2017年3月23日 (木)

Bリーグのスマホでチケット購入者にクレジットカード被害が発生?

Bl_card

数日前からバスケットボールのBリーグのファンの間でクレジットカードの不正利用が増えていて、東京ディズニーリゾートやユニバーサルスタジオジャパンの購入に使われたといった同じような被害ばかり。チケットぴあが原因でないかという話もあるんですが、それにしてはあまりにも偏ってる感じがするんですよね。専用で利用している人にも被害が出ているようですし。

公式では否定していますが、文面から不正ログインの調査をしたのかな?という感じですね。

GMOペイメントゲートウェイのように代行会社からの流出といったことがあったのかもと考えていますが、よくわからない状態です。

3/24 追記

クレジットカード情報を登録しただけで使っていないのに被害に遭ったとの話も出てきました。別ルートの流出も考えられますが、被害が同じなのでBリーグのサーバーでの流出の可能性が高くなったかなという感じがしますね。使用していないことからフォームの改ざんによる流出でなく保存されていたデータベースの流出の可能性が考えられます。

3/25 追記

クレジットカードでの決済を停止したとのメールが届いたとの話です。まだ原因はわかっていないようです。

「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせ - B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/21601.html

2017年3月22日 (水)

Skypeへの不正ログインでBaidoのリンクスパム

正確にはわからないですが、11月頃からSkypeへの不正ログインがあったとの話が数は少ないもののずっと続いていたんですが、この数日で大規模にあったようです。

Skype_baidu2017

「skype baido OR 不正 OR スパム」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

全部のアドレスを調べたわけではないですが、転送先は以前と同じ内容のようですね。マルウェアというより英語の詐欺サイトへの転送です。

Skype乗っ取りbaidu.comスパムメッセージ送信被害 怪しいサイト誘導 ( その他インターネット ) - 無題な濃いログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/fireflyframer/34373362.html

気になるのはパスワードを使い回していない人が何人もいるみたいなんですよね。

 

 

 

12月には窓の杜の記事でもパスワードを使い回していないのにSkypeを乗っ取られたとの記事もありました。

Skypeで勝手にスパムをばらまき!? もしもMicrosoftアカウントが乗っ取られたら - いまさら聞けない?Windows 10のTips - 窓の杜
http://forest.watch.impress.co.jp/docs/serial/win10tips/1033064.html

こちらの記事でもセキュリティソフトでも何も発見できずなぜ破られたのかが不明という事のようです。

いくつか仮説を立てて調べているんですが、使い回しをしていないぐらいしか情報がないためこちらも原因不明という状態です。

可能性としては、独自ルールのパスワード命名の規則性を複数の流出と名寄せから推測された場合やパスワード管理ソフトのファイルやパスワードを記述しているテキストファイルが流出しているというのを想定しています。

Cloudbleedのような問題も起こったわけでネット上に保管していたファイルが実は流出していたなんで事態も考えておかないといけないでしょうね。

環境によって原因を絞り込めるのかもしれないので、Skypeを使用しているのはパソコン・スマホ・両方か、どのようなソフト・アプリを利用して使っているのかといった情報で何か判明するかもしれないですが、情報が集まるような組織なりでないと判明しないかもしれないですね。

2017年3月 2日 (木)

日経社員の押切もえさんなどの不正ログインの手口

押切もえさんのメール盗み見た日経社員の手口 : 科学 : 読売新聞(YOMIURI ONLINE)
http://www.yomiuri.co.jp/science/goshinjyutsu/20161202-OYT8T50091.html

裁判傍聴芸人の阿曽山大噴火さんの傍聴リポートがラジオでありました。

報道では不明だったどうやってメールアドレスなどを入手したか検察側が話していたようです、まず大学院時代にSNSで女性名義のアカウントを作成してかわいい女性と知り合いになり連絡先を教えてもらうというところからメールアドレスや電話番号などを入手していたようです。それに誕生日などの個人情報からパスワードの推測ということのようですね。そのうち芸能人ともつながり、そこから連絡先などの他の芸能人などにも広がっていったようです。住所も知ったことから自宅や仕事場の近くにも行っていたとのことです。

今回の犯人はのぞき見目的でしたが、暴力的な人間だった場合は他の被害も考えられる状態のようですね。個人情報を預けているサービスはくれぐれも安易なパスワードにせず、できるなら二要素認証なども利用して不正ログインできないようにしておくのをおすすめします。

番組はRadikoタイムフリーで聞けるはずですので、該当地域の方やプレミアムの方で興味のある方はそちらで聞けるはずですよ。

http://radiko.jp/#!/timeshift

3/18 追記

週刊実話で裁判の様子が記事になっていました。

押切もえも被害に遭った元日経新聞社員の芸能接近手口 - 週刊実話
http://wjn.jp/article/detail/5192546/

3/24 追記

懲役2年6月、執行猶予4年(求刑懲役2年6月)との判決が出たようです。

日経元社員に有罪判決 女性タレントのメール・SNSのぞき見事件 東京地裁 - 産経ニュース
http://www.sankei.com/affairs/news/170324/afr1703240034-n1.html

2017年2月28日 (火)

アニメ「夢王国と眠れる100人の王子様 ショート」公式サイト改ざん

忙しいので誰かやるかとスルーしていたら誰もやっていないようなので少しだけ。

【重要】アニメ「夢王国と眠れる100人の王子様 ショート」公式サイト一時公開停止につきまして
http://www.yume-100.com/info/20170226.html

2月25日(金)15:00~2月26日(日)0:20に公開されておりました当サイトが、第三者による不正アクセスにより、悪意のあるプログラムに改ざんされていることが確認されました。

(中略)

現在確認されている事象として、当サイトへアクセスした際に不正なポップアップが掲出し、アップデートを促されるといった事象がございます。
サイトにアクセスされた可能性があるお客様におかれましては、まことにお手数ではありますが、お手持ちのセキュリティソフトを最新の状態にし、感染確認・駆除の実施をお願い申し上げます。

https://www.google.co.jp/interstitial?url=http://short.yume-100.com/
https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html?hl=ja#url=http://short.yume-100.com/

https://web.archive.org/web/20170224215915/http://short.yume-100.com/

閉鎖前で改ざん前の状態が残っていたので確認してみるとWordPressのようですね。何が表示されて何をインストールされそうになったかまでは調べられていないので、どの程度の脅威かまでは判断できません。

公式Twitterアカウントで公式サイトの発表をリンクしても怖くて見に行けないという人を何人か見かけましたので、Twitterで現在はアクセスできないようにしてあり発表は別の場所でやっているので大丈夫と書いておいた方が良さそうでしたね。

話によるとどうやらアニメ化が決定してサイトを公開してすぐに改ざんだったようで、アクセス数はそこそこあったかもしれないですね…

2017年2月22日 (水)

Googleへレンタルサーバーから不正ログイン

様子を見ていたところ複数の情報が集まってきたので間違いなさそうということで記事にしておきます。

199.38.234.85 199.38.234.21 199.38.234.59

すべてWANSecurity株式会社のようで、こちらのサービスでも使用してるんじゃないかと思われますね。

WANSEC: Hosting
http://www.wansec.com/jp/hosting

YouserAgentはばらけているようですが、東京の港区から不正ログインされそうになっていた場合はこちらのサーバーからの可能性がありそうです。

の陳述書の"wsf"ファイル付きメール

Mail_virus

画像ではスパム扱いになっていますが、受信した時点ではスパム扱いにはなっていませんでした。

Mail_virus2

添付ファイルの中身はこんな感じです。

PDF20170220.00003.zip
838850855e8453c85c8600020411164ac15c7bcd809e3ffdf6ca28c0d19f1a47

すでに検査されていて 10/57 との検出率のようですね。

https://www.virustotal.com/ja/file/838850855e8453c85c8600020411164ac15c7bcd809e3ffdf6ca28c0d19f1a47/analysis/

記事投稿後にWin10で停止していたカスペルスキーとWindows Defenderをカスペルスキーのみ再開してzipファイルを開いたところwsfファイルを開くことも出来ず検出されます。

の陳述書? 備品発注依頼書? 迷惑メールのwsfファイル開きウイルス感染被害 ( パソコン ) - 無題な濃いログ - Yahoo!ブログ
http://blogs.yahoo.co.jp/fireflyframer/34515710.html

2017年2月15日 (水)

国内からの不正ログイン元の調査中

2016年秋から国内からの不正ログインは犯罪目的の中華Proxyを利用しているというよりも踏み台を利用しているのではないかというぐらい地域や回線がバラバラで少ない情報を集めていたんですが、これ以上は個人では難しそうで多くの情報が集まるところで調べてもらった方がいいと思われるので途中経過と決定的な証拠のない推論を書いておきます。

2016年11月に書いた記事でIPアドレスからISPなどがバラバラなのが確認できます。

最近の国内からの不正ログインの特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/11/post-3592.html

この頃から踏み台を疑っていてIPアドレスを調べたいところでしたが中華Proxyでは短時間でIPアドレスが切り替わるため、こちらがSNSで情報を見つけてすぐにアクセスしても無関係な回線を調べてしまうおそれがあるため変なことができず、ブラウザでIPアドレスを入力してアクセスしてみて自宅Webサーバー公開されてそれが原因じゃないかという程度の調査をしていましたが、不正ログイン元として公開されていた国内のIPアドレス9つのうち4つでこのような表示がされました。

Airstation

国内でよく売れているBUFFALOのルーターへのWAN側からのログイン画面ですね。

想定ではパソコン、サーバー、NASあたりが踏み台の候補だったんですがちょっと想定外でした。

踏み台にされたと思われる人のツイートを見てみると、警察に押収されてマルウェアに感染が確認されたという人もいましたが、パソコン以外の可能性のあるものも見つかったりします。

ルーターを疑っているようなツイートがあるんですが、この少し前に悪代官さんのところの掲示板にもルーターのDNSを変更されているという相談がありました。

悪代官の伏魔殿掲示板
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=7100852#14988018

DNS1:107.191.61.70
DNS2:8.8.8.8

この値に書き換えられているという話で、1月にKasperskyから発表されたSwitcher Trojanとも違うんですよね。

Kaspersky Lab、Wi-Fiルーターを狙うAndroid向けトロイの木馬「Switcher Trojan」を発見 | カスペルスキー
http://www.kaspersky.co.jp/about/news/virus/2017/vir10012017

下記サイトではTP-Link製のルーターとの話ですが相談者はLogitec社製の「LAN-W301NR」と当てはまりません。

Wi-FiルーターをハッキングしてDNSを切り替えるトロイの木馬「Switcher」 – カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/switcher-trojan-attacks-routers/13538/

相談者と同じDNSに変更されたものだと悪名高いロジテックの機種で他にもあったようです。

iPhoneが勝手にリダイレクト?マルウェア?:ふじもりのトレンドあっぷでーと:So-netブログ
http://fuji35.blog.so-net.ne.jp/2016-08-16

iPhoneがリダイレクト型マルウェアに感染した話。 - MY SEASON
http://mickey6789.hatenablog.com/entry/2016/07/28/222958

BUFFALOのルーターを持っていないのでネットで調べた程度ですが、WAN側からのログインは初期設定でオフの設定のようですので元々設定が甘いものか何らかの方法で設定を変更された可能性があるのでは?VPN機能を悪用されているのでは?という疑いを持って調べていたんですが個人で情報を集めるのにそこまではなかなか難しいところです。

なにか決定的な証拠があるわけでもなく間違っているかもしれませんが、否定するだけの決定的な情報もないんじゃないかとも考えています。

ルーターのファームウェアを最新にしていてパスワードも初期状態から複雑なものに変更し、WEPやUPnPも使用していないから大丈夫かというと別の落とし穴も想定していて、数は少ないようですがいまだにリモートデスクトップの不正ログインを試みているようで、成功した場合にブラウザに保存されているパスワードからルーターの設定画面に入られて設定を変更されるというシナリオも想定しています。また、過去に変更されていたとしてもどれだけの人が気づけるのかという問題点もありますね。

踏み台などの不正アクセスなどでISP側から連絡する場合はパソコン以外のものも考慮して連絡しないと対処できないかもしれないと考えていますけどどうでしょうね。

2017年1月28日 (土)

メールの情報を盗んでウイルス添付メール?

自分のYahooメールから知らないうちに知り合いに添付ファイル付きで送られていたという被害があったようです。

この二人の話を総合するとログイン履歴無しで過去のやりとりしていた相手に添付メールが送られていると思われます。

Javaと書いてますがソースが表示されたということからJavascriptではないかと。となると現在ばらまかれているマルウェア添付メールの変形で、過去に不正ログインで収集した情報からなりすましてやりとりしたことがあるアカウントにメールを送信しているのではないかと考えられますね。

添付ファイルについては入手できていないのでどのようなものかわかりませんし、限られた人間にしか送っていないとなるとセキュリティソフトメーカーも検体の入手がどこまでできているか疑問があるのでセキュリティソフトが反応しない可能性もあります。

メールの情報を利用すつ似たような事例として不正ログインで収集した情報からUFJのフィッシングメールを送っていた例があったため、ついにマルウェア配布にも使われ出したかという感じです。

Amazonマーケットプレイスと三菱東京UFJのフィッシングメール: 独房の中
http://f36type.cocolog-nifty.com/blog/2014/10/amazonufj-32f6.html

過去に盗まれた情報でなりすましで送られているとなると悪用された側はこれ以上防ぎようはないですし、送られた側に添付を開かないようにと呼びかけるしかなさそうですね。

他に最近Skypeの乗っ取りも増えてきていて、リンクのメッセージが届いたとの話がいくつか見つかっています。

Baidoのリンクが送られてきている少し前にあった攻撃がまた起こっているのかと思っていましたが、エロサイトとか書いてあるので別件ぽいんですがアドレスを見つけられていないために確認できていません。

こちらも知り合いから変なアドレスが送られてきても開かないように注意してください。

1/29 追記

piyokangoさんの調べによると他の類似被害からメールソフトからのログイン履歴があったり知り合い以外からの届いたとのツイートもあったようです。忙しくてそこまで調べてる余裕がなかったので詳細までは調べ切れてない状態です…

 

 

2/ 6 追記

ヤフーメールの私のアドレスから、「付出し」というタイトルで迷惑メールが大量送信されているようです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13169864453

こちらの質問ではログイン履歴がないとのことですが、メールソフトログイン履歴までチェックしたのか不明です。

2017年1月26日 (木)

中国のVPN制限の誤解と不正ログインの現状

中国がネット規制回避のVPN全面禁止へ、中国在住日本人への影... - Record China
http://www.recordchina.co.jp/a161762.html

中国、ネット規制で“抜け道VPN”の監視体制強化 Google、Facebook、Twitterなどのアクセスが困難に? - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1701/23/news132.html

中国国内でVPNが禁止となり特定のサイトなどに接続できなくなるとの情報がでていますが、全面禁止されるとの誤解が多いようですね。中国に詳しい人たちからは訂正するような情報が出ています。

まとめられていました。

「中国がネット規制回避のVPN全面禁止へ」は本当か? - Togetterまとめ
https://togetter.com/li/1074409

こちらの音声で詳しく解説されていますが、元々許可制だったのが許可を取らないものが大量にあったのが原則に戻すということのようです。そのため許可を取れば以前と問題なく利用できるようです。

荒川強啓 デイ・キャッチ! | TBSラジオクラウド 「ニュースクリップ:中国」福島香織
https://radiocloud.jp/archive/dc/?content_id=13368

正規の使い方以外にも犯罪目的に使えると宣伝しているものも多数あったようで、2015年には月2000-5000円程度で中華Proxyを貸し出していたとの報道がありました。

中国に140超の代理店 不正アクセス摘発のサーバー業者  :日本経済新聞
http://www.nikkei.com/article/DGXLZO85853360Y5A410C1CC1000/

【中国】ネット不正:中国サーバー140業者「ハッキングOK」[2/10]©2ch.net
http://yomogi.2ch.net/test/read.cgi/news4plus/1423610398/1

今回の規制でこれら犯罪目的の中華Proxyの不正ログインに影響があったのかという点に注目しました。

VPN規制の発表のあった日は通常の4割程度の被害にあったとのSNSへの投稿しか見つからず、規制の効果があったように思えましたが、翌日には8割程度まで戻っています。アクセス元が書いてあったものをのせておきますが、裏で勧誘しているものは対象外なのかもしれないですね。

 

 

1/28 追記

許可をとるというのは全面ではとのコメントをいただきましたが、こちらの記事で中国のVPN事情が詳しく書かれています。

「中国がネット検閲回避のVPNを全面禁止」は誤報です | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
http://www.newsweekjapan.jp/stories/world/2017/01/vpn.php

【まだ使えてます】中国でのVPN規制強化のニュース!実情と今後の対策について考察 | 小龍茶館
http://xiaolongchakan.com/archives/%E3%80%90%E3%81%BE%E3%81%A0%E4%BD%BF%E3%81%88%E3%81%A6%E3%81%BE%E3%81%99%E3%80%91%E4%B8%AD%E5%9B%BD%E3%81%A7%E3%81%AEvpn%E8%A6%8F%E5%88%B6%E5%BC%B7%E5%8C%96%E3%81%AE%E3%83%8B%E3%83%A5%E3%83%BC.html

中国がネット規制回避の未認可VPN禁止、影響と対策は - Record China
http://www.recordchina.co.jp/a162179.html

個人でもこういった業者を使う以外に、家庭用のルーターのVPN機能を利用して自分用のVPNで突破している人もいるようです。

また、金盾がそれほど強力かというとちょっと疑問もあり、Twitterだとクライアントの変更で利用できたりしたようです。

1/29 追記

無料のレポートが公開されています。企業向けは許可されて個人向けは許可されていないってことを結構理解していない人が多かったようです。個人向けも許可していたら制限している意味が無いですからね。中国で募集していない海外のVPNもどこまで規制されるのかちょっと興味がありますけど。

 

2/3 追記

中国政府による“VPN規制強化”の実際と中国におけるVPNへのニーズの現状 -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/1042377.html

2/6 追記

中国VPN規制、国内の未許可業者対象か - NNA ASIA
http://www.nna.jp/articles/show/1567226

2017年1月19日 (木)

台湾から規模の大きいリスト型攻撃があった模様

この24時間で主にGoogleのアカウントが台湾からログインされそうになったとのツイートが急激に増えています。

Google_taiwan

「google OR gmail 不正 台湾」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

他にもFacebookでも台湾からという話も見つかりますので、今までより台湾から規模の大きなリスト型攻撃があったと考えられますね。

これと対照的に国内からの不正ログインとYahooへの不正ログインが数が減っていると思われるので、台湾の中華Proxyを利用した攻撃の可能性が高そうです。

これとは別に、前日はMicrosoftアカウントへロシアからやInstagramへウクライナからといったものも数は少ないものの特徴的にありました。今までの傾向からメールへのロシアからの不正ログインはゲーム関係のサイトから流失したリストを使ったゲームのアカウント狙いの攻撃が大半で、SteamやOriginといったサイトへメールから狙っている可能性があります。Instagramへはアカウント乗っ取り、アイコンやプロフィールの変更で他のサイトに誘導するスパムアカウントに変更してしまう攻撃の可能性が考えられます。

«pixivの不正ログインが継続中?