2018年2月13日 (火)

偽ショッピングサイトの転送ページに小説家になろうのソースが

いま話題のマンガの海賊版サイト、その中でも閲覧ではなくダウンロードするタイプを調査していると検索エンジンに関係のないのバッグのショッピングサイトがいくつか引っかかるのが気になり調べてみました。

Pangea2

検索結果からたどるとこのような画面になり51.laの中華系のアクセス解析を利用したりTLSで暗号化されていなかったりと、以前に偽ショッピングサイトを調査したときとあまり変わらない作りの偽ショッピングサイトへと転送されるようです。

ソースを確認しても漫画のタイトルなどは含まれておらず、検索ともサイト名が違うために転送元のキャッシュを表示してみるとこのような画面が表示されます。

Pangea1

どうも小説家になろうあたりからソースをそのまま転送用のページに利用しているのか同じ内容のサイトを改ざんされたと思われるページがいくつも検索結果に表示されていますね。しかも同じないようで、下記の小説がそのまま転載されているようです。

ダンジョン喫茶 ~現代知識と聖女の奇跡で異世界人のお悩み解決します~ - 第2話『大金のアテ』
https://ncode.syosetu.com/n2563en/9/

そこで「ダンジョン喫茶 ~現代知識と聖女の奇跡で異世界人のお悩み解決します~ bag」でGoogleやYahooで検索してみると検索結果にいくつか表示されるようですね。bingだと表示されないようですが…

こういった検索結果から偽ショッピングサイトへ誘導されるかもしれないので注意した方がいいですね。

2018年2月12日 (月)

BHR-4GRV2に不正アクセス

年末から色々と立て込んでいて情報収集が遅れ気味でブログも更新できない状態ですが、ちょっと気になる投稿を見つけました。

https://www.facebook.com/permalink.php?id=100003484822086&story_fbid=1439805429478937

2018年2月2日の朝に発見。特長的なのは有線LANルーターの隠れ機能らしきブリッジモード。私は暗号装置のハードの仕事をしているのでセキュリティには詳しいほうですが、ネットワークセキュリティは、それほどでもなくて、最初、まさかこんなことができるのかと驚きました。不正アクセス者から、学ばせてもらいました。

(中略)

不正アクセスの方法はBUFFALOの有線LANルーターBHR-4GRV2を、ブリッジモードにして、WAN側のネットワークからLAN側に侵入するというもの。

このアカウントの人物は暗号関係の仕事をしているらしくセキュリティ関係は素人というわけではなさそうと思われるんですが、ルーターの脆弱性でも放置していたのかなという感じですね。調べてみるとこの機種はファームウェアで過去に2度脆弱性の修正がおこなわれているので、修正していないとすればそちらの可能性がありますね。

クロスサイトスクリプティング(XSS)の脆弱性 2014/10/30
http://buffalo.jp/support_s/s20141030_2.html

一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性 2015/2/2
http://buffalo.jp/support_s/s20150202.html

情報不足でこれ以上はわかりませんが、出回っているルーターのどれぐらいが攻撃対象になっているのかという事は気になります。TwitterやFacebookなどで国内IPアドレスからのレイバンスパムが大量にありますので…

追記

OSコマンドインジェクションがWAN側からはできないようなので複合的な要因かなと考えていたんですが、価格comの掲示板によると複数のPPPoEを設定しているとWAN側からログイン画面が表示できるバグがあるようで、単純なパスワードだとログインされてしまっていたかもしれないと考えられそうです。

http://bbs.kakaku.com/bbs/K0000658934/SortID=20622666/

気になるのが日付で、ファームウェアの最後の更新と掲示板でこの話がされているのがほぼ同時期です。PPPoEの接続先を複数登録した場合の修正が最後のファームウェアの更新であるのでこの時こっそりと修正されていたことも考えられますが、話題になって数日後だとどうだろうかという疑問も残りますね。

http://buffalo.jp/download/driver/lan/bhr-4grv2_fw-win.html

2018年1月31日 (水)

ネットでの誹謗中傷や爆破予告などについて

 

DeNAベイスターズの井納投手が提訴したとフライデーに載ったことで話題になっています。フライデーは読んでいませんがこちらの記事が詳しいので要約します。

DeNA井納投手の「嫁酷評」提訴で注目 「選手の奥さん叩き」掲示板のエグい内容 : J-CASTニュース
https://www.j-cast.com/2018/01/29319829.html

横浜DeNA井納投手が中傷ネットユーザーを訴訟。「批判」と「悪口」は全然違う - wezzy|ウェジー
http://wezz-y.com/archives/51881

フライデーの記事の内容は掲示板に書き込んだ女性からの情報に基づくもの。

書き込まれていたのは「2ちゃんねる」ではなく「野球界の噂」という掲示板。

この掲示板ではいろいろな選手の家族への誹謗中傷が日常的に行われていた。

3年ほど前に誹謗中傷されていることをしり、弁護士に相談していったん書き込みがなくなった。

2017年7月にこの掲示板にアップロードされた写真を見て提訴された女性が書き込み。

情報開示請求をしたところ書き込んだ女性から弁護士に連絡があった。

12月中旬に訴状が届き1月中旬に第1回口頭弁論の呼び出し状が届いたとのことで記事は裁判前の話?

こういった流れのようです。この事件でも攻撃していい人を決めて集団で悪口を言うという流れのようなんですよね。2つめのリンクで上坂すみれさんの事件にも触れていますが、逮捕されたときの話と裁判の話で事件の内容が少し違います。

逮捕時の記事

声優の上坂すみれさんに殺害予告、容疑で山形の20歳男を逮捕 - 産経ニュース
http://www.sankei.com/affairs/news/170719/afr1707190012-n1.html

声優・上坂すみれ、度重なる脅迫や嫌がらせで所属事務所が声明 「上坂本人も事務所も活動に支障」 - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1707/19/news146.html

この時には過激なファンによる殺害予告じゃないかと考えられていましたが、1月22日の初公判の話を阿曽山大噴火さんがラジオで話していました。

学校のストレスがたまると2ちゃんねるに書き込み、反応を見ることでストレス発散をしていた。上坂さんのスレッドで殺害予告を書き込むことで反応が見たかったとの動機だったようです。自分の携帯電話からIPアドレスの偽装もせずに書き込んでいたようです。結局逮捕で学校を自主退学という事になったようです。

上坂さんには以前から色々とやられていたので、自分もやっても構わないと思ったのかもしれないんですよね。スマイリーキクチさんや唐澤貴洋弁護士へも集団ですので同じ事が繰り返し起こっている感じがします。

集団で誹謗中傷ではないですが、爆破予告ではこんなのもありました。

スカイツリー爆破予告容疑の男を逮捕「就活でいらいらして…」 - 芸能社会 - SANSPO.COM(サンスポ)
http://www.sanspo.com/geino/news/20170621/tro17062115470008-n1.html

こちらは逮捕時の報道と11月にあった裁判での話がちょっと違っています。こちらも阿曽山大噴火さんのラジオでの話です。

スカイツリーだけでなく茨城県内の高校にも爆破予告のメールを送信で起訴されている。

スカイツリーの爆破予告のメールの最後に「しぇしぇしぇのしぇー」と書き込んでいた。

無職の被告人が車の普通免許の試験に数十回落ちていて、父親に出会い系サイトばかりやっているからだと携帯電話を取り上げられたストレスから以前使っていた古い携帯電話を取りだしてGmailを取得して脅迫メールを送信した。

裁判ではこういった内容で逮捕されたときには就活のストレスだったのが携帯電話を取り上げられたことになっていたりと変わることが少なくないので、できれば大手マスコミにも裁判まで取材して欲しいところなんですけどね。情報が修正されることなく広まってしまうこともありますので。

2017年12月22日 (金)

帰省中にやるかもしれないこと備忘録

帰省で親や親戚などのPC・スマホなどの設定を確認する可能性があるので気をつけるべきものを備忘録に。

OSやOfficeのアップデート
Adobe ReaderやFlashのアップデート
セキュリティソフトの状態

数式エディター 3.0 を無効にする方法
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0
Office2007未満用 効果は不明

ルーター
ファームウェアが最新か
設定画面のパスワードが初期設定以外になっているか
DNSやVPNの設定などが変更されていないか
スマホで無線LANのWEPや混んでるチャンネルを使用していないか
パソコンのみや有線のみでしかファームウェアが更新できず、年数が経っている場合は買い替えも検討

IoT
どの機器が繋がっているか
ファームウェアが最新か
パスワードが初期設定以外になっているか

KRACKs
ルーターで中継機能を使っている場合はファームウェアが最新で対応しているか
Windowsはアップデートをしていれば大丈夫
MacOSはHigh Sierra 10.13.1、Sierra 2017-001、El Capitan 2017-004以降
iOSはiPhone7以降は11.1以降で修正、iPhone5s,iPad mini2以降は11.2以降
Androidは2017-11-06以降
無い場合はVPNも選択肢に
https://en.wikipedia.org/wiki/KRACK
https://pc.watch.impress.co.jp/docs/news/1095897.html

Intel Management Engine
マザーボードのファームウェアが最新か
ショップブランドのPCの場合はマザーボードを特定する作業も
脆弱性の有無の確認用プログラム
Intel® Management Engine Critical Firmware Update (Intel-SA-00086)
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Intelの内蔵グラフィックス用ドライバに特権昇格の脆弱性
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00095&languageid=en-fr
CPUの型番で検索
https://www.intel.co.jp/content/www/jp/ja/support.html

Synapticsのドライバにキーロガー
https://support.hp.com/jp-ja/document/c05831271
HP以外もあるかもしれないので他メーカーも要確認

BlueBorne
https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html
iOS10以降影響なし
Android 2017/11以降
Androidのチェックアプリ
BlueBorne Vulnerability Scanner by Armis
https://play.google.com/store/apps/details?id=com.armis.blueborne_detector
更新が無くBluetoothを使っていない場合は使用しない設定も

バックアップ
パソコンとスマホ、デジカメ等のデータをバックアップしているか

パスワード
パスワードの使い回しをしていないか、推測されやすいものを利用していないか

12/25 追記

SMBv1を無効化
http://www.atmarkit.co.jp/ait/articles/1705/17/news043_3.html

2017年12月15日 (金)

ワンクリックウェア業者もVPN使用

「家で荷受け」バイト持ちかけスマホ詐取の疑い、男逮捕:朝日新聞デジタル
http://www.asahi.com/articles/ASKDG6HZPKDGUTIL053.html

VPNで発信元隠す スマホ詐取容疑で男ら逮捕 警視庁  :日本経済新聞
https://www.nikkei.com/article/DGXMZO24673860V11C17A2CC0000/

スマホを荷受けでだまし取る犯罪でVPN Gateを使っていたとのことですが、2010年頃にパソコン向けのワンクリックウェアをやっていたところでstatic.zoot.jpを使用していたのを確認しています。しかも逮捕されていないグループで。

マイIPはどこでも固定IP環境を実現します - INTERLINK
https://www.interlink.or.jp/service/myip/

こちらはインターリンクのマイIP ソフトイーサ版と思われ、外部サイトにアクセスするときはこのようなサービスを使っていたと思われます。これ以外にもホスト名の引けず余計な情報が出ない匿名Proxyを使っていたりと直接のIPアドレスを知られないような細工は当時からしていましたね。かえって目立ってたんですけどね…

サーバーを公開していただけで外部との接点がないはずなのになぜ知ってるかというと、悪質化しないように圧力をかけ続けていたので向こうからアクセスに来るようなことをやっていたもので…

メール乗っ取りからの仮想通貨による被害

まず一つ目はこちら

https://fate.5ch.net/test/read.cgi/cryptocoin/1495783263/218-

bitbankという取引所でモナーコインの被害です。

まずメールを不正ログインで乗っ取り、使用しているサービスを調べた中に仮想通貨の取引所があったために被害に遭ったということなんですが、取引所の被害に気づいてパスワードの変更と2段階認証を導入したところ変わった動きがあったという話です。

こちらで簡単にまとめられていますのでツイートをのせておきます。掲示板の方には書いてありましたが、メールはSoftbankのキャリアメールです。

もう一つは送金では無く、少し手の込んだ被害です。

Bitcoin盗まれたお話 - @tomotomo66のメモログ | Monappy
https://monappy.jp/memo_logs/view/tomotomo66/977

取引確認のメールがないとのことなので、おそらくメールを乗っ取られているとお思われます。被害がちょっと違っていて、送金ではなくマイナーな仮想通貨の取引。

よくよく取引履歴を見てみると、

ある通貨を非常に高く買って、その後非常に安く売るを繰り返しているではありませんか!

この取引所、マイナーなアルトコインを扱っていて、さらにUSDの板は薄いんです。

その板で犯人が非常に有利になる取引を、ハックしたアカウントで行い、

実質的な送金をしていたのです。

犯人は僕がZNYをBTCにしてから2分後に作業を開始、0.46BTCをほぼ0にするまで15分で作業を終わらせました。

風呂に入る時間で十分です。

この方法で犯人を特定しにくくしようとしていると思われますね。利益を上げたアカウントも乗っ取られている可能性もありますね。また、タイミングが良すぎることからすでにメールの方に不正ログインしていたところタイミング良く取引のメールがあったので、そこから狙われたという感じじゃないでしょうか。

こういった被害があることから取引所の2段階認証だけでなく、メールの方も不正ログイン対策をしておかないと、そこから突破されるといった被害が出ていますのでしっかり対策を!

2017年12月13日 (水)

国内からの不正ログインが増加中

時系列順に書いていきます。

11月頃からFacebookへの不正ログインで国内からというのが増えていますが、地域が比較的バラバラで愛知県からというのが少し多い状態でした。IPアドレスを公開している投稿を見かけなかったですが、WindowsでFirefoxという共通点があり、誤判定としてはあまりにも不自然ということで踏み台を利用した不正ログインの可能性があります。

具体的な被害と結びついていたわけではないですが、この間にあったレイバンスパムとLINEのようなメッセンジャーの乗っ取りによるWebmoneyなどを買ってきてもらうといった不正ログインの痕跡じゃないかと思われます。

同時期にGoogleも国内からの不正ログインが増えてきてますが、バラバラだったのが12月に入ってから東京の多摩というのが増加します。2つの時間の違う投稿で同じIPアドレスということから踏み台かIPアドレスを気にせず不正ログインしている初心者かという感じかなというところですね。

Googleが止めることが多いので具体的な被害にあう人は少ないと思いますが、被害に遭う場合はGoogle Playでの購入やメールの流出や送信、保存しているメールから利用しているサービスへの不正ログインへ悪用などが考えられます。

210.228.38.126 126.CH353.cyberhome.ne.jp

CYBERHOME(サイバーホーム)インターネット接続会員さま向けサイト
https://www.cyberhome.ne.jp/app/home.do

マンション向けのISPのようですね。

最後にTwitter。

12月になってから不正ログインをされそうになったというので長野からというのが極端に多いです。レイバンスパムも活発化しているのとちょうどその時間帯に長野からログインされたとの投稿もあるのでレイバンスパムは長野の中華Proxyを利用しているんじゃないかと考えられます。

2017年11月29日 (水)

秘密の質問が破られた事例の考察

少し前にこのような被害があったのを見つけました。

ちょびリッチで不正アクセスを食らって11,500円を搾取されたので経緯を簡単にご紹介したい
https://www.ana-mileage-shoes.net/entry/cyberattack

※愚痴注意※不正アクセスを食らったら被害者は泣き寝入り。少なくともちょびリッチさんは助けてくれないことがよくわかった
https://www.ana-mileage-shoes.net/entry/nakineiri

要約すると

・ポイントサイトのちょびリッチに不正ログインされてAmazonギフト券のコードの変換されていた。

・登録していたYahooメールが不正ログインされていてそこからちょびリッチに不正ログインされた模様。日本からの接続。

・Yahooとちょびリッチのパスワードは違ったものの、ちょびリッチのは過去にYahooから流出したものと同じだった。

・ポイントからAmazonギフト券への交換には秘密の質問による認証があるが突破されている。(答えの問い合わせなど無し)

・ちょびリッチ側には落ち度が無く保証はしない。

こういった内容なんですが、秘密の質問が破られているという点が特徴的です。

ブログ記事を公開する前にTwitterで被害情報をツイートしていたときには、ちょびリッチに秘密の質問の答えが問い合わせできるようなのでそちらを使ったのかと考えていました。

現在は変更されているようですが、当時は生年月日で秘密の質問の答えを問い合わせでき、なおかつ秘密の質問も変更できなかったようです。そのためYahooのアカウントを乗っ取られて登録してある個人情報を入手された場合は秘密の質問を問い合わせできた可能性がありました。

http://web.archive.org/web/20160918152057/https://chobirich.info/help/detail.php?a_id=89

https://chobirich.info/help/detail.php?a_id=89

まずはユーザー側のパスワード管理の落ち度からみていきましょう。

Yahooメールへの不正ログインはリスト型攻撃と思われるので、おそらく複数のパスワードを使い回していたと思われます。そのため、同じパスワードを利用していたどこかのサイトから流出したリストで攻撃されたために防げなかったんでしょうね。

次にちょびリッチ側のパスワードを過去に流出したものを使い続けていたというのが問題です。Yahooだけしか変更しなかったと考えられますね。

パスワードの管理をしっかりしておけば防げた攻撃ですが、これらの情報から攻撃側がどんな攻撃をしてきたかという推測するといくつか浮かび上がってくる点があります。

まず、違うパスワードでも破られたということから、リストの名寄せをしている可能性があります。Twitterの方でYahooからちょびリッチのログインまで時間は1分30秒しかかからなかったということからパスワードが違っていてもいいようにすぐに情報を取り出せる準備ができていたと考えられますね。

ここから秘密の質問の突破に関して考察していきますが、情報が少ないので結論は出ていません。少ない情報からある程度の推測ですので間違っていることもありますので始めに断っておきます。

・被害者が疑っていたちょびリッチのシステムへの侵入。

これは同様の被害が他に見つかっていない、Yahooも同時にログインされているといったことからちょびリッチのシステムが脆弱だった可能性は低いと考えています。

・パソコンやスマホのマルウェア感染。

他に同様の被害者がいないことから可能性は低いかなと考えています。この場合他のサイトの被害もおきてそうなんですよね。

・秘密の質問もパスワードと同時に流出。

Yahooの過去の情報流出では秘密の質問も流出した疑いのユーザーもいたので可能性はありますが、同じ質問とは限らない、秘密の質問の突破まで少し時間がかかっているということから少し違うかもと考えています。

・残っていたメールから推測された。

一番可能性が高いのはこれじゃないかと考えています。ちょびリッチを使っているのもメールを調べて使用しているサービスを割り出していると思われるので、秘密の質問の内容によっては答えもしくはヒントになるようなメールが残っていたかもしれません。

・他サイトに保存していたパスワードなどの情報から入手。

EvernoteやWebストレージサービスなどのサイトに保存しておいたものを入手された可能性ですが、パスワード管理ソフトも利用していないことからパスワードなどを保存していたんだろうかという疑問符がつくので少し可能性が低くなりますね。

・SNSアカウントを特定して公開されている情報から推測。

可能性は高くないとは思いますが、この情報収集をされると一番やっかいだなと考えた攻撃です。流出したメールアドレスや電話番号からSNSのアカウントを特定し、公開されているプロフィールや投稿から秘密の質問の答えを推測するという方法です。友達やフォローにならずにアカウントを特定して情報収集するだけなので気づかれにくく、メールアドレスや電話番号で知り合いとのつながりを増やそうとしている人ほど収集されやすいと考えられます。

とりあえず浮かんだ攻撃方法はこんなところですが、今回のようにメールアドレスが乗っ取られていた場合は秘密の質問を突破する方法が増えるのでパスワードの強化と管理が重要ですが、最後のSNSアカウントの特定に関していうとそれ以外の怖さがあります。

もしパスワードがわからなくても秘密の質問と少しの個人情報でパスワードが回避できた場合、SNSの公開情報から回避される危険性がありそうだなと。

例えば、Facebookのプロフィールから生年月日を確認して秘密の質問の好きな食べ物をInstagramやTwitterの画像からよく出てくるものから推測なんて攻撃が考えられそうです。こうなるとユーザー側にできることは非公開にするなど少なく、使い方に制限がかかってしまいます。

そのため、すべてのサイトにいえることですがユーザーではなくサイト側での対処が望ましく、秘密の質問の質問を簡単に調べられないようなものにしたり、秘密の質問を複数にしたりといった対策や秘密の質問をやめるといった事も考えた方がいい事態が近づいてきているのかもしれないですね。パスワードを名寄せするような相手だということを頭に入れておかないといけません。

最後に

このSNSで秘密の質問の答えを探すという話題は、こんな個人ブログで書かずにどこか正式なところから発表した方がいいんじゃないかとも思ったんですが、ツテが無いのと情報不足ではっきりしたことは言えないということからあきらめたんですが、有名な専門家あたりがサイト管理者にも目にとまるようにこんな危険性が考えられるから気をつけた方がいいと話題にした方がいいんじゃないかなと思ってます。

まっ、一介の素人なんで間違っててもおかしくは無いんですけどね。

2017年11月27日 (月)

Instagramにブラジルからの不正ログインが急増

Instagram_bra

「instagram OR インスタ 不正 ブラジル」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

少し落ち着いたようですが、ここのところInstagramでブラジルから不正ログインされそうになったとの投稿が増えています。原因まではわかりませんが、こちらのリポートにあるようにブラジルのIoT機器やルーターといったところが踏み台になっているのでは?と考えられますね。

10月度IoTサイバー脅威分析リポート | IoTサイバー脅威分析リポートリポート | Online Security
https://www.onlinesecurity.jp/iotsec_reports/2017/201711.html

8月度IoTサイバー脅威分析リポート | IoTサイバー脅威分析リポートリポート | Online Security
https://www.onlinesecurity.jp/iotsec_reports/2017/201709.html

IoT関係としては先日NHKスペシャルで放送されたのが話題になりましたが、次回のサイエンスZEROでも同様の内容をするようです。

NHKスペシャル | あなたの家電が狙われている~インターネットの新たな脅威~
http://www6.nhk.or.jp/special/detail/index.html?aid=20171126

サイエンスZERO「家電が狙われる!?新たなサイバー犯罪の脅威」 - NHK
http://www4.nhk.or.jp/zero/x/2017-12-03/31/15941/2136658/

2017年11月20日 (月)

北朝鮮からの不正ログイン

北朝鮮、サイバー攻撃に力も国内パソコンがウイルス大量感染 大使館は機密守れぬフリーメール使用(1/2ページ) - 産経ニュース
http://www.sankei.com/world/news/171120/wor1711200008-n1.html

こういう記事が出ていますが、以前から北朝鮮から不正ログインされたとの投稿は数は少ないもののいくつかあり、踏み台なのか直接やっているのかまでの判断がつかないといった状態だったりします。

記事の内容を割り引いたとしても多少は踏み台にされてる可能性は十分ありそうですよ。

«SMSの架空請求画面の見つけ方