UJP - 事故被害者記録カテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 事故被害者記録 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 事故被害者記録カテゴリのエントリ

 GMOペパボのカラーミーショップでのみ使っていたメールアドレスにフィッシングメールが来た件で,その後,緩く調査していたら店子の「MOUMANTAIオンライショップ」の運用ブログに記載がありました.

「カラーミーショップ」の情報流出について
http://mmt-blog.jugem.jp/?eid=1864



引用:
当店ご利用のお客様情報の流出(カード番号・カード有効期限・カード名義人名・セキュリティコード)はないと報告を受けております。

 ここでもメールアドレスについては情報漏洩があるとも無いとも書かれていませんね.もっと言うと氏名,住所も.
 (少なくとも現在の)カラーミーショップでは配送に関わる情報を持っているようなので,購入時の配送先として私の名前や住所,電話番号は登録されていて不思議は無いですが,2010年ごろに購入したiPhoneは香港から送られてきたので,別の業者に連絡先を委託していたとしても,これも違和感がない.

 とりあえず,カラーミーショップにネットショップを利用した購入者のメアドの流出の有無を問い合わせてみた.
 iPhone 3GSを買った時やPhone 4が初期不良だった件でiPhone 4を買った香港の無問題(moumantai)というショップでのみ利用していたメアドに,今回初めてフィッシングメールが来ました.


 メールの本文は,よくあるフィッシングメールで,誘導先のURLは既にテイクダウンされていました.
 メールヘッダを確認してみます.

...続きを読む

ブラザーオンライン その3

カテゴリ : 
セキュリティ » 事故被害者記録
ブロガー : 
ujpblog 2022/5/19 1:29
 ゴールデンウィーク明けに報告のあったブラザーオンラインの不正ログインの件について追加のメールが来ました.

「ブラザーオンライン」における不正ログインの調査結果および対策 サービス再開時期についてのお知らせ
https://www.brother.co.jp/notice/220516-bol/index.aspx

引用:
原因

外部の専門機関の協力を得て調査を行った結果、第三者がブラザー以外から不正に入手したID(メールアドレス)とパスワードの組み合わせリストを利用した、不正プログラムによる「リスト型攻撃(リスト型アカウントハッキング)」と判断しました。

調査結果について

1.第三者に対し、ブラザーの管理システム(サーバー)からお客様のログイン情報(メールアドレスおよびパスワード)は漏えいしていないことが確認されました。
2.第三者に対し、ブラザーの管理システム(サーバー)からお客様の登録情報(お名前、ご住所、お電話番号など)は漏えいしていないことが確認されました。
3.不正と判断されるアクセスが集中した時間に不正プログラムが使用されたことが確認されました。なお、不正プログラムによるお客様の登録情報は漏えいしていないことが確認されました。

 リスト型攻撃ということだけれど,「ブラザーの管理システムから漏洩してない」と言い切れることがすごいね.ちゃんと裏付けがあるのだろう.

 しかし利用者は金銭的な被害にあっている.

引用:
1.不正ポイント交換が行われたと推測されるアカウント数:最大683件
2.換算金額:最大404,900円相当
3.不正ログインが行われたと推測されるアカウント数:最大126,676件

 ブラザーの管理するシステムからの漏洩では無く,パスワード使い回ししている利用者の管理責任とも言えるけれど,ブラザーの対応はこうしたようだ.

引用:
  • ブラザーホームページに状況を掲載したうえで、ブラザーオンラインの全会員に対し経緯のご説明とお詫びをするとともに、ブラザーの対応についてご報告しました。
  • 本件に関する専用お問い合わせ窓口を用意し、お問い合わせに対して個別に対応しました。
    不正ログインが行われたと推測されるアカウントおよびトク刷るポイントを保有する全アカウントのパスワードを初期化しました。パスワードの再設定方法につきましては、5月18日のブラザーオンラインのサービス再開時にメールでご連絡いたします。
  • 不正に利用された可能性のある「トク刷るポイント」(683件、404,900ポイント)を再発行しました。なお、「トク刷るポイント」から換金性の高い他社ポイントへの交換サービスにつきましては、追加のセキュリティ対策を検討しています。ポイント交換時におけるより強固なセキュリティ対策が完了するまで、他社ポイントへの交換受付を全面停止させていただいております。ご迷惑をおかけしますが、何とぞご了承下さいますようお願い致します。

  •  「ポイントを再発行」というのは利用された分を補填したということだろうけど,ブラザーは悪くないのに補填しているのが腑に落ちない.被害額が40万円程度だからかなぁ.
     調査や対策,これからの不正ログイン検知などの総コストで考えると40万円相当は少ないとは思うけれど,被害にあってない私のパスワードもリセットされているからパスワード変更処理が面倒だな.

     で,パスワードを再設定しようとして気づいた点が2つ.

    ...続きを読む

    ブラザーオンライン その2

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2022/5/12 0:48
     ブラザーオンライン不正アクセスの可能性についての続報.

    「ブラザーオンライン」に不正ログイン 最大12万件の個人情報・40万円相当のポイント流出した可能性
    https://www.itmedia.co.jp/news/articles/2205/11/news172.html

    引用:
    最大683件で、独自のポイント「トク刷るポイント」最大40万4900円相当が、換金性の高い別のポイントに交換され、取得された可能性があるという。
     なるほど.印刷してインクを買うとポイントが貯まってそれを別のポイントに交換できたのね.こういうのって,中小企業の情シスの人しか貯められないような気がするけれど...
     ま,ソレは置いといて私にも案内メールが来ました.

    引用:
    =======================================
    当メールはお客さまにご登録いただいている「ブラザーオンライン」への不正ログイン発生に関する重要なお知らせのため、
    弊社からのメール受信をご承諾いただけていない方にもお送りしております。
    何卒ご容赦くださいますようお願い申し上げます。

    当メールは現時点の外部の専門機関を交えた弊社調査・解析において不正ログインの痕跡が発見されず、
    不正ログインの対象外と判断されるアカウントをお持ちのお客さまへのご案内となります。
     対象外ということで一安心かな.オンラインサービスが再開したら,住所とか登録したか確認しておかねば・・・

    会員向けサービスサイト「ブラザーオンライン」における不正ログインの発生について
    https://www.brother.co.jp/news/2022/incident0510/index.aspx

    ブラザーオンライン

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2022/5/9 17:14
    piyokangoさんのTwitterで以下の事件を知りました・・・

    ブラザーオンライン不正アクセスの可能性に関するお知らせとブラザーオンラインサービス停止のご案内
    https://www.brother.co.jp/notice/2205-bol/index.aspx

    引用:
    平素はブラザー製品をご愛用頂きまして誠にありがとうございます。

    現在弊社にて状況確認を行っておりますが、誠に遺憾ながら一部のお客さまのアカウントへ不正なアクセスの可能性が高いことが確認されました。調査と合わせて被害の拡大を防ぐため、ブラザーオンラインのログインを含む一部サービスを5月6日21時より停止させていただきました。

    現在、不正アクセスに対する暫定策としてブラザーオンラインのサービスを停止しておりますので、会員サイトへのログインはできない状態となっております。サービス再開は、さらなる調査を進めた上で決定してまいります。対策を決定次第すみやかにHPでご案内させていただきますので、大変恐縮ですがいましばらくお時間をいただければ幸いです。

    お客様におかれましては、多大なるご不便とご迷惑、ご不安をおかけしますこと、あらためまして深くお詫び申し上げます。今回の事態を厳粛に受け止め、情報セキュリティ対策及び監視体制のさらなる強化を行い、再発防止に全力を尽くしてまいります。

     頻繁に送ってくるブラザーからのメールも止まっていますね.通知もなしにまずは停止が先ってことか.実質,ブラザーのサイトへのログインは製品ユーザ登録すると保証期間が伸びると言うのと,交換用インクを買うと?ポイントが増える的なサービスがある程度.(それ以上のメリットの詳細はわかってないのだが・・・)

     これかな.

     ピーティックスの個人情報漏洩事件で流出したメアドでfacebookのログインの試みがある件で,そのまま同じメアドのまま罠?活動観察のために放置していたのだけれど,久しぶりに不正ログインの検知通知がありました.


     「お知らせください」と記載があるのでURLをクリックしたら次の様に表示.


     facebookを運営するメタ社は情報を出さないから,さっぱり不明.
     私の管理する某ドメインが,以前医療機関で使われていたのでインフォメーション用のメアド不定期にヒーリング音楽CDの販売促進メールが来ていました.
     しばらく(数年)放置していましたが,やっぱり要らないので2021年1月,案内不要とメールを出したのです.(停止方法がそれしか無い)

     すると,1年後,次の様なメールが来ました.(時間をおいて2通ほど)


     私が連絡したメールを引用してヒーリング音楽業者と違うドメインで英文メール.なにかZIPファイルをダウンロードさせようとしている.

     残念ながら,このファイルはアクセスした時にはもう存在してなかったのですが,何らかの問題でメアドが漏洩していることは間違い無いので,ヒーリング音楽業者のWebフォームで問い合わせをしてみましたが,2週間ほど経ちますが,いまだ返信はありません...

    株式会社コンフォート
    https://marth.healinglabel.com/
     こんな情報.

    地銀などシステム障害9行すべてでほぼ復旧 ATMなど利用可能に 2022年3月27日 18時11分
    https://www3.nhk.or.jp/news/html/20220327/k10013553961000.html

    引用:
    地方銀行など9つの銀行では26日からシステム障害のためATM=現金自動預け払い機やインターネットバンキングが使えなくなっていましたが、すべての銀行で27日午前までにシステムが復旧し、ATMは朝から使えるようになっています。

    26日午前からシステム障害が起きたのは▽水戸市に本店がある常陽銀行、▽宇都宮市に本店がある足利銀行、▽岐阜市に本店がある十六銀行、▽奈良市に本店がある南都銀行、山口フィナンシャルグループ傘下の▽広島市に本店があるもみじ銀行、▽下関市に本店がある山口銀行、▽北九州市に本店がある北九州銀行そして、▽高松市に本店がある百十四銀行、それに▽ローソン銀行の9つの銀行です。
     ローソンはIBMのパッケージとは別の別のシステムだけれど,データセンタの障害なので巻き込まれた模様.

     運営していたのはキンドリルジャパン.IBMのインフラ会社として2021年7月に分社化しました.


    日本IBMのデータセンター障害、通常電源切り替えまで丸5日 - 2021.07.05
    https://active.nikkeibp.co.jp/atcl/act/19/00012/070500509/

    引用:
    日本IBMは2021年7月2日までに、幕張データセンター(千葉市美浜区)で起きた電源障害に関し、6月30日未明に通常電源からの配電に切り替えたと明らかにした。保守用電源に切り替えてから通常電源に戻すまで丸5日を要した。

    日本IBMの幕張データセンターでシステム障害、電源故障で発煙 - 2021.06.25
    https://xtech.nikkei.com/atcl/nxt/news/18/10693/

    引用:
     日本IBMは2021年6月25日、同社のデータセンターでシステム障害が発生し、顧客のシステムに影響が出ていると明らかにした。電源系統の一部が故障し、発煙があった。大半のシステムは復旧したが、一部顧客のシステムで復旧作業を続けており、25日午後6時10分時点で全面復旧に至っていない。

    電源故障で電力供給が4分間停止、日本IBMのデータセンター障害 2020.02.25
    https://xtech.nikkei.com/atcl/nxt/news/18/07145/

    引用:
     住信SBIネット銀行は7時間以上にわたって、振り込みや残高照会などほぼすべての取引ができなくなった。八十二銀行や筑波銀行、武蔵野銀行といった複数の地方銀行でもATMやインターネットバンキングなどを通じた取引ができなくなった

     IBMはここ数年で電源障害によるトラブルを頻発させていると思うけれど,影響を受けている銀行が異なるので,それぞれ別のデータセンタのようですね.

     色々と買い取って運営しているのだろうか? ノウハウの横展開とかそういうのないのかなぁ.

     停電でデータセンタが停止すると2006年8月14日首都圏停電を思い出す.予備電源が稼働しなかったデータセンタがあって被害を受けたw

     その後,そのデータセンタは頻繁に定期的に電源切替テストしているけどね.人間も入れ替えるから頻繁な訓練は大事.

     それと,意外と定期的に怒っている停電.昨日もうちの近くの街が2時間ほど停止していた模様.原因不明ということが分かったみたいだが.

    https://teideninfo.tepco.co.jp/flash/13000000000.html

    2022/03/31追記
     この情報と関連したりするのだろうか.どうなんだろう.APCの問題だと使ってそうだし.

    米国当局、UPSをインターネットから外すよう呼びかけ
    https://news.mynavi.jp/techplus/article/20220330-2307631/

    Trend Micro Email Security at your service!

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2022/3/15 0:06
     トレンドマイクロを名乗る者から不審な英文メールが来た.

    引用:
    Dear Customer,

    Greetings from TrendMicro!

    We have noticed that you have a valid Trend Micro Email Security (TMEMS) license but have not activated it or have not been able to use the product yet. We strongly suggest that you begin using our product and take advantage of what our services can offer. No need to purchase an additional license!

    お客様が有効なTrend Micro Email Security (TMEMS)のライセンスをお持ちで、アクティベーションを行っていない、またはまだ製品をご利用になられていないことに、e-learningは気づきました。是非、弊社製品のご利用を開始し、弊社サービスをご活用ください。追加ライセンスの購入は不要です

     DeepLで翻訳してみたのだけれど,トレンドマイクロの製品を買ったことは無い. と思っていたら,お詫びメールも来ていました.

    引用:
    お客さま

    平素は格別のご高配を賜り、厚く御礼申し上げます。

    2022年3月13日に、弊社よりお客さまへお送りした下記件名の英文メールにつきまして、
    本来は配信対象ではないお客さまにも誤って配信していたことが判明いたしました。

    お客さまにはご迷惑とご心配をお掛けし、心よりお詫び申し上げます。
     無料で使えるなら使ってみたいなと妄想してみたのだけれど.以前試したLog4Jの脆弱性検査用のEDRツールの登録が影響していた様です.
     前回はアヤシイなぁと思っていたけれど,今回はその可能性があるのでちょっと.

     某レジストラである,お名前.comから,こういうメールが来た.



    2021.11.21 お知らせ 【注意】お名前.com を装ったフィッシングメールにご注意ください
    https://www.onamae.com/news/domain/20211121_1/

     前回も言っている通り,お名前.comでしか使ってないメアドに来ているので,これは漏洩したのだろうと思われる.

     まだ未公表(未確認)なのか,2014年の漏洩事故の時にこのメアドが漏洩していたのか...?

    「お名前.com」メルマガでユーザー情報流出、誤送信メールは16万4,650件
    https://internetcom.jp/busnews/20141205/onamae-com-leakages-users-information.html

     メアド流出チェックをしても未登録の模様.

    ';--have i been pwned?
    https://haveibeenpwned.com/

    Norton - メールアドレス流出チェック
    https://jp.norton.com/breach-detection

     まだ,お名前.comでしか使ってないメールアドレスへの迷惑メールは2件しか来てないので,被害は少ないけれど.
     ピーティックスで漏洩したメールアドレスへの迷惑メールは週3回以上来るけどね.MySpaceで漏洩したメアドへは毎日数通くるけど.
     某レジストラでしか使ってないメアドに,迷惑メールが来た.
     そのレジストラは,これまでは漏洩事件は報道されてないようだけれど...

     そしてそのフィッシングで示していたサイトは,未だブロックされてない模様.







    $ dig www.2dwpe87[.cn @1.1.1.1
    
    ; <<>> DiG 9.10.6 <<>> www.2dwpe87[.cn @1.1.1.1
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48658
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 1232
    ;; QUESTION SECTION:
    ;www.2dwpe87.cn.			IN	A
    
    ;; ANSWER SECTION:
    www.2dwpe87.cn.		600	IN	A	155.94.182.75
    
    ;; Query time: 281 msec
    ;; SERVER: 1.1.1.1#53(1.1.1.1)
    ;; WHEN: Sun Oct 31 18:03:35 JST 2021
    ;; MSG SIZE  rcvd: 59
    
    $
    
     スマホにSMS通知が来るからなんだろうと持ってみたら.


     dアニメにログインしようとして二段階認証用のセキュリティコードが届いた模様.

     My docomoのアカウントはMFAにしているのだけれど,ログインの際にまずIDを入力,その際にセキュリティコードが届くので,いたずら?している相手がパスワードをしっているかどうかは不明.

    身に覚えのないdアカウントのセキュリティコード通知が届く事象について
    https://www.nttdocomo.co.jp/info/notice/page/190719_00.html

     ブルートフォースでIDは突破できると思うから,今後も何度も通知がくるようだったらIDを変えた方が良いのだとおもう.
     変なメールが到着.



    引用:
    ビスを通して、ヤフオク!の落札者のYahoo! JAPAN ID、および落札した商品タイトルの取得が可能であったという仕様不備が確認されました。(対象期間:2016年10月19日~2021年4月23日)
     APIで漏洩していたってことか.ブラウザで見ているとマスクされている気がするけれど,20年以上前から実名で登録している自分には,分が悪い.

    オークションWeb API提供終了(2018年2月22日)のお知らせ
    https://developer.yahoo.co.jp/webapi/auctions/

    引用:
    この度誠に勝手ながら、2018年2月22日をもちまして、オークションWeb APIの提供を終了いたします。

    〜略〜

    ■終了予定日
    2018年02月22日(木)
    ※「2018年1月22日」とお伝えしておりましたが、「2018年2月22日」に変更致しました。

    〜略〜

    ※2019年10月10日更新
    一部APIがご利用頂けておりましたが、
    評価APIが2020年1月をもちまして
    提供終了となります。

    【再掲】【重要】オークションWeb API提供終了(2020年1月)のお知らせ
    https://developer.yahoo.co.jp/changelog/2019-10-10-auction161.html

    引用:
    ■提供終了日
    2020年1月予定
    2020年1月29日(水)

    2020年1月24日(金) 
    予定より早まりました、何卒ご了承願います。
    ※上記日程以降、対象のオークションWeb APIの動作は保証致しかねます。
     ドタバタか.担当していたエンジニアが,辞めちゃったのでわけわからん,そんなところか.

     元のメールで,

    引用:
    なお、APIサービスを含む弊社サービスの利用に際し、ユーザーに無断で個人情報を収集・蓄積する行為は規約で禁止されています。
     これは,APIを提供しておきながら,そのAPIを使って情報を「収集するな」という矛盾.大丈夫じゃないな.

    もっと以前からあったと思うが

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2021/2/22 23:58
     転職サイトのマイナビ転職で不正アクセス時間.

    マイナビ転職、約21万人のWeb履歴書に不正アクセス
    https://pc.watch.impress.co.jp/docs/news/1306632.html

    引用:
     2000年から現在に至るまでに「マイナビ転職」に登録したユーザーのうち、21万2,816名のWeb履歴書に対し、2021年1月17日~2月9日のあいだに不正アクセスが行なわれた。外部で不正に取得されたと思われるパスワードを使ったなりすましで、一部ユーザーのWeb履歴書へ不正ログインが行なわれた。

     マイナビ転職で使っていたメアドには,10年くらい前から迷惑メールが来ているけどな.
     少しだけ報道されたこの案件.



    引用:
    学外のイベント管理サービスに登録していた本学の学部用メールアドレス利用者のメールアカウントとパスワードが、同サービス運営会社が第三者による不正アクセスを受けた際に流出

     迷惑がかかるから明言されてないけれど「イベント管理サービス」で情報流出したのはピーティックスだろうね.そのIDが使われてログインされた模様.

    不正アクセスによる迷惑メールの送信について - 愛媛大学
    https://www.ehime-u.ac.jp/post-143243/

     私のところにもその11月27日にメールが来ていてピーティックスの不正アクセス事件 その7 さっそくフィッシングメール到着に分析結果を載せてみたけれど,その時は愛媛大学ではなかったな.別の3万5千通にメールが飛んで行ったのだろう.

    愛媛大に不正ログイン 迷惑メール3万5000件送信
    https://www.itmedia.co.jp/news/articles/2101/05/news057.html
     自分のメアドと本名がセットで漏洩してしまい,その直後からフィッシングメールやFacebookへの不正ログイン試行が増えたピーティックスの不正アクセス事件.
     その後,どういう対応を取るのかと,不定期にチェックしていたのですが,しれっとトップページから情報が消えていました.


     公式ツイッターに,アナウンスがでていました.気付かないよ...



     PDFでレポートが出てたので確認してみる.

    弊社が運営する「Peatix( https://peatix.com/ )」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について
    https://announcement.peatix.com/20201216_ja.pdf

     以下,時系列文をピックアップ.

  • 2020年11月9日に情報流出を確認
  • 2020年11月12日に2020年10月16日から10月17日にかけて不正アクセスが判明
  • 2020年11月15日パスワードリセット
  • 2020年11月17日〜23日にかけて電子メールで利用者に連絡.

     おかしいなぁ.Pwnedで私のメアドを調べると,2019年1月の漏洩となっている.

    引用:
    Peatix: In January 2019, the event organising platform Peatix suffered a data breach. The incident exposed 4.2M email addresses, names and salted password hashes. The data was provided to HIBP by dehashed.com.

    Compromised data: Email addresses, Names, Passwords

    Peatixです。2019年1月、イベント開催プラットフォームPeatixがデータ漏洩に見舞われました。このインシデントでは、4.2Mのメールアドレス、名前、塩漬けのパスワードハッシュが公開されました。データはdehashed.comによってHIBPに提供されました。

    侵害されたデータ メールアドレス、名前、パスワード

     2020年10月16日から10月17日にかけても不正アクセスがあったのだろうけれど,それ以外にもアクセスがあったのだろう.そしてログがないから調べられない的なことかな.

  • 攻撃者の属性及び不正アクセスの具体的方法の詳細については、技術的に特定できない

     こうあるし.

     お客様に対しては,お詫び文と,パスワードリセットのお願いしかないね.この程度だと金銭的保障などは無いのか.
  •  20年以上使っているカミさんのメアドに,最近迷惑メールが来るようになって気持ち悪いというので,pwnedで調べてみた.


     残念ながらOh no — pwned!となっている! 詳細はこれ.

    引用:
    Cit0day (unverified): In November 2020, a collection of more than 23,000 allegedly breached websites known as Cit0day were made available for download on several hacking forums. The data consisted of 226M unique email address alongside password pairs, often represented as both password hashes and the cracked, plain text versions. Independent verification of the data established it contains many legitimate, previously undisclosed breaches. The data was provided to HIBP by dehashed.com.

    Compromised data: Email addresses, Passwords

    Cit0day(未検証)。2020年11月、Cit0dayとして知られている23,000以上の侵害されたとされるウェブサイトのコレクションが、いくつかのハッキングフォーラムでダウンロードできるようになりました。データは、パスワードのペアと並んで226Mのユニークなメールアドレスで構成されており、多くの場合、パスワードハッシュとクラックされたプレーンテキスト版の両方で表現されています。データの独立した検証により、これまで公表されていなかった合法的な侵害が多数含まれていることが確認されました。データはdehashed.comによってHIBPに提供されました。

    侵害されたデータ メールアドレス、パスワード


     Cit0dayというサイトは既に止められている模様.

    23,600 hacked databases have leaked from a defunct 'data breach index' site
    https://www.zdnet.com/article/23600-hacked-databases-have-leaked-from-a-defunct-data-breach-index-site/

    引用:
    脅威のインテルのアナリストがこの種の最大のリークと呼んでいるものの中で、23,000以上のハッキングされたデータベースが、いくつかのハッキングフォーラムやTelegramチャンネルでダウンロード可能な状態になっています。

    データベースの収集は、ハッキングフォーラムで他のサイバー犯罪者に向けて宣伝しているプライベートサービス「Cit0Day.in」から発信されたものと言われています。

    Cit0dayは、ハッキングされたデータベースを収集し、ユーザー名、電子メール、アドレス、さらにはクリアテキストパスワードへのアクセスを他のハッカーに日割りまたは月額料金で提供することで運営されていました。

    サイバー犯罪者はこのサイトを利用してターゲットとなるユーザーのパスワードを特定し、他のより知名度の高いサイトでアカウントを侵害しようとしていました。
     まぁ,攻める方も守る方も表裏一体.せっかく集めた情報もバラまかれてしまったら販売価値が無くなるわけだからなぁ.
     メアドの流出を確認する時に使えるサイトその2.

    Firefox Monitor
    https://monitor.firefox.com

     ピーティックスで漏洩したメールを確認.


     普通に引っかかっている.

     ちなみに,Firefox Monitorに登録されている漏洩事故の案件一覧がこれ.

    https://monitor.firefox.com/breaches

     侵害データの提供はpwnedだというから,どっちで調べても同じか.
     ピーティックスでメアドと暗号化されたパスワードが漏洩されてしまった事件.pwnedのサイトに登録されているのを確認.


     2週間前に見た時には未登録だったので,pwnedのサイトで掲載されるタイムラグはそんなもんなのかなと確認.

     そしてpwnedのドメインサーチでPwned email accounts.xlsxもダウンロードしてみたけれど,peatixのドメインだけでした.


     その後,定期的にpeatixのサイトを見ているのだけれど,不正アクセスに対応する内容は更新されてないな. パスワード変えさせて終了で逃げ切る感じだろうな.
     ピーティックスで漏洩したメアドに早速迷惑メールが到着.


     「メルカリ事務所サービス有期限切になります」とか,
     日本語がおかしい...marcari事務所? マルカリ? まるまる借りたのか...バーソナルショツバーって.「ーソナルショツー」だなんて,手打ちの目コピーなんだろうな.

     メールヘッダを確認.


     ddsdhjkjkjhgで.comなんていうのはPCだと丸見えなので,スマホ向けだとわかる.
     ヘッダの中でも異様なのはコレ.
    jibunbank-static_web_1.jibunbank-static_default ([172.18.0.5])
    
     jibunbankって,そのままだと「じぶん銀行」のWebサーバ1号機辺りが送信元ってこと?
     ドメインを確認.


     GMOで取得している模様.
     次に,誘導先のサイトがどうなっているのかurlscanを使って確認.


     もうテイクダウンされているのか.IPアドレスはつけ変わってサイト自体は何もない模様.
     ドメイン取得は11月26日の模様.

     続いて,送信元のIPアドレスを調査.


     香港のホスティング会社.今現在は汚れた情報は記録がない.

     ちなみに,メールのこの文書で検索すると,定期的にばらまかれている模様.
    引用:
    メルカリをご利用いただきありがとうございます。
    これはあなたのサービスが現在中断されたという通知です。
    このサスペンションの詳細は次の通リです。

    下記サービスの有効期限(2020年11月28日)が近づいているためお知らせします。
    有効期限が過ぎる前に、ぜひごアカウントをご更新ください。
    停止理由:アカウントに確認が必要 今すぐ確認する:https[://www.mercari.com/jp/

    アカウントを確認されない場所、以下の機能が制限されることとなりますが、ご了承いただけますようお願いいたします。
    ·購入の制限
    ·新規出品の取リ下げ(バーソナルショツバーのみ)
    ·出品商品の取リ下げ(バーソナルショツバーのみ)
    *このメールは返信しても届きません。お問い合わせはアプリを起動して[お問い合 わせ]からお願いいたします。

     まとめるとこんな感じか.

  • ピーティックスで漏洩した漢字名とメアドがセットで使われている.(最大の特徴)
  • 2バイト文字を扱える言語圏の人だが解像度が良いディスプレイを使っているので濁音と半濁音の区別がつかないので,東スポの記事で「ノーバンとノーパン」で騙されがちな人.
  • jibunbankのWebサーバから,香港のホスティング会社のサーバを経由してメール送信されているようになっているがそれも偽装の可能性もある.
  • ピーティックスを使ったのは8年前のKDDIのイベントに参加したことだったけれど,auじぶん銀行は関連がなくもない.
  • 月末になると,この文書のフィッシングメールが放出されている模様なので,ピーティックスの件とは偶然の一致の可能性もあるが,情報セットがこれまでにない.
  •  トレーニングのために何か迷惑メールきてないかな?と思って超久しぶりに迷惑メールフォルダをひらいたのだけれど,ネタ的な迷惑メールが.

     情報漏洩事件を起こしたピーティックスから「【重要】プロフィールページ公開に伴う、プライバシー設定について」というメール.


     まず,迷惑メールに振り分けられているから,4年も気づかなかった...


     こうなるとSNSプラットフォームを目指していることがわかる.
     KDDI の有料イベントに参加するために必須だったのでユーザ登録したのだけれど,入場時に見せる画面にも表示されるので恥ずかしいニックネーム?じゃなくて普通に本名で登録.その情報が勝手に公開されるという情報.


     なんとデフォルトが無断で公開状態.ひどい.

     そして評判を調査.


     2016年当時も話題になっていた模様.そして,彼らの一部は安全のために退会したようだけれど,退会しても削除フラグが設定されるだけだった模様.

     迷惑メールにはいっているので気づかなかった.実際迷惑な話だから,正しく振り分けられているんじゃないか.

     今回,不正アクセスで情報漏洩しているけれど,もともと4年前に公式に情報公開しているじゃないかというオチか.
     facebookからログイン失敗通知が来た.


     こ,これは,先日調べた本物のfacebookからのメールだ.

     ログイン失敗の履歴は,[設定][セキュリティとログイン][セキュリティとログインに関する最近のメール]で確認.



  • 前回メールが来たのが11月10日だった.
  • それ以前は5年ほどログインしてないし,セキュリティ通知も来てない
  • Peatixのサーバが不正アクセスを受けたのは10月16日〜17日にかけてだ.
  • Peatixの漏洩したメアドと,このフェイスブックのメアドは同じ.

     あとは,わかるな...orz
  •  ピーティックスの不正アクセス事件.8年前に一度利用した事がありアカウントも有効だったけれど,公式には案内が来てなかったがやっとメールで連絡がきた.



     メール本文の一部を引用すると,次の通り.

    引用:
    <不正に引き出されたお客様情報>
    Peatixに登録されているお客様の以下の情報が不正に引き出されたことを確認しております。

    氏名
    アカウント登録メールアドレス
    暗号化されたパスワード
    アカウント表示名
    言語設定
    アカウントが作成された国
    タイムゾーン
    なお、クレジットカード情報および金融機関口座情報などの決済関連情報ならびにイベント参加履歴、参加者向けのアンケートフォーム機能で取得したデータ、住所、電話番号などの情報が引き出された事実は確認されておりません
     「引き出された事実は確認されておりません」と表現されているけれど「引き出されておりません.」とは違うので,出ちゃっている可能性もあるということか.盗み出した者が暴露してないと,漏洩しているとは言えないしね.ログがないので絶対大丈夫とかまでは言えないのかな.例のハッキングフォーラムに出ているデータは421万件だそうで,他のデータの存在は不明とある. No DetectはNo leakedでは無い.

    引用:
    また、Peatixの会員登録の際に、ソーシャルメディアとのログイン連携にてご登録されたお客様の個人情報に関しては、暗号化されたパスワードは保持しておりません。そのため、ソーシャルメディアとのログイン連携にてご登録されたお客様に関しては、本件において暗号化されたパスワードが引き出された事実は確認されておりません。
     暗号化されたパスワードは漏洩してなくても,メアドは出ているからなぁ.不審なログインとかもありえるのだろうな.

     今回の実質的被害は,まだ確認されてないけれど.GoTo に関連するような地方自治体のキャンペーン応募で数多く利用されていたようなので,漏洩したであろうユーザのリテラシー的には様々.

    不正アクセスによるPeatixの情報流出についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/11/20/132324
     667万件のデータが漏洩したピーティックスのデータベースのダンプデータは裏サイトに転がっていました.
     サンプルとして公開されているものを見ると漏洩しているメルアドのドメインが集計されてました.


     そりゃぁデータベースなので集計は簡単だなぁ.

     漏洩したのはSQLダンプ.テーブル定義も確認できました.


     これだと住所・クレカ番号は収録されてない模様.ただしニックネーム.本名などが...


     実データ的なところでは,パスワードはNULLになっているけれど,パスワード?ハッシュは漏洩した模様.

     今回,本名で登録していたから,本名とメールアドレスのセットが漏洩か.標的型攻撃とかで使われそうだなぁ.
     前回までにログインできたので,ピーティックスのアカウントが残っていることは確認できた.そして,表向き,どのような情報が保持されているかを確認.


     領収書データ!がある...


     そうだよなぁ.KDDI ∞ Laboだ.オープンしたての,渋谷のヒカリエに行ったのだった.もう8年も前なのか.

     どういう決済手段で支払ったか覚えがないのだけれど,クレカかなぁ...その情報は,ログインしても参照できないから,持ってないように見える.(それは油断すぎる)

     そして今現在,ピーティックスを使ってKDDI ∞ Laboのイベント管理+集金をしていたKDDIのプレスリリースを見ても,特に何も記載がない.

    KDDI Open Innovation Program
    https://www.kddi.com/open-innovation-program/

    KDDI ∞ Labo
    https://www.kddi.com/open-innovation-program/mugenlabo/

    2020年:ニュースリリース - KDDI
    https://www.kddi.com/corporate/newsrelease/2020/

    KDDI
    https://www.kddi.com

    Peatix プライバシーポリシー
    https://about.peatix.com/ja/privacy.html
     一部引用.

    引用:
     当社は、イベント主催者に対し、以下のいずれかの目的で、当社で保有する会員情報及びイベント主催者が必要とする参加者情報を含むお客様の個人情報を、当該イベント主催者又は当社との間で共同開発契約、事業提携契約その他当社のサービスに関して協業することを内容とする契約を締結した第三者(以下「協業先となる第三者」といいます。)*に提供し、これをイベント主催者又は協業先となる第三者と共同して利用することがあります。なお、この共同利用に際してイベント主催者又は協業先となる第三者に対し提供される個人情報の管理については、当社及び当該イベント主催者又は当該協業先となる第三者になります。

     イベント主催者において、その開催するイベントにおける参加者を管理すること。
     イベント主催者において、その開催するイベントに参加する予定の又は参加した会員に対し、連絡をとること。
     当社と協業先となる第三者の協業により、当社のサービスを安全かつ確実に提供すること。
     当社と協業先となる第三者の協業により、会員向けサービスをより充実したものにすること。
     当社と協業先となる第三者の協業により、特別なサービスや新しいサービスを提供すること。

  • ピーティックスのプラポリだとイベント主催者に対して提供することがあるわけだが必ず利用する訳でもないから,KDDIはイベント参加者の情報を持ってない事案の可能性.
  • あるいは8年もまえのイベントなので受け取ったデータは廃棄している.
  • 当時の担当者は離任して詳細不明
  • 気づいてない

     どれだろう.8年前に利用したサービスの,その後の行方を管理するのは実際は無理.「桜を見る会」の名簿みたいに,即消しが理想
  •  3日前にブログに書いたピーティックスの漏洩事故だけれど,ピーティックスからは露営した対象者にメールとかで案内が来ない.ネットの記事を読むと,先ずはパスワードを変えろというのだけれど,メールも2017年から来てないようだし,消えてるんじゃ無いかと思ってみた.


     メリットないからSNSと連動なんてしてないのは正解.メールアドレスを入力.


     残念.パスワード変更しろって.つまり,漏洩したデータの中に含まれているということだ.


     確認メールが届いた.


     難しいパスワードを設定.一部公開...w
     イベント管理で有名?な,ピーティックスで不正アクセスと情報漏洩の可能性がある模様.

    弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ
    https://announcement.peatix.com/20201117_ja.pdf

     PDFでテキストが引用できないので,画像で魚拓.


     677万件のデータが引き出された可能性があるそうだ.Peatixは有料イベントに参加したことがあるけれど,2017年からはメールも来てないんだが.

     漏洩しているかどうか,注目かな.

    facebookからの通知

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2020/11/11 2:11
     facebookのメール通知は全てオフにしているのだけれど,facebookmail.comからメールが来た.


     あたかもフィッシングメールのような感じ.


     メールヘッダをみるとDKIMはあるけれど,SPFもDMARCもない.X-MailerのZuckMailというのはザッカーバーグのことらしい.


     IPアドレスを見るとfacebookのようだ.(通報がたくさんあるようだがorz)

     ということでログインして見た.


     前回のログインは,5年半前か.


     とりあえず,セキュリティとログインで,ログイン通知が来るように設定し,パスワードも変更した.
     そして一度ログアウトしてログイン.


     2要素用のメールが来た.2要素の認証を選んだつもりはないのだけれど,まぁ安心かな.


     ログイン時間ははUTC+9と補助表記されているのでわかりやすいかな.街の名前が渋谷になっているけれど,いつも思うけれど,ざっくり「東京」という以外だいぶ遠いな.

     facebookは良く情報漏洩しているから信頼してないのだけれど,別所から自分のメアドが流出していることも確認※しているから,そのアカウントを使ってログインが試みられたのだと思われる.
     最近知り合いもfacebookのアカウントが乗っ取られて,広告誘導メールが送信されまくっていたのでね.
     印象として,乗っ取られたアカウントから「乗っ取られたから迷惑メッセージを送信したようで削除願います」と言われても,そのメッセージ自体が乗っ取り犯の何かの誘導かもしれないし.疑心暗鬼.

    ※迷惑メールの送信元として使われた形跡があった.エラーメールが飛んで来て発覚.
     メルカリにて,勝手にメールアドレスを使われていた件について,問い合わせていた件,やっと返事がきた.

    【重要】事務局からのお知らせ
    
    情報をご提示いただきありがとうございます。
    
    この度お客さまがログインされたアカウントは、お客さまのメールアドレスを
    誤ってご登録されていた方のご登録であることが予想されます。
    
    現在は、ログインができないようお手配をさせていただきました。
    
    万一、再度メルカリからメールが届いた場合には、改めて事務局までご連絡ください。
    
    何とぞよろしくお願いいたします。
    
    ーーーーーーーーーー
    株式会社メルペイ
    ーーーーーーーーーー
    ※株式会社メルペイはメルカリの決済サービスを運営しています
    
     メルカリじゃなくて株式会社メルペイなのね...
     それで,もう返答はないと思うので,送信した文を公開.

    私はメルカリを利用していませんが,ことの発端は,普段使わないメールアドレス
    @icloud.comに5/11付でメルカリの登録が行われた旨の通知メールが来ておりました.
    
    パスワードリセットしてログインしたところ,プロフィールには長崎の人の住所氏名と
    電話番号認証済みで,クレジットカード情報の登録が確認できました.
    また,少額の取引を終えたようでした.
    
    状況を踏まえて推察するに,登録してある内容から,スマホで新たにアカウントを
    登録したが,メールアドレスの疎通確認までは行われておらず,電話番号認証が
    完了したことでメルカリのサービスを利用できていると考えています.
    
    @icloud.comは,2ファクタク認証を2017年に行なっていますしicloud.comからの
    メールアドレスの流出では無いと考えています.
    
    対処の希望としては,次の通りとなります.
    
    (1)長崎の人に正しいメールアドレスを利用させるようにすること.
     (私のメールアドレス以外でも可能)
    (2)私がパスワードリマインドで他人の個人情報を見てしまったことが
      不可抗力であり罪に問われないことを確約すること.
    
    回答は2019年5月末日までにお願いします.
    (電話にはでませんので,メールで連絡をお願いします)
    
    以上です.
    
     こちらの希望の(2)について,全く記載もありませんでしたが,無回答ということで問題ないと承諾されたと解釈します.
     時間かかりすぎだなぁ.最初に「受け付けました」くらいは,自動応答でも良いので反応が欲しかったが.
     不正に?メアドが使われている件でメルカリに問い合わせている件.メルカリからメールが来たので確認したけれど,次のようなものでした.


     「なお、現在も商品が届いていない、あるいは商品に問題があった場合や、返品のお話し合いをされていた場合は事務局までお問い合わせください。」と書いてあるけれど,問い合わせ先は書いてない.
     商品とかはうちには届かないと思うけれど,取引が無事終わったのかどうかは,わからない.
     利用してないメルカリから,私のメアドを使って会員登録されてモノが購入されている件.

     メルカリのシステム上,会員登録時に登録するメールアドレスの疎通確認がされてないのが原因と想定され,問い合わせフォームから連絡をしたが,その後連絡なし.
     ただし,間にメールが2通来たけれど,これはメルカリのシステムに関するものでした.

    XXXX さん
    
    いつもメルカリをご利用いただきありがとうございます。
    
    購入した商品が届いたら、商品に問題がないことを確認後、受取評価を行なってください。
    ・TOYOTA XXXX4個セット (id: m697XXX)
    
    商品が届かない、商品説明と実物が異なる場合などは、
    評価をせず出品者に取引メッセージを送ってみてください。
    
    【取引メッセージについて】
    アプリ右上にある「やることリスト」から取引画面を表示し、
    画面の下の方から送ることができます。
    
    メルカリ事務局
    
    ※このメッセージは自動で送信されています。入れ違いや状況により、
    すでに対応不要な場合は申し訳ございません。
    
     私のメルアドを使って登録したユーザが,取引について評価を行ってないので,その催促のメールのみ.メルカリでは評価がされないと支払われないとかあるのだろうか?そのあたりはわからん.
     問い合わせフォームを見つけて,丁寧に30分かけて作文して送信してみた.


     確認フォームもなければ,メールでカーボンコピーも来ない.一応,5月末までに,対応方針を説明せよという説明を書いているけれど,どうなるだろうね.
     「リユースの再発明」のメルカリを使ったことがないのだけれど,スマホ世代をターゲットにしているので「メールアドレスの疎通確認」をしてないのじゃないかな.電話番号でSMSがつながれば本人認証完了.

     メルカリに私のメールアドレスでユーザ登録したターさんは,悪気がある人ではなさそうだが,フルネームで検索すると別のメルカリアカウントを持って本名で?取引していたようだったりするが,このままだと他人のアカウントになりしまししてログインしたのが私となってしまうので,仕方ないので問い合わせしてみるか.
     普段使わないicloudのメールアカウントにメールが来ていたのを気づいたので,確認.


     3日ほど前にメルカリの会員登録が完了していたようだ.そしてTOYOTAの車の部品を購入している模様.
     メルカリのサービスを使ったことがないので,メールにあるURLじゃなくて,メルカリの公式サイトをGoogleで検索してトップページからパスワードリセットしたら,リセットのメールが来た.そしてログインして見た.


     画像の上の方にあるように,「事務局からのメッセージ」ということで,私がログインした結果が表示されている.

     取引をみてみたら,1450円の商品を落札している模様.


     プロフィールを確認したら,名前も住所もケータイの電話番号も確認できた.誰だ?


     クレジットカードも登録してある.ちなみに,私はJCBのカードを持ってない.


     電話番号認証も済ませてある模様.
     なんか6月頃に来ていた... 


     憶えが無いので怖いんですけど. Twitterの場合,登録の際のメアドだけじゃなくて,Twitterのユーザ名でもパスワードクエリを送信する事ができるので...

     そして,この案内文...


     頻繁に有るのかなぁ.
     gooから「事務局にて必要な対処をいたしました」というメールが来ました.削除してくれたのかな?
     対応履歴を追ってみると,こんな感じ.

    2011年9月3日(土) 15:19:17JST 問い合わせ自動受付
    2011年9月4日(日) 10:44:27JST 一次対応連絡
    2011年9月5日(月) 20:30:52JST 対応完了連絡

     一次対応までの時間が長かった様に思うのですが,スムースに対応していただけたのではないでしょうか.

    問い合わせしてみた - goo編

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2011/9/3 15:31
     SPAMメール判定されたメールの中に,存在しないアドレスへのメルマガがあった.メルマガの送信元はNTTレゾナントが運営するgoo.

     何者か(たぶんロボット)が,gooでアカウントを発行して,その時に存在しないアドレスを使用して,そのドメインが私が管理している1つを使っています.

     よくみると,こんなメールが来ていました.

    <pre>※このメールはgooIDに登録いただいた方にお送りしています。
    
    rbxipzcet 様
    
    gooIDへのご登録ありがとうございます。
    お客様のご登録が完了致しましたのでお知らせいたします。
    -----------------------------------------------
    ◆gooID:rbxipzcet
    -----------------------------------------------
    
    ご登録いただきましたgooIDとログインパスワードで、gooメール、
    gooホーム、教えて!goo、gooブログなどの多彩なサービスを
    ご利用いただくことができます。
    
    gooIDについての詳細はこちらから
    http://login.mail.goo.ne.jp/id/Top</pre>
    
     このgooIDはrbxipzcetですが,メールアドレスはloaeyだったりしています. まずは,そういうアドレスがいくつあるかとカウントしたら9個.
    elyyo@
    hjcyd@
    kkxez@
    kmvqn@
    ncryf@
    okawe@
    omjox@
    riluq@
    xnzmt@
    
     これをgooの問い合わせフォームから削除依頼をだしてみた.

    Virut

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2009/3/7 18:39
     某所で,Virutというウイルスに感染しているのを発見しました.

     Windowsマシンで,ファイアウォールソフトが外部へ接続しようとする不明なアプリケーションとして発見され,ウイルススキャンをするとVirutというものでした.

     IPAやトレンドマイクロによると,最近流行っている様です.


    ウイルス「W32/Virut」亜種の感染拡大に注意、IPAが呼びかけ
    http://internet.watch.impress.co.jp/cda/news/2009/03/03/22650.html

    ウイルスの集大成「PE_VIRUX.A」が感染拡大、国内で7900台(トレンドマイクロ)
    http://internet.watch.impress.co.jp/cda/news/2009/02/13/22437.html

     ちょっと怖いのは,次の様なアンケートです.


    W32.Virut スパイウェアについて
    http://www.shareedge.com/spywareguide/product_show.php?id=3515


     「不明-知らない間に」感染したのが100%です. いつの間にか常駐しているかもしれません.

    広告スペース
    Google