようですが、複数の接続元のIPアドレスをブラウザで開いてみると約半数でこのような画面が表示されました。

Mikrotik_router

Mikrotik_router2

Mikrotik_router3

特定の製品のログイン画面ということで、ちょっとかたよりがありますね。

RouterOSの現在配布されているバージョンを調べてみてるとこのような感じですね。

MikroTik Routers and Wireless - Software
https://mikrotik.com/download#

6.40.8 (Bugfix only) 6.42.1 (Current) 5.26 (Legacy) 6.43rc11 (Release candidate)

v6.43rc7というのが接続元にあったので設定ミスで踏み台に利用されているとかかな?という風に考えていますが、ちょっと多いですね…

5/16 追記

接続元にこんなのも見つかりました。

Nexon

Nexon2

2018年5月10日 (木)

ニコニコの不正ログインの接続元

他社流出パスワードを用いた不正ログインについて(2018/05)|ニコニコインフォ
http://blog.nicovideo.jp/niconews/73053.html

ここ数日ニコニコへの不正ログインが増えていると思っていたところニコニコから発表がありました。

そこでツイートされていたものの中から気になるものを調べてみました。

こちらの一番上の時間の余りたっていないIPアドレスに接続にいくとこのような画面に。

Webcamera

どうもWEBカメラのログイン画面のようで、WEBカメラが踏み台にされていたと思われますね。

他のツイートなどを見ていても国内が結構目立ちます。いろいろと踏み台に利用されているものがありそうな感じですね。

わかる範囲で国内のIPアドレスを調べてみましたが、地域が間違って表示されるための勘違いと思われるものが多いようで確実に不正ログインと思われるものがわかりにくいですね。

2018年5月 8日 (火)

Googleへの不正ログイン、東京からの接続元

Qnap

画像は昨日見かけたIPアドレスですが、ここ数ヶ月SNSで投稿されている国内からのIPアドレスに接続しにいくとQNAPのログイン画面が表示されるものが多いのが特徴的です。(特にGoogleへの不正ログイン)

初期設定のユーザー名とパスワードがadminのままから変更していないのが原因だと思われますが、利用者にあまり知られていない可能性がありますね…

デフォルトのユーザー名とパスワードは何ですか? - QNAP
https://www.qnap.com/ja-jp/how-to/faq/article/%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E5%90%8D%E3%81%A8%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B

«mixiにリスト型攻撃