« メールの情報を盗んでウイルス添付メール? | トップページ | の陳述書の"wsf"ファイル付きメール »

2017年2月15日 (水)

国内からの不正ログイン元の調査中

2016年秋から国内からの不正ログインは犯罪目的の中華Proxyを利用しているというよりも踏み台を利用しているのではないかというぐらい地域や回線がバラバラで少ない情報を集めていたんですが、これ以上は個人では難しそうで多くの情報が集まるところで調べてもらった方がいいと思われるので途中経過と決定的な証拠のない推論を書いておきます。

2016年11月に書いた記事でIPアドレスからISPなどがバラバラなのが確認できます。

最近の国内からの不正ログインの特徴: 独房の中
http://f36type.cocolog-nifty.com/blog/2016/11/post-3592.html

この頃から踏み台を疑っていてIPアドレスを調べたいところでしたが中華Proxyでは短時間でIPアドレスが切り替わるため、こちらがSNSで情報を見つけてすぐにアクセスしても無関係な回線を調べてしまうおそれがあるため変なことができず、ブラウザでIPアドレスを入力してアクセスしてみて自宅Webサーバー公開されてそれが原因じゃないかという程度の調査をしていましたが、不正ログイン元として公開されていた国内のIPアドレス9つのうち4つでこのような表示がされました。

Airstation

国内でよく売れているBUFFALOのルーターへのWAN側からのログイン画面ですね。

想定ではパソコン、サーバー、NASあたりが踏み台の候補だったんですがちょっと想定外でした。

踏み台にされたと思われる人のツイートを見てみると、警察に押収されてマルウェアに感染が確認されたという人もいましたが、パソコン以外の可能性のあるものも見つかったりします。

ルーターを疑っているようなツイートがあるんですが、この少し前に悪代官さんのところの掲示板にもルーターのDNSを変更されているという相談がありました。

悪代官の伏魔殿掲示板
http://akudaikan-0.bbs.fc2.com/?act=reply&tid=7100852#14988018

DNS1:107.191.61.70
DNS2:8.8.8.8

この値に書き換えられているという話で、1月にKasperskyから発表されたSwitcher Trojanとも違うんですよね。

Kaspersky Lab、Wi-Fiルーターを狙うAndroid向けトロイの木馬「Switcher Trojan」を発見 | カスペルスキー
http://www.kaspersky.co.jp/about/news/virus/2017/vir10012017

下記サイトではTP-Link製のルーターとの話ですが相談者はLogitec社製の「LAN-W301NR」と当てはまりません。

Wi-FiルーターをハッキングしてDNSを切り替えるトロイの木馬「Switcher」 – カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/switcher-trojan-attacks-routers/13538/

相談者と同じDNSに変更されたものだと悪名高いロジテックの機種で他にもあったようです。

iPhoneが勝手にリダイレクト?マルウェア?:ふじもりのトレンドあっぷでーと:So-netブログ
http://fuji35.blog.so-net.ne.jp/2016-08-16

iPhoneがリダイレクト型マルウェアに感染した話。 - MY SEASON
http://mickey6789.hatenablog.com/entry/2016/07/28/222958

BUFFALOのルーターを持っていないのでネットで調べた程度ですが、WAN側からのログインは初期設定でオフの設定のようですので元々設定が甘いものか何らかの方法で設定を変更された可能性があるのでは?VPN機能を悪用されているのでは?という疑いを持って調べていたんですが個人で情報を集めるのにそこまではなかなか難しいところです。

なにか決定的な証拠があるわけでもなく間違っているかもしれませんが、否定するだけの決定的な情報もないんじゃないかとも考えています。

ルーターのファームウェアを最新にしていてパスワードも初期状態から複雑なものに変更し、WEPやUPnPも使用していないから大丈夫かというと別の落とし穴も想定していて、数は少ないようですがいまだにリモートデスクトップの不正ログインを試みているようで、成功した場合にブラウザに保存されているパスワードからルーターの設定画面に入られて設定を変更されるというシナリオも想定しています。また、過去に変更されていたとしてもどれだけの人が気づけるのかという問題点もありますね。

踏み台などの不正アクセスなどでISP側から連絡する場合はパソコン以外のものも考慮して連絡しないと対処できないかもしれないと考えていますけどどうでしょうね。

« メールの情報を盗んでウイルス添付メール? | トップページ | の陳述書の"wsf"ファイル付きメール »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« メールの情報を盗んでウイルス添付メール? | トップページ | の陳述書の"wsf"ファイル付きメール »