2017年4月25日 (火)

通販の送り先に運送会社?

https://www.facebook.com/permalink.php?id=100002147827855&story_fbid=1373888382692743

Amazonで被害に遭った人が配送先の画像を公開していたので調べてみました。

東京都台東区寿2-4-8 浅草妙見屋ビル307

03-6802-7833

住所からJ&WSafetyExpress株式会社というところが出てきました。さらに06-6802-7832という電話番号のようなので最後の一桁が一つ違うだけなのでこの会社が所有しているのではないかと考えられますね。

こちらの会社は運送会社ということで、ひょっとすると空き家に届けるのではなく一度運送会社に送ってそこから再配達させるというワンクッション置いている可能性がありますね。

LINE乗っ取りでBitcoinの購入依頼

最近はLINEの乗っ取りでWebmoneyやBitCashの購入を頼んでいたのがBitcoinの購入を頼むパターンが出てきたようです。

Instagramのタグの方ではまだ出てきませんが

https://www.instagram.com/explore/tags/line%E4%B9%97%E3%81%A3%E5%8F%96%E3%82%8A/

Facebookの方で2件見つかりました。

https://www.facebook.com/permalink.php?id=100000182813842&story_fbid=1746839475332129

https://www.facebook.com/permalink.php?id=1004630344&story_fbid=10211350357287052

2週間ほど前にはAmazonギフト券のバージョンもありましたので、マニュアルのマイナーチェンジをしようとしているようですね。

https://www.instagram.com/p/BSi4rSzjqVV/

https://www.instagram.com/p/BSjE1oaDz2d/

要求するものが違うだけで基本的な会話の流れは今までと同じですから、パターンさえ知っておけばダマされないはずです。金銭の要求をしてきたら、まず本人への確認を電話など他の手段で確認するようにして下さい。

ちなみに、Bitcoinの支払いができるところが増えていきつつありますが、Bitcoin関係で不正ログインをされたという被害も出てきているようです。数が少ないためリスト型攻撃というよりはメールなどを乗っ取られてそこからたどられたかマルウェア感染じゃないかと推測していますが、今後被害の増加が考えられます。

ちょちょちょ・・ちょい待ちやwww スポートアーブ 不正ログイン | 【実録】○○○とビットコイン投資で不労取得までの道!
http://bitcoin-king.com/%E7%AE%A1%E7%90%86%E4%BA%BA%E3%81%8B%E3%82%89%E4%B8%80%E8%A8%80/%E3%81%A1%E3%82%87%E3%81%A1%E3%82%87%E3%81%A1%E3%82%87%E3%83%BB%E3%83%BB%E3%81%A1%E3%82%87%E3%81%84%E5%BE%85%E3%81%A1%E3%82%84%EF%BD%97%EF%BD%97%EF%BD%97%E3%80%80%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88/

2017年4月15日 (土)

3月の国内からの不正ログインでアクセス元が判明しているもの

忙しいのもあって記事にしていなかったですが、IPアドレスが判明していて接続元がある程度判明しているものを少し紹介しておきます。

まずはおなじみのlinode。

他にももう一人いましたがツイートを削除してしまったようです。

次は国内のISPで接続しているIPアドレスをブラウザで接続するとNASのQNAPのログイン画面が表示されたためNASを踏み台にされた可能性があるものも発見しています。

別件ですが、踏み台にされているとプロバイダーから連絡を受けたとの人のツイートがあり、どういった状態だったのかを書いていました。おそらく似たような状態の人はある程度の数がいるんじゃないかと考えられますね。

2017年4月14日 (金)

ビーバップ!ハイヒール「武器なき情報戦争“インテリジェンス・ウォー”の内側に迫る!」

ビーバップ!ハイヒール|民放公式テレビポータル「TVer(ティーバー)」
http://tver.jp/episode/28513187

ゲストに手嶋龍一氏を迎えて情報戦の話をイメージVTRを中心に解説。

大統領選のロシア関与の話や911の話など。

1週間しか見られないので興味のある人はお早めに。

2017年4月12日 (水)

Amazonにリスト型攻撃?

ここ数日、AmazonでAmazonコインを何万円分も不正ログインで購入されていたという被害が増えているようです。

継続的にあるフィッシングメールによる被害も考えられますが、パスワードを変えたのにといった投稿もなく、Amazonからの未遂を止めたとのメールをフィッシングではないかと疑っている人がいるところからリスト型攻撃がおこなわれている可能性があります。

リスト型攻撃を裏付けるようにAmazonから流出しているリストから同じパスワードを利用しているのを発見したのでパスワードを変更するようにとのメールが届いている人もいるようです。

さらに出店している人のアカウントも乗っ取られている人がいるようで、大量の出品をされていたとの投稿もありました。

https://www.facebook.com/permalink.php?id=1080660191&story_fbid=10210015255832885

出品のアカウントが狙われているという話もありますので、今後要注意の事例です。

アマゾン出品者アカウント、ハッカーの標的に - WSJ
http://jp.wsj.com/articles/SB12580682065743184470104583077740598546004

マーケットプレイスに詐欺の出品が増えているとの話があるのでアカウントの乗っ取りからの出品が起きていないかも考えておかないといけないですね…

Amazonマーケットプレイスで詐欺が増加中 - Togetterまとめ
https://togetter.com/li/1099719

被害に遭わない対策は、パスワードを使い回さない推測されやすいものはさけるですが、先日から使用できるようになった2段階認証もきわめて有効ですから検討してみて下さい。

Amazon.co.jp ヘルプ: 2段階認証を有効にする
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820

4/20 追記

マーケットプレイスの乗っ取りと思われるものが話題になってきているようです。

 

 

 

 

 

 

4/24 追記

マーケットプレイスで購入した人が乗っ取られて出品されていた人から連絡が来ているツイートもありました。

4月13日から急に商品を激安販売してる怪しい業者増えていませんか? - Amazonセラーフォーラム
https://sellercentral.amazon.co.jp/forums/thread.jspa?threadID=7135

2017年3月23日 (木)

Bリーグのスマホでチケット購入者にクレジットカード被害が発生?

Bl_card

数日前からバスケットボールのBリーグのファンの間でクレジットカードの不正利用が増えていて、東京ディズニーリゾートやユニバーサルスタジオジャパンの購入に使われたといった同じような被害ばかり。チケットぴあが原因でないかという話もあるんですが、それにしてはあまりにも偏ってる感じがするんですよね。専用で利用している人にも被害が出ているようですし。

公式では否定していますが、文面から不正ログインの調査をしたのかな?という感じですね。

GMOペイメントゲートウェイのように代行会社からの流出といったことがあったのかもと考えていますが、よくわからない状態です。

3/24 追記

クレジットカード情報を登録しただけで使っていないのに被害に遭ったとの話も出てきました。別ルートの流出も考えられますが、被害が同じなのでBリーグのサーバーでの流出の可能性が高くなったかなという感じがしますね。使用していないことからフォームの改ざんによる流出でなく保存されていたデータベースの流出の可能性が考えられます。

3/25 追記

クレジットカードでの決済を停止したとのメールが届いたとの話です。まだ原因はわかっていないようです。

「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせ - B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/21601.html

4/3 追記

専用に使っていたのに被害に遭った人がまた見つかりました。流出の可能性があるとは思うんですがBリーグからはまだ発表はないようですね。

4/25 追記

専門の第三者機関による詳細な調査をしていた結果が発表されました。

ぴあ運営 Bリーグサイトで個人情報15万件流出の恐れ― スポニチ Sponichi Annex スポーツ
http://www.sponichi.co.jp/sports/news/2017/04/25/kiji/20170425s00011000149000c.html

15万件の個人情報流出か ぴあ運営のサイトに不正アクセス - 西日本新聞
https://www.nishinippon.co.jp/flash/f_kyushu/article/324054
カード不正使用630万円分を確認 ぴあ運営サイトの個人情報流出 - 西日本新聞
https://www.nishinippon.co.jp/flash/f_kyushu/article/324055

B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/23536.html

ぴあ(PDF)
http://corporate.pia.jp/news/files/security_incident20170425.pdf
https://docs.google.com/viewer?url=http://corporate.pia.jp/news/files/security_incident20170425.pdf

ぴあ側がBリーグ用に構築したサーバーにApache Struts2の脆弱性を突いての攻撃だったようですね。流出の可能性があるものの中にセキュリティコードがあるのでクレジットカードの被害が集中していたと考えられますね。

2. 不正アクセスにより流出した可能性のある情報について

(1) 2016 年 5 月 16 日~2017 年 3 月 15 日の期間中に、B.LEAGUE 会員に登録されたお客様の
個人情報
⇒住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報
合計 154,599 件(複数クラブへの重複登録を除いた件数 合計 147,093 件)

(2) 上記(1)のうち、ファンクラブ会費のお支払いに、クレジットカード決済をご利用になられた方の
決済情報
⇒カード会員名・カード会員番号・有効期限・セキュリティコード
合計 13,696 件

(3) 上記(1)のうち、2017 年 1 月 7 日~2017 年 3 月 13 日の期間中に、B.LEAGUE チケットサイトにて、
クレジットカード決済にてチケットを購入された方の決済情報
⇒カード会員名・カード会員番号・有効期限・セキュリティコード
合計 23,025 件 (上記(2)と(3)とで、重複を除いた件数 合計 32,187 件)

(4) 当該クレジットカード番号による、不正使用の件数と金額(4 月 21 日現在の集計値)
⇒197 件/6,300 千円
(これまでに判明しているもので、すべてのカード会社の集計値ではありません。不正使用分

の補償は、クレジットカード各社を通じてその全額を当社が負担いたします)

さらに追記

チケットサイトを請け負ったホットファクトリーで明確な痕跡が見つからなかったが疑義があると判断されたとの記述で引っかかっていたんですが、以下の記事で状況がわかりました。

ぴあ株式会社からのリリースについて | 株式会社ホットファクトリー
http://www.hot-factory.jp/notice.php

ぴあ運営の「B.LEAGUE」サイトで情報流出、特別損失も計上へ - ZDNet Japan
https://japan.zdnet.com/article/35100323/

 しかし、ファンクラブ受付サイトでは実際には仕様通りに運用されておらず、データベースにクレジットカード情報が保存されていた。チケットサイトではクレジットカード情報を保存していなかったものの、決済処理に関するログ情報が出力されており、これを第三者が閲覧した可能性は否定できないという。

ニュース解説 - (2/2)ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/?P=2

 ぴあの発表を受け、ホットファクトリーはWebサイトで同社の見解を公表した。第三者機関による調査の結果、同社が構築したB.LEAGUEチケットサイトでは、通信ログからの情報流出は確認できないものの、閲覧等の可能性は否定できない「疑義」の報告を受けたとする。ぴあによると「個人情報の流出は確認できなかったが、サイトにはバックドアが仕掛けられていた。ログを残さない方法で情報が取られている可能性は否定できない」という。

バックドアがありログ情報もあった状態で明確なログがない状態となると流出していないとは言い切れない状態のようですね。

今回の件はクレジットカード情報が流出したため判明しましたが、クレジットカードを含めない個人情報のみだった場合は最初の調査で流出無しと判断されたように気づけなかった可能性が高いでしょうね。

最近初めて不正ログインされたとのSNSへの投稿が増えていますが、同じ脆弱性による攻撃で気づいていない・発表していないサイトから流出しているものが含まれていてもおかしくないんですよね…

2017年3月22日 (水)

Skypeへの不正ログインでBaidoのリンクスパム

正確にはわからないですが、11月頃からSkypeへの不正ログインがあったとの話が数は少ないもののずっと続いていたんですが、この数日で大規模にあったようです。

Skype_baidu2017

「skype baido OR 不正 OR スパム」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

全部のアドレスを調べたわけではないですが、転送先は以前と同じ内容のようですね。マルウェアというより英語の詐欺サイトへの転送です。

Skype乗っ取りbaidu.comスパムメッセージ送信被害 怪しいサイト誘導 ( その他インターネット ) - 無題な濃いログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/fireflyframer/34373362.html

気になるのはパスワードを使い回していない人が何人もいるみたいなんですよね。

 

 

 

12月には窓の杜の記事でもパスワードを使い回していないのにSkypeを乗っ取られたとの記事もありました。

Skypeで勝手にスパムをばらまき!? もしもMicrosoftアカウントが乗っ取られたら - いまさら聞けない?Windows 10のTips - 窓の杜
http://forest.watch.impress.co.jp/docs/serial/win10tips/1033064.html

こちらの記事でもセキュリティソフトでも何も発見できずなぜ破られたのかが不明という事のようです。

いくつか仮説を立てて調べているんですが、使い回しをしていないぐらいしか情報がないためこちらも原因不明という状態です。

可能性としては、独自ルールのパスワード命名の規則性を複数の流出と名寄せから推測された場合やパスワード管理ソフトのファイルやパスワードを記述しているテキストファイルが流出しているというのを想定しています。

Cloudbleedのような問題も起こったわけでネット上に保管していたファイルが実は流出していたなんで事態も考えておかないといけないでしょうね。

環境によって原因を絞り込めるのかもしれないので、Skypeを使用しているのはパソコン・スマホ・両方か、どのようなソフト・アプリを利用して使っているのかといった情報で何か判明するかもしれないですが、情報が集まるような組織なりでないと判明しないかもしれないですね。

2017年3月 2日 (木)

日経社員の押切もえさんなどの不正ログインの手口

押切もえさんのメール盗み見た日経社員の手口 : 科学 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/science/goshinjyutsu/20161202-OYT8T50091.html

裁判傍聴芸人の阿曽山大噴火さんの傍聴リポートがラジオでありました。

報道では不明だったどうやってメールアドレスなどを入手したか検察側が話していたようです、まず大学院時代にSNSで女性名義のアカウントを作成してかわいい女性と知り合いになり連絡先を教えてもらうというところからメールアドレスや電話番号などを入手していたようです。それに誕生日などの個人情報からパスワードの推測ということのようですね。そのうち芸能人ともつながり、そこから連絡先などの他の芸能人などにも広がっていったようです。住所も知ったことから自宅や仕事場の近くにも行っていたとのことです。

今回の犯人はのぞき見目的でしたが、暴力的な人間だった場合は他の被害も考えられる状態のようですね。個人情報を預けているサービスはくれぐれも安易なパスワードにせず、できるなら二要素認証なども利用して不正ログインできないようにしておくのをおすすめします。

番組はRadikoタイムフリーで聞けるはずですので、該当地域の方やプレミアムの方で興味のある方はそちらで聞けるはずですよ。

http://radiko.jp/#!/timeshift

3/18 追記

週刊実話で裁判の様子が記事になっていました。

押切もえも被害に遭った元日経新聞社員の芸能接近手口 - 週刊実話
http://wjn.jp/article/detail/5192546/

3/24 追記

懲役2年6月、執行猶予4年(求刑懲役2年6月)との判決が出たようです。

日経元社員に有罪判決 女性タレントのメール・SNSのぞき見事件 東京地裁 - 産経ニュース
http://www.sankei.com/affairs/news/170324/afr1703240034-n1.html

2017年2月28日 (火)

アニメ「夢王国と眠れる100人の王子様 ショート」公式サイト改ざん

忙しいので誰かやるかとスルーしていたら誰もやっていないようなので少しだけ。

【重要】アニメ「夢王国と眠れる100人の王子様 ショート」公式サイト一時公開停止につきまして
http://www.yume-100.com/info/20170226.html

2月25日(金)15:00~2月26日(日)0:20に公開されておりました当サイトが、第三者による不正アクセスにより、悪意のあるプログラムに改ざんされていることが確認されました。

(中略)

現在確認されている事象として、当サイトへアクセスした際に不正なポップアップが掲出し、アップデートを促されるといった事象がございます。
サイトにアクセスされた可能性があるお客様におかれましては、まことにお手数ではありますが、お手持ちのセキュリティソフトを最新の状態にし、感染確認・駆除の実施をお願い申し上げます。

https://www.google.co.jp/interstitial?url=http://short.yume-100.com/
https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html?hl=ja#url=http://short.yume-100.com/

https://web.archive.org/web/20170224215915/http://short.yume-100.com/

閉鎖前で改ざん前の状態が残っていたので確認してみるとWordPressのようですね。何が表示されて何をインストールされそうになったかまでは調べられていないので、どの程度の脅威かまでは判断できません。

公式Twitterアカウントで公式サイトの発表をリンクしても怖くて見に行けないという人を何人か見かけましたので、Twitterで現在はアクセスできないようにしてあり発表は別の場所でやっているので大丈夫と書いておいた方が良さそうでしたね。

話によるとどうやらアニメ化が決定してサイトを公開してすぐに改ざんだったようで、アクセス数はそこそこあったかもしれないですね…

2017年2月22日 (水)

Googleへレンタルサーバーから不正ログイン

様子を見ていたところ複数の情報が集まってきたので間違いなさそうということで記事にしておきます。

199.38.234.85 199.38.234.21 199.38.234.59

すべてWANSecurity株式会社のようで、こちらのサービスでも使用してるんじゃないかと思われますね。

WANSEC: Hosting
http://www.wansec.com/jp/hosting

YouserAgentはばらけているようですが、東京の港区から不正ログインされそうになっていた場合はこちらのサーバーからの可能性がありそうです。

«の陳述書の"wsf"ファイル付きメール