友人からお知らせをいただきまして、その昔セキュリティなんて気にしてなかった頃に登録したmixi。まさか自分にふりかかるとは思ってなかったのでメモ。昔に設定したパスワードも変更していなかったからか、どこかから漏れた昔のパスワードが使われて不正ログインされていた。
状況
先日トップにあるようなメッセージの画像と一緒に友人からやっちまってるよのお知らせをいただきまして、その後メールを確認すると、あるではないですか不正ログインの足跡が。
他のアクティブユーザーが多いSNSだといつもと違う場所からのログインは別途認証が必要だったりアカウントロックされたりするもんだが、mixiはもうSNSの体をなしていない腐った死体なのだろう。ちなみに不正ログイン後もとのパスワードでログインはできた。(自分自身のログインも日本ではないログインだったが普段とは違うログインでしたの通知は来なかった)
手がかりは:
- IPアドレス
- 利用環境 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
- メッセージで送られた短縮化されたURL
これらをできる限り調べてみると、、、
- IPアドレス
これは必ずしも犯人が実際の場所で使用しているIPアドレスではない。少なくとも台湾のローカルISPから提供されているインターネットの回線を通してアクセスをされている、というだけのこと。ただ実際にアドレスを調べるとなにかわかるかも。山奥だけど。
- 利用環境 Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Windows NT 6.1 => Windows 7/Windows Server 2008 R2
MSIE 9.0 => Internet Explorer 9.0
こんな環境のやつ本当にいるのか? ゲットしたログイン情報を仮想クソ環境から総当たり自動で試しているのか。このメッセージが送られた時間とmixiからの不正ログイン通知の時間が同じだったので、ログインされたら自動でマイミクにフィッシング用URL付きメッセージが送信されるスクリプトを走らせているのだと思う。
- メッセージで送られた短縮化されたURL bitlyの2M8VNHK
URLを踏まずにそのおおもとURLを調べられるサイトでbitly URLを展開すると以下のURLが ↓
スパマーは誰なのか
どうやらチャイナ奥地の地方都市を所有者連絡先として、チャイナのレジストラを通して登録されたドメイン名らしい。5月後半から施行されたGDPR (EU一般データ保護規則: ヨーロッパ人のウェブ上のプライバシー保護を厳重にするためのルール)により、ヨーロッパに関係ないドメイン名でもWhoisの公開情報のほとんどが隠されている状態なので、現状上にあるような場所やドメイン作成日(このドメインはわずか数日前に作成されていた)、使用レジストラの情報しかわからない状態。
GDPR前に被害にあっている人もいたようなので、Whoisで確認できる都市の情報でぐぐってみると、犯人っぽい人物の名前や住所の詳細が出てくるので暇な人はどうぞ。通常ドメイン名登録に際してはレジストラからメールアドレスの承認や実際に存在する自分の住所を使うことなどICANNという上位組織からお達しがでていて、その連絡先確認をサービス内に組み込んでいるドメイン登録業者が多いのだが、実際には偽の情報を使って作成できるところもある。
そういうときはドメイン名が登録されているレジストラにabuse(迷惑行為)として問い合わせを出してそのドメイン名使用を一時停止にしてもらうしかない。おそらくこいつはチャイナ内複数のレジストラでドメイン名を取りまくってフィッシングサイトを立てているんだろう。ちなみにこのサイトのホスティングされているサーバーのIP アドレスは台湾の南のほうだった。
おそらく似たようなドメイン名だったり、同じレジストラで同様の仮住所を使って登録している場合もある、それにGDPR前のWhois情報には所有者のメールアドレスも公開されていたので、本人特定する気力があって、しかもマンダリンで情報を探索できる人は頑張ればある程度絞り込めるかもしれない。
スパマーはどうやってアカウント乗っ取りをしているのか
… これはわからない。犯人集団お手製のスクリプトがあって、ある日本人が昔に作成したパスワードを暗号化せずにそのままデータベースに保存するようなマヌケなサイトに登録したわたしのようなマヌケな人たちの登録情報が抜かれて、フィッシングサイトをばらまけるようなメッセージ機能のあるサイトを総当たりしているのかもしれない。
mixiは大当たりだったようで、昔のお友達の多くがゾンビのように蘇ったろう。まぁだが誰もいない荒野に放たれた手紙を誰が読むのかという話でもあるが、リテラシーがない人は怪しがっていても好奇心に勝てずURLをクリックしてしまうのだろう。フィッシングサイトであるだけならまだしも、URLクリック後強制的にウィルス付きのファイルをダウンロードさせられるスクリプトが仕込まれている可能性もあるし、皆さん気をつけてほしい。
パスワードはどこで漏れたのか?
これもわからん。上に書いたように10年以上前に簡単にパスワードにソルト、ペッパー追加してハッシュ化して格納するモジュールも何もなかった、あるいは情報を取りに行くには全て英語でお手製のものしかなかった、Open sourceって何、みたいな時代に趣味で作ったログインが必要なサイトやその他レガシーなサイトがゾンビ化してクソ野郎どもに片っ端からクラッキングされて、ダークウェブでそういった情報が売られているのだろう。ナンマンダブ。
パスワードは大文字小文字数字特殊文字を使って複雑に(これを必須としてない意識低いウェブサイトに登録するときはパスワード破られる可能性もあると思ったほうがいいんじゃない)、使いまわしせず、焼け石に水だがありとあらゆるアカウントで使用可能であれば二段階、三段階認証をかけとくようにしましょう。
あと、「パスワードをどう保存しているかの明記」をサイト上で義務付ける法案も通してほしいものです、と常日頃から思っている。ちなみに、自分が今作っているサイトでは flask_bcrypt というモジュールを使ってパスワードをハッシュ化してデータベースに保存するようにしているのだがそれはまた別の話。
コメント