2018年4月20日 (金)

小ネタ集

1

ここのところEpic GamesがSteamの水準並みに不正ログインが増えているようです。

二段階サインインという機能があるようですから有効にすると不正ログインされにくくなります。

Epic Games | アカウントセキュリティ情報
http://fortnitehelp.epicgames.com/customer/ja/portal/articles/2921261-アカウントセキュリティ情報

2

サイトが書いてないものの不正ログインされそうになったとの攻撃元のIPアドレスが書いてあったのでブラウザで接続してみるとこんな画面が。どっかの会社が踏み台にされてるんでしょうかね…

Allied_telesis

Allied_telesis2

2018年4月14日 (土)

またQNAPが踏み台?

Googleへの不正ログインのアクセス元のIPアドレスが公開されていたツイートがあったのでブラウザでアクセスしてみると、こんな画面が表示されました。

Qnap

右上のHOMEのアイコンを押すと

Qnap2

ちゃんと管理できていないNASは周りにも迷惑をかけてしまうのでしっかり管理しないといけないんですよね。

また、TS-119は古い機種で脆弱性情報もいくつもあります。そちらの対策もできていたのか気になりますね…

で、こういうのを見つけた場合はどこに通報すればいいんでしょうね。以前ISPに通報したときは不正アクセスの被害者以外は受け付けないとのことで通報しないことにしてるんですけど。

2018年4月13日 (金)

Evernoteに香港からの不正ログインが急増中

3月末頃からEvernoteへの不正ログインがあったとのツイートが目立っています。

Evernote

ほとんどが香港からログインされたということで、こちらのブログだけルクセンブルクとなっています。

Evernote アカウントに新しいログインがありました!ルクセンブルクから不正アクセス | バンコクでのタイ語留学奮闘記!?頑張れ日本人代表♪
http://warashibe76.com/unauthorized-access-to-evernote-account-from-luxembourg/

これといった具体的な被害という情報もありませんが、何か情報収集として不正ログインをしている可能性がありますので注意が必要です。もしパスワードの一覧や機密情報などを保存していたとすれば盗み見られる危険性があるため要注意です。

対策としては、パスワードの使い回しをしないといった方法に2段階認証も設定できるのでそちらを利用すればかなり安全になります。

2 段階認証を設定する方法 – Evernote ヘルプ&参考情報
https://help.evernote.com/hc/ja/articles/208314238-2-%E6%AE%B5%E9%9A%8E%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95

また、他のサイトでもパスワードの使い回しをしているとそちらに不正ログインされるかもしれないので、不正ログインに利用された同じパスワードを利用しているサイトはすべて変更するなどの対策が必要になります。

2018年4月12日 (木)

ポイントサイトの不正ログインでビットコインに交換

不正ログインされポイントを盗まれました | 貧乏主婦の節約プチ稼ぎ日記♡
https://ameblo.jp/maaburu1110/entry-12367566654.html

被害に遭った方のブログによると、Yahooメールに不正ログインされ残っていたメールから使っていたサイトを調べられ、金銭に換えられそうなポイントサイトに貯まっていたポイントをビットコインとAmazonギフト券に変えられたということのようです。

使い回してなくても1箇所サイトが破られれば他のサイトもパスワード変更されてログインされてしまいます。
私はげん玉とPeXは違うパスワードで登録していましたが、
メールの受信履歴から個人情報を盗み出し、PeXのパスワードをげん玉と同じパスワードに変更して
不正ログインし、秘密の質問も個人情報を利用して問い合わせし、
それでポイントを交換したものと推測されます。
メールサーバーのゴミ箱が完全に空にされていて、証拠となるものが全て消されていたため
憶測でしかありませんが・・・。

おそらくYahooのパスワードは使い回していたもので、ポイントサイトは使い回していなかったがメールを乗っ取られているのでパスワードの変更などで次々と不正ログインされていったと考えられますね。

以前はAmazonギフト券に変換する被害が多かったのですが、今回はビットコインと言うことで仕組みを調べてみるとbitFlyerに口座を作成しないと交換できないということのようです。

げん玉からビットコインに変換し、手に入れる方法
http://inter4685.sakura.ne.jp/pointsite/Bitcoin/bitFlyer/gendama-bitflyer-ex.html

では、そのbitFlyerの口座はどうしたのかというのが気になりますが、bitFlyerのログイン画面でYahoo!IDでアカウントが作成できるようなので、乗っ取ったYahooのアカウントで口座を作成してどこかに送金した可能性があります。

アカウント作成 【bitFlyer】
https://bitflyer.com/ja-jp/AccountCreate

こういったことがあるために、メールアカウントは厳重に守らないと被害が拡大するということが広く知られるといいんですけどね…

追記

Yahoo知恵袋にて知らないbitFlyerのアカウント作成のメールが届いたとの相談があるので、この人もポイントサイトで同じような被害に遭っているか、他のポイントサイトの被害用に第三者のアカウントで作成している可能性がありますね。

登録してもいないのにビットコインからメールが来ました。先ほど、... - Yahoo!知恵袋
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13188898073

2018年3月29日 (木)

2016年のルーターのDNS改ざん被害と近い?

ニュースになって話題になっているルーターのDNS改ざんの話ですが、2016年にも同じような被害があったのを指摘している人がいないような気がするので一応書いておきます。

自分のブログでも過去に少し触れているんですが、再度知らなかったり忘れている人向けですね。

この時の具体的な被害はルーターのDNSを変更されていて他のサイトに飛ばされるという被害です。

国内からの不正ログイン元の調査中: 独房の中
http://f36type.cocolog-nifty.com/blog/2017/02/post-8f5d.html

http://akudaikan-0.bbs.fc2.com/?act=reply&tid=7100852#14988372

iPhoneがリダイレクト型マルウェアに感染した話。 - MY SEASON
http://mickey6789.hatenablog.com/entry/2016/07/28/222958

この時はロジテックのルーターで脆弱性が原因じゃないかと疑われていましたが、今回は脆弱性も疑わしいですがWAN側からログインできた可能性があり、パスワードを初期状態から変えていなかったか辞書型攻撃で破られるような単純なものだった可能性があります。

この時と同じような被害で同一人物による攻撃と言うことも考えられますが、どちらも情報が少なくてよくわからないというのが実際のところだと思います。

2018年2月13日 (火)

偽ショッピングサイトの転送ページに小説家になろうのソースが

いま話題のマンガの海賊版サイト、その中でも閲覧ではなくダウンロードするタイプを調査していると検索エンジンに関係のないのバッグのショッピングサイトがいくつか引っかかるのが気になり調べてみました。

Pangea2

検索結果からたどるとこのような画面になり51.laの中華系のアクセス解析を利用したりTLSで暗号化されていなかったりと、以前に偽ショッピングサイトを調査したときとあまり変わらない作りの偽ショッピングサイトへと転送されるようです。

ソースを確認しても漫画のタイトルなどは含まれておらず、検索ともサイト名が違うために転送元のキャッシュを表示してみるとこのような画面が表示されます。

Pangea1

どうも小説家になろうあたりからソースをそのまま転送用のページに利用しているのか同じ内容のサイトを改ざんされたと思われるページがいくつも検索結果に表示されていますね。しかも同じないようで、下記の小説がそのまま転載されているようです。

ダンジョン喫茶 ~現代知識と聖女の奇跡で異世界人のお悩み解決します~ - 第2話『大金のアテ』
https://ncode.syosetu.com/n2563en/9/

そこで「ダンジョン喫茶 ~現代知識と聖女の奇跡で異世界人のお悩み解決します~ bag」でGoogleやYahooで検索してみると検索結果にいくつか表示されるようですね。bingだと表示されないようですが…

こういった検索結果から偽ショッピングサイトへ誘導されるかもしれないので注意した方がいいですね。

2018年2月12日 (月)

BHR-4GRV2に不正アクセス

年末から色々と立て込んでいて情報収集が遅れ気味でブログも更新できない状態ですが、ちょっと気になる投稿を見つけました。

https://www.facebook.com/permalink.php?id=100003484822086&story_fbid=1439805429478937

2018年2月2日の朝に発見。特長的なのは有線LANルーターの隠れ機能らしきブリッジモード。私は暗号装置のハードの仕事をしているのでセキュリティには詳しいほうですが、ネットワークセキュリティは、それほどでもなくて、最初、まさかこんなことができるのかと驚きました。不正アクセス者から、学ばせてもらいました。

(中略)

不正アクセスの方法はBUFFALOの有線LANルーターBHR-4GRV2を、ブリッジモードにして、WAN側のネットワークからLAN側に侵入するというもの。

このアカウントの人物は暗号関係の仕事をしているらしくセキュリティ関係は素人というわけではなさそうと思われるんですが、ルーターの脆弱性でも放置していたのかなという感じですね。調べてみるとこの機種はファームウェアで過去に2度脆弱性の修正がおこなわれているので、修正していないとすればそちらの可能性がありますね。

クロスサイトスクリプティング(XSS)の脆弱性 2014/10/30
http://buffalo.jp/support_s/s20141030_2.html

一部のネットワーク製品におけるOSコマンドインジェクションの脆弱性 2015/2/2
http://buffalo.jp/support_s/s20150202.html

情報不足でこれ以上はわかりませんが、出回っているルーターのどれぐらいが攻撃対象になっているのかという事は気になります。TwitterやFacebookなどで国内IPアドレスからのレイバンスパムが大量にありますので…

追記

OSコマンドインジェクションがWAN側からはできないようなので複合的な要因かなと考えていたんですが、価格comの掲示板によると複数のPPPoEを設定しているとWAN側からログイン画面が表示できるバグがあるようで、単純なパスワードだとログインされてしまっていたかもしれないと考えられそうです。

http://bbs.kakaku.com/bbs/K0000658934/SortID=20622666/

気になるのが日付で、ファームウェアの最後の更新と掲示板でこの話がされているのがほぼ同時期です。PPPoEの接続先を複数登録した場合の修正が最後のファームウェアの更新であるのでこの時こっそりと修正されていたことも考えられますが、話題になって数日後だとどうだろうかという疑問も残りますね。

http://buffalo.jp/download/driver/lan/bhr-4grv2_fw-win.html

2018年1月31日 (水)

ネットでの誹謗中傷や爆破予告などについて

 

DeNAベイスターズの井納投手が提訴したとフライデーに載ったことで話題になっています。フライデーは読んでいませんがこちらの記事が詳しいので要約します。

DeNA井納投手の「嫁酷評」提訴で注目 「選手の奥さん叩き」掲示板のエグい内容 : J-CASTニュース
https://www.j-cast.com/2018/01/29319829.html

横浜DeNA井納投手が中傷ネットユーザーを訴訟。「批判」と「悪口」は全然違う - wezzy|ウェジー
http://wezz-y.com/archives/51881

フライデーの記事の内容は掲示板に書き込んだ女性からの情報に基づくもの。

書き込まれていたのは「2ちゃんねる」ではなく「野球界の噂」という掲示板。

この掲示板ではいろいろな選手の家族への誹謗中傷が日常的に行われていた。

3年ほど前に誹謗中傷されていることをしり、弁護士に相談していったん書き込みがなくなった。

2017年7月にこの掲示板にアップロードされた写真を見て提訴された女性が書き込み。

情報開示請求をしたところ書き込んだ女性から弁護士に連絡があった。

12月中旬に訴状が届き1月中旬に第1回口頭弁論の呼び出し状が届いたとのことで記事は裁判前の話?

こういった流れのようです。この事件でも攻撃していい人を決めて集団で悪口を言うという流れのようなんですよね。2つめのリンクで上坂すみれさんの事件にも触れていますが、逮捕されたときの話と裁判の話で事件の内容が少し違います。

逮捕時の記事

声優の上坂すみれさんに殺害予告、容疑で山形の20歳男を逮捕 - 産経ニュース
http://www.sankei.com/affairs/news/170719/afr1707190012-n1.html

声優・上坂すみれ、度重なる脅迫や嫌がらせで所属事務所が声明 「上坂本人も事務所も活動に支障」 - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1707/19/news146.html

この時には過激なファンによる殺害予告じゃないかと考えられていましたが、1月22日の初公判の話を阿曽山大噴火さんがラジオで話していました。

学校のストレスがたまると2ちゃんねるに書き込み、反応を見ることでストレス発散をしていた。上坂さんのスレッドで殺害予告を書き込むことで反応が見たかったとの動機だったようです。自分の携帯電話からIPアドレスの偽装もせずに書き込んでいたようです。結局逮捕で学校を自主退学という事になったようです。

上坂さんには以前から色々とやられていたので、自分もやっても構わないと思ったのかもしれないんですよね。スマイリーキクチさんや唐澤貴洋弁護士へも集団ですので同じ事が繰り返し起こっている感じがします。

集団で誹謗中傷ではないですが、爆破予告ではこんなのもありました。

スカイツリー爆破予告容疑の男を逮捕「就活でいらいらして…」 - 芸能社会 - SANSPO.COM(サンスポ)
http://www.sanspo.com/geino/news/20170621/tro17062115470008-n1.html

こちらは逮捕時の報道と11月にあった裁判での話がちょっと違っています。こちらも阿曽山大噴火さんのラジオでの話です。

スカイツリーだけでなく茨城県内の高校にも爆破予告のメールを送信で起訴されている。

スカイツリーの爆破予告のメールの最後に「しぇしぇしぇのしぇー」と書き込んでいた。

無職の被告人が車の普通免許の試験に数十回落ちていて、父親に出会い系サイトばかりやっているからだと携帯電話を取り上げられたストレスから以前使っていた古い携帯電話を取りだしてGmailを取得して脅迫メールを送信した。

裁判ではこういった内容で逮捕されたときには就活のストレスだったのが携帯電話を取り上げられたことになっていたりと変わることが少なくないので、できれば大手マスコミにも裁判まで取材して欲しいところなんですけどね。情報が修正されることなく広まってしまうこともありますので。

2017年12月22日 (金)

帰省中にやるかもしれないこと備忘録

帰省で親や親戚などのPC・スマホなどの設定を確認する可能性があるので気をつけるべきものを備忘録に。

OSやOfficeのアップデート
Adobe ReaderやFlashのアップデート
セキュリティソフトの状態

数式エディター 3.0 を無効にする方法
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0
Office2007未満用 効果は不明

ルーター
ファームウェアが最新か
設定画面のパスワードが初期設定以外になっているか
DNSやVPNの設定などが変更されていないか
スマホで無線LANのWEPや混んでるチャンネルを使用していないか
パソコンのみや有線のみでしかファームウェアが更新できず、年数が経っている場合は買い替えも検討

IoT
どの機器が繋がっているか
ファームウェアが最新か
パスワードが初期設定以外になっているか

KRACKs
ルーターで中継機能を使っている場合はファームウェアが最新で対応しているか
Windowsはアップデートをしていれば大丈夫
MacOSはHigh Sierra 10.13.1、Sierra 2017-001、El Capitan 2017-004以降
iOSはiPhone7以降は11.1以降で修正、iPhone5s,iPad mini2以降は11.2以降
Androidは2017-11-06以降
無い場合はVPNも選択肢に
https://en.wikipedia.org/wiki/KRACK
https://pc.watch.impress.co.jp/docs/news/1095897.html

Intel Management Engine
マザーボードのファームウェアが最新か
ショップブランドのPCの場合はマザーボードを特定する作業も
脆弱性の有無の確認用プログラム
Intel® Management Engine Critical Firmware Update (Intel-SA-00086)
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Intelの内蔵グラフィックス用ドライバに特権昇格の脆弱性
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00095&languageid=en-fr
CPUの型番で検索
https://www.intel.co.jp/content/www/jp/ja/support.html

Synapticsのドライバにキーロガー
https://support.hp.com/jp-ja/document/c05831271
HP以外もあるかもしれないので他メーカーも要確認

BlueBorne
https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html
iOS10以降影響なし
Android 2017/11以降
Androidのチェックアプリ
BlueBorne Vulnerability Scanner by Armis
https://play.google.com/store/apps/details?id=com.armis.blueborne_detector
更新が無くBluetoothを使っていない場合は使用しない設定も

バックアップ
パソコンとスマホ、デジカメ等のデータをバックアップしているか

パスワード
パスワードの使い回しをしていないか、推測されやすいものを利用していないか

12/25 追記

SMBv1を無効化
http://www.atmarkit.co.jp/ait/articles/1705/17/news043_3.html

2017年12月15日 (金)

ワンクリックウェア業者もVPN使用

「家で荷受け」バイト持ちかけスマホ詐取の疑い、男逮捕:朝日新聞デジタル
http://www.asahi.com/articles/ASKDG6HZPKDGUTIL053.html

VPNで発信元隠す スマホ詐取容疑で男ら逮捕 警視庁  :日本経済新聞
https://www.nikkei.com/article/DGXMZO24673860V11C17A2CC0000/

スマホを荷受けでだまし取る犯罪でVPN Gateを使っていたとのことですが、2010年頃にパソコン向けのワンクリックウェアをやっていたところでstatic.zoot.jpを使用していたのを確認しています。しかも逮捕されていないグループで。

マイIPはどこでも固定IP環境を実現します - INTERLINK
https://www.interlink.or.jp/service/myip/

こちらはインターリンクのマイIP ソフトイーサ版と思われ、外部サイトにアクセスするときはこのようなサービスを使っていたと思われます。これ以外にもホスト名の引けず余計な情報が出ない匿名Proxyを使っていたりと直接のIPアドレスを知られないような細工は当時からしていましたね。かえって目立ってたんですけどね…

サーバーを公開していただけで外部との接点がないはずなのになぜ知ってるかというと、悪質化しないように圧力をかけ続けていたので向こうからアクセスに来るようなことをやっていたもので…

«メール乗っ取りからの仮想通貨による被害