Kango のすべての投稿

[インシデントまとめ] 宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2019年1月13日送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日 11時頃オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
2019年1月23日 10時50分頃情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月24日 20時頃オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時半頃オージス総研が情報漏えいの事実を確認。
同日夜オージス総研が記者会見で情報漏えいについて説明。*1

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • 25日のリリースではその一文が削除されていた。
漏えいした情報の有無
対象被害の有無具体的な状況
顧客情報の漏えい有り宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
転送されたファイルの漏えい調査中(1/25時点)
クレジットカード情報の漏えい無し別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

次の情報 約480万件が漏えいした、あるいはその恐れがある。

漏えいが確定メールアドレス
ログインパスワード
生年月日
漏えいの恐れあり氏名
性別
業種・職種
居住地(都道府県名のみ)
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 約480万件の内訳は公表していない。
  • ログインパスワードが平文かどうかについて発表での言及はない。

不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*2
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*3

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。

更新履歴

  • 2019年1月26日 AM 新規作成

宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2019年1月13日 送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日9時38分頃 オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日 11時頃 不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃 関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃 オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
同日 19字45分頃 攻撃元のIPアドレスからの接続を遮断。
2019年1月23日 10時50分頃 情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月23日 14時44分頃 外部セキュリティ専門事業者による調査を開始
2019年1月24日 20時10分頃 オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時30分頃頃 オージス総研が情報漏えいの事実を確認。
同日 19時頃 オージス総研が記者会見で情報漏えいについて説明。*1
2019年1月26日 2時50分頃 オージス総研がよくある質問集を掲載。
2019年1月26日 3時22分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを送付
2019年1月26日 9時頃 電話、メールによる顧客対応を開始
2019年1月28日 13時頃 漏えいした対象に特定期間に取得をしていた情報を追加したと発表。
2019年1月28日 15時58分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを再度送付
2019年1月29日 18時30分頃 ビジネスプラスのユーザーに対して利用料請求停止のお知らせメールを送付
2019年3月14日 当面の休止と詳細調査の結果など第4報を発表。

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • FAQで別システムとして運用しているため被害はないと説明。
    • オフィス宅ふぁいる便のパスワードはハッシュ化が行われている。
漏えいした情報の有無
対象 被害の有無 具体的な状況
顧客情報の漏えい 有り 宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
過去に退会した利用者も対象となっている可能性がある。
転送されたファイルの漏えい 調査中(1/29時点) 流出は現時点で確認されていない。
ファイルは暗号化されていない。
被害発生箇所と別の場所に保管されている。
漏えいした情報を使ってログインして取得することは可能。*2
クレジットカード情報の漏えい 無し 別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

漏えいが確定したのは次の481万5,399件の情報。

ビジネスプラス会員(有料会員) 2万2,569件※
プレミアム会員(無料会員) 475万329件※
退会者 4万2,501件
合計 481万5,399件

※連絡が届かなかった件数134万8,361件を含む

流出した項目は次の通り。

第一報で漏えい確定 メールアドレス
ログインパスワード(平文)
生年月日
第二報で漏えい確定 氏名
性別
業種・職種
居住地(都道府県のみ)
第三報で漏えい確定 氏名(ふりがな)
メールアドレス2
メールアドレス3
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者
子供
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 「居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供」は2005年〜2012年の間に収集していた。
  • 退会済利用者の情報が残っていたのは問い合わせに備えるため。
  • ログインパスワードを平文で保持しており、それが漏えいした。
  • 暗号化していなかった理由はサービス規模と資源に起因。計画はあったとオージス総研は取材に回答。((「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた,FNN PRIME,2019年1月29日))

Q15. パスワードは暗号化されていなかったのか?
A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。

その他漏えい対象か調査中とみられる情報


ビジネスプラスの画面、2019年1月のアーカイブより。

  • ファイルダウンロード用URL
  • 300件登録可能なアドレスブック
  • 過去1年分の送信履歴
    • 送信先アドレス
    • 預かり期限
    • 送信ファイル名
    • ダウンロード時間


不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*3
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*4
  • オージス総研はセキュリティ対策上、類似の被害を防止という名目で詳細な手口を開示しない方針とした。*5

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。
  • 2016年当時の掲載情報では脆弱性診断を外部の審査機関を通じて定期的に実施していた。

更新履歴

  • 2019年1月26日 AM 新規作成
  • 2019年1月27日 AM 続報追記
  • 2019年1月28日 PM 続報追記
  • 2019年1月31日 AM 続報追記
  • 2019年3月15日 PM 続報追記

国内ホスティングのっとりを主張する投稿について調べてみた

2019年1月19日、SNS上で日本国内のホスティングをのっとり、大量のサイトを改ざんしたと主張する投稿がありました。
その後大塚商会からこの件に関連するとみられる不正アクセスの被害が発表されました。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2019年1月19日10時頃 大塚商会のホスティングで不正アクセス発生。
同日 13時頃 Pastebin上に国内ホスティングをハイジャックしファイル蔵置したと掲載される。
2019年1月20日 1時頃 大塚商会が不正アクセスを検出し対処を完了。
2019年1月23日 大塚商会が不正アクセス被害とその対処が完了したことを発表。
2019年1月25日 大塚商会が不正アクセスの詳細を発表。

不正アクセスの手口まとめ

  • 特定の利用者が独自に設置したWordpressのIDが侵害されたのがキッカケ。
  • 独自設置のWordpressのアカウント情報が漏れた経緯は大塚商会側は把握していない。
  • 関係は不明だが何らかのブルートフォース攻撃が発生していた。
  • CMSを踏み台にホスティングサービスが稼働するサーバーOSに脆弱性があり、それが悪用された。
  • どのようにCMSを踏み台にして攻撃したかの経緯は明らかにされていない。
  • どのような脆弱性が悪用されたのかの詳細は明らかにされていない。
  • 大塚商会は脆弱性非開示はセキュリティインシデントであるためを理由にしている。
  • Pastebinに掲載された内容と今回の事案との関連は言及されていない。

「Legion BOmb3r」がホスティングハイジャックを主張

  • Japanese Hosting Hijacked By Legion BOmb3r」というタイトルでPastebin上に大量のWebサイトの一覧が掲載された。
  • 内容は国内のホスティングをハイジャックし5000件以上のサイトを対象にしたと主張するものであった。


  • Facebookページ「ErrOr SquaD」でPastebinに掲載した内容を宣伝する投稿が行われた。


改ざんしたと主張するサイト数 5000件以上

  • Pastebin上に掲載されたWebサイトの件数は5,052件。
  • ほぼ全てのサイトにBD.htmlを蔵置したとしてこれを含むURLを掲載されている。
  • 主なドメインの内訳は以下の通り。
ドメイン 件数
.go.jp 1件
.ac.jp 1件
.co.jp 2,473件
.com 1,002件
.net 81件
.ne.jp 5件
.or.jp 118件
  • 以下10件はドメインとして記述されたものではなかった。
http://localhost/BD.html(4件存在)
http://data/BD.html(2件存在)
http://wp-print.php/BD.html
http://LS/BD.html
http://output2.txt/BD.html
http://BD.html/BD.html
確認したキャッシュ
  • 1月22日22時時点でリスト掲載のWebサイトすべてから主張するファイルの蔵置は確認ができなかった。
  • zone-H上に大量にこの件に関連する投稿が行われていた。*1

  • 検索キャッシュにも216.230.250.172をIPアドレスとするサイトについてHTML蔵置の痕跡らしき結果が残っていた。



掲載されたGO.JPドメイン

蔵置されたとみられる「BD.html」の内容

  • 「BD.html」は誰による改ざんかなど記述されたものとみられる。(piyokangoは一部のみ確認。)
  • 閲覧時音楽(Youtube)が再生されるが、マルウェアなど悪作用するものは確認できなかった。
  • 以下のスクリーンショットはzone-h上に残されていたミラーから。


リスト掲載サイト IPアドレスは特定事業者に偏り

  • 5,042件のドメインから142個のIPアドレスを確認することができた。
  • 以下の4つのアドレスで約96%(4,868件)を占めていた。
IPアドレス 件数
216.230.250.172 1,290件
216.230.250.183 1,240件
216.230.250.188 1,181件
216.230.250.168 1,157件
  • この4つのアドレスは逆引きで「*.alpha-lt.net」が返される。
  • これらは大塚商会の提供するホスティングサービスに関連するものとみられる。
  • 大塚商会のWebサイトなどでこの件に関連する情報は確認できていない。

謝辞

この記事は次の方の調査協力により作成したものです。ありがとうございます。

  • NICT サイバーセキュリティ研究室 寺田氏

更新履歴

  • 2019年1月23日 AM 新規作成
  • 2019年1月23日 AM 改ざんされた当時とみられるキャッシュ追記
  • 2019年1月24日 PM 大塚商会の発表、タイムラインを追記
  • 2019年1月26日 AM 続報追記
  • 2019年2月7日 PM Pastebin公開時間が誤っていたため修正(12時頃⇒13時頃)

*1:蔵置後に誰かが削除した可能性が考えられる。

[調べてみた] 国内ホスティングのっとりを主張する投稿について調べてみた

2019年1月19日、SNS上で日本国内のホスティングをのっとり、大量のサイトを改ざんしたと主張する投稿がありました。1月22日22時時点でこの主張を確定的に裏付ける公開された情報は確認ができていませんが、ここでは関連する情報をまとめます。

「Legion BOmb3r」がホスティングハイジャックを主張

  • 1月19日12時頃「Japanese Hosting Hijacked By Legion BOmb3r」というタイトルでPastebin上に大量のWebサイトの一覧が掲載された。
  • 内容は国内のホスティングをハイジャックし5000件以上のサイトを対象にしたと主張するものであった。

f:id:Kango:20190122223748p:image:w500

  • 1月19日13時過ぎにFacebookページ「ErrOr SquaD」でPastebinに掲載した内容を宣伝する投稿が行われた。

f:id:Kango:20190122223754j:image:w500

改ざんしたと主張するサイト数 5000件以上

  • Pastebin上に掲載されたWebサイトの件数は5,052件。
  • ほぼ全てのサイトにBD.htmlを蔵置したとしてこれを含むURLを掲載されている。
  • 主なドメインの内訳は以下の通り。
ドメイン件数
.go.jp1件
.ac.jp1件
.co.jp2,473件
.com1,002件
.net81件
.ne.jp5件
.or.jp118件
  • 以下10件はドメインとして記述されたものではなかった。
http://localhost/BD.html(4件存在)
http://data/BD.html(2件存在)
http://wp-print.php/BD.html
http://LS/BD.html
http://output2.txt/BD.html
http://BD.html/BD.html
  • 1月22日22時時点でリスト掲載のWebサイトすべてから主張するファイルの蔵置は確認ができなかった。
  • zone-H上に大量にこの件に関連する投稿が行われていた。*1

f:id:Kango:20190122224502p:image:w500

掲載されたGO.JPドメイン

蔵置されたとみられる「BD.html」の内容

  • 「BD.html」は誰による改ざんかなど記述されたものとみられる。(piyokangoは一部のみ確認。)
  • 閲覧時音楽(Youtube)が再生されるが、マルウェアなど悪作用するものは確認できなかった。
  • 以下のスクリーンショットはzone-h上に残されていたミラーから。

f:id:Kango:20190122223751p:image:w500

リスト掲載サイト IPアドレスは特定事業者に偏り

  • 5,042件のドメインから142個のIPアドレスを確認することができた。
  • 以下の4つのアドレスで約96%(4,868件)を占めていた。
IPアドレス件数
216.230.250.1721,290件
216.230.250.1831,240件
216.230.250.1881,181件
216.230.250.1681,157件
  • この4つのアドレスは逆引きで「*.alpha-lt.net」が返される。
  • これらは大塚商会の提供するホスティングサービスに関連するものとみられる。
  • 大塚商会のWebサイトなどでこの件に関連する情報は確認できていない。

謝辞

この記事は次の方の調査協力により作成したものです。ありがとうございます。

  • NICT サイバーセキュリティ研究室 寺田氏

更新履歴

  • 2019年1月23日 AM 新規作成

*1:蔵置後に誰かが削除した可能性が考えられる。

ZOZO社長になりすましたBitcoin詐欺についてまとめてみた

2019年1月21日、ZOZOの前澤社長になりすましたTwitterアカウントがBitcoin詐欺のツイートを投稿していました。ここでは関連する情報をまとめます。

Bitcoin詐欺ツイート

  • 詐欺ツイートを行っていたアカウントは前澤社長の正規アカウント(@yousuck2020)に似せた@yousujk2020が使われていた。
  • 2019年1月21日 10時半頃にBitcoin詐欺ツイートが行われた。
  • 詐欺ツイート拡散のためかプロモーション機能が用いられていたとの報告がある。*1
  • アカウントは既に停止措置が取られた模様。


投稿されたWebサイト

  • 投稿に用いられたWebサイトは以下のもの。
  • IPアドレスは昨年11月に確認されたものと同じ193.233.15.187。
yusaku-giveaway.club


  • 1月22日8時現在、サイトにアクセスしても接続が拒否される。


今回ものっとられたアカウントが宣伝ツイートか

  • Bitcoin詐欺ツイートに対してJ Sports公式アカウント(@jsports)が「どうもありがとうございました!」と宣伝するリプライを送っていたという報告がある。
  • 既に削除などの対応が取られたのか当該ツイートは確認できない。また関連する報告は22日5時時点で確認できない。

送金が行われた?

  • 以下のウォレットへ送金するように指示が行われていた模様。(途中変更されたとの報告有り*2 )
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2
131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQ
1Ku8Ade77LPKA2ShqxrfJbPmy75sz5K2wv
  • この内、2つのアドレス宛に21日送金された総額は約 3BTC。(1月21日の価格で日本円約1,164,900円相当)
  • 約8時間後に送金されたBTC全額が別のウォレットへ送金されていた。
  • 詐欺に引っかかってしまったと被害(0.5 BTCを送金)を報告する人がいた。

12WA9uyFtUMuTh8jbraTedVddknu3uAhB2の送金履歴

131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQの送金履歴


更新履歴

  • 2019年1月22日 AM 新規作成
  • 2019年1月22日 AM ウォレットアドレス追記

[インシデントまとめ] ZOZO社長になりすましたBitcoin詐欺についてまとめてみた

2019年1月21日、ZOZOの前澤社長になりすましたTwitterアカウントがBitcoin詐欺のツイートを投稿していました。ここでは関連する情報をまとめます。

Bitcoin詐欺ツイート

f:id:Kango:20190122062343p:image:w500

  • 詐欺ツイートを行っていたアカウントは前澤社長の正規アカウント(@yousuck2020)に似せた@yousujk2020が使われていた。
  • 2019年1月21日 10時半頃にBitcoin詐欺ツイートが行われた。
  • 詐欺ツイート拡散のためかプロモーション機能が用いられていたとの報告がある。*1
  • 既存のアカウントが乗っ取られ、その後IDが変更された可能性がある。
  • アカウントは既に停止措置が取られた模様。

f:id:Kango:20190122062341p:image:w500

投稿されたWebサイト

f:id:Kango:20190122062337p:image:w500

  • 投稿に用いられたWebサイトは以下のもの。
  • IPアドレスは昨年11月に確認されたものと同じ193.233.15.187。
yusaku-giveaway.club
  • このIPアドレスに対し、2019年に入ってからもテスラ社などに似たドメインが確認されている。

f:id:Kango:20190122062328p:image:w500

今回ものっとられたアカウントが宣伝ツイートか

  • Bitcoin詐欺ツイートに対してJ Sports公式アカウント(@jsports)が「どうもありがとうございました!」と宣伝するリプライを送っていたという報告がある。
  • 既に削除などの対応が取られたのか当該ツイートは確認できない。また関連する報告は22日5時時点で確認できない。

送金が行われた?

  • 以下の2件のウォレットへ送金するように指示が行われていた模様。(途中変更されたとの報告有り*2 )
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2
131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQ
  • この2つのアドレス宛に21日送金された総額は約 3BTC。(1月21日の価格で日本円約1,164,900円相当)
  • 約8時間後に送金されたBTC全額が別のウォレットへ送金されていた。
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2の送金履歴

f:id:Kango:20190122062331p:image:w500

131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQの送金履歴

f:id:Kango:20190122062334p:image:w500

更新履歴

  • 2019年1月22日 AM 新規作成

新潟県警察公式サイトなどの改ざん(画像設置)についてまとめてみた

2018年12月、2019年1月と掲示板に画像参照させるURLやそのアーカイブが投稿されています。画像は対象のWebサイトとの関係がないものとみられ、何者かが設置した可能性があります。また新潟県警察のサーバーが何者かによりのっとられ、掲示板へ荒し投稿をする事案も発生しました。ここでは関連する情報をまとめます。

掲示板への投稿

  • 掲示板には2018年12月、2019年1月にそれぞれ投稿が行われているがこれらが同一人物によるものかは不明。*1



投稿されたWebサイト

No 掲示板への投稿日時 投稿されたWebサイト
1 2018年12月31日 21時54分 LPlus (lumin.jp)
2 No.1と同じ投稿 日本ハッカー協会 (mail.hacker.or.jp)
3 2019年1月18日 11時48分 新潟県警察 (www.police.pref.niigata.jp)
  • 対応が行われたのか2019年1月18日時点でアクセスはできない。(いずれもアーカイブが残されている。)


設置されていた画像は2018年8月の事案と同様

新潟県警察公式サイトのっとり事案タイムライン

日時 出来事
2019年1月17日 新潟県警察サイトに画像設置されたアーカイブが取られる
2019年1月18日まで 何者かにより設置された画像が削除される。
同日 1時半頃 新潟県警察サイトのサーバーが不正操作され、掲示板へ爆破予告の投稿が行われる。
同日 11時48分頃 掲示板へ新潟県警察サイト改ざん時のアーカイブのリンクが投稿される。
2019年1月19日 20時7分頃 掲示板へ新潟県警察サイトの脆弱性の検証コードとみられる投稿が行われる。
同日 22時以降 新潟県警察サイトサーバーが不正操作され、掲示板への荒し行為が行われる。
同日 サイトに問題がある可能性を指摘する新潟県警察へ複数の問い合わせが寄せられる。*2
2019年1月20日 新潟県警察がフォームプログラム類の運用停止を案内。

新潟県警察サイトを不正操作により行われた投稿

(1) 1月18日 1時半頃 爆破予告の投稿


  • ホスト名を直接名前に書き込むと太字表記となる。


(2) 1月19日 20時過ぎ 新潟県警サイトで稼働するCGI脆弱性
  • 取材に対して意見投稿フォームに問題があり、何者かが不正に操作した可能性があると回答。*3
  • 掲示板に新潟県警察サイトで稼働するCGIのURLを書き込む投稿が19日20時頃に行われている。
  • CGIの不具合との関連は不明だが、OSコマンドインジェクションの脆弱性の実証コードがあわせて投稿されていた。
  • 実行時はRefererを県警サイトに設定しておく必要があった模様。
  • 実証コード投稿以降、検証する動きがみられアーカイブサイトに投稿されていた。
  • 投稿されたCGI(photo.cgi)は20日未明以降、サーバー上からは見つからない措置が取られた模様。


(3) 1月19日 22時過ぎ 特定スレッドに荒し投稿


Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     211.120.107.208/29 (マスク範囲)
b. [ネットワーク名]             I-TOKINET
f. [組織名]                     新潟県警察本部
g. [Organization]               Niigata prefectural police
m. [管理者連絡窓口]             MI4657JP
n. [技術連絡担当者]             MI4657JP
p. [ネームサーバ]
[割当年月日]                    2001/12/25
[返却年月日]                    
[最終更新]                      2001/12/25 16:51:40(JST)

更新履歴

  • 2019年1月19日 AM 新規作成
  • 2019年1月20日 AM 続報反映
  • 2019年1月20日 PM 続報反映、構成修正
  • 2019年1月21日 AM 爆破予告の箇所を修正

*1:その後の書き込みで新潟県警察の投稿は直接関与したものではないといった投稿もある

*2:新潟県警HP システムに不正アクセスか,新潟日報モア,2019年1月20日

*3:県警サーバー 外部から不正操作,NHK,2019年1月20日

[インシデントまとめ] 新潟県警察公式サイトなどの改ざん(画像設置)についてまとめてみた

2018年12月、2019年1月と掲示板に画像参照させるURLやそのアーカイブが投稿されています。画像は対象のWebサイトとの関係がないものとみられ、何者かが設置した可能性があります。ここでは関連する情報をまとめます。

掲示板への投稿

  • 掲示板には2018年12月、2019年1月にそれぞれ投稿が行われているがこれらが同一人物によるものかは不明。

f:id:Kango:20190119070856p:image

f:id:Kango:20190119070853p:image:w500

投稿されたWebサイト

No掲示板への投稿日時投稿されたWebサイト
12018年12月31日 21時54分LPlus (lumin.jp)
2No.1と同じ投稿日本ハッカー協会 (mail.hacker.or.jp)
32019年1月18日 11時48分新潟県警察 (www.police.pref.niigata.jp)
  • 対応が行われたのか2019年1月18日時点でアクセスはできない。(いずれもアーカイブが残されている。)

f:id:Kango:20190119072308p:image

  • 2件について発表や報道は確認していない。
  • No.2は日本ハッカー協会のドメインだがLPLUS社のIPアドレスが割当られている。(www.hacker.or.jpは別のIPアドレス)
  • No.1,2のアーカイブは2018年12月9日より残されていた。

f:id:Kango:20190119071205p:image:w500

新潟県警察のドメインが書き込まれた投稿

  • 新潟県警察の画像設置の投稿前後に当該サイトのドメインが投降者名に記載された書き込みが複数存在した。
  • この投稿がfusianasanによるものかは不明。
  • 一部の投稿では爆破予告が書き込まれていた。

f:id:Kango:20190119070851p:image

設置されていた画像は2018年8月の事案と同様

更新履歴

  • 2019年1月19日 AM 新規作成

[インシデントまとめ] 2019年1月のデータリーク「Collection #1」をまとめてみた

2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。

Troy Hunt氏の記事

要点

記事の要点をまとめると次の通り。

  • データリークセットの呼称は「Collection #1」と呼ばれるもの。
  • 2019年1月7日の週に複数人からこのデータリークについて連絡受けた。
  • データは人気のあるハッキングフォーラムに掲載され、クラウドサービス(MEGA)で公開されていた。(その後削除された)
  • このデータには数年前にTroy Hunt氏自身が利用していたメールアドレス、パスワードが含まれていた。
  • 解析したデータはHaveIBeenPwnedPwned Passwordsに追加が済んでおり、自分の情報が対象となっているかは確認可能な状態となっている。
  • 固有メールアドレスで確認された件数(約7億7300万件)としてはこれまでTroy氏が確認したもので最大の件数。
  • サイトの侵害時期はファイルによりけりで2008年頃とみられるものもある。

2019年1月7日にフォーラムへ投稿されたMega上での公開を確認したと報告

f:id:Kango:20190118061751p:image:w640

関連する数字

今回の件に関連する数字をまとめると次の通り。

(1)データリークに含まれるファイル数12,000個以上
(2)データのサイズ87.18 GB
(3)(1)に含まれる全てのデータ件数2,692,818,238件
(4)(3)の内、一意なメールアドレス、パスワード組み合わせ件数1,160,253,228件
(5)(3)の内、HIBPに追加された固有のメールアドレスの件数772,904,991件
(6)(3)の内、一意なパスワードの件数21,222,975件

Collection #1に含まれるJPドメインの件数

  • Troy Hunt氏はフォーラムに掲載されていたファイルリストをPastebin上で公開した。
  • ファイル名が次の命名規則でつけられている模様。
侵害が疑われるドメイン {取得したとみられるデータの件数} [パスワードハッシュ化の有無].txt

この「侵害が疑われるドメイン」の文字列箇所について、.jpドメインが含まれる数を確認してみたところ次の結果となった。

.jpドメインの文字列が含まれる件数38個
2018年2月に確認されたものと重複しない件数20個

(参考)2018年2月に確認されたデータリークをまとめた記事

更新履歴

  • 2019年1月18日 AM 新規作成

2019年1月のデータリーク「Collection #1」をまとめてみた

2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。

関連タイムライン

日時 出来事
2018年10月頃 Alex Holden氏(Hold Security CTO)がデータセットの存在をアンダーグラウンドフォーラムで確認。
2018年11月頃 Sanixer氏がクラウドストレージ(Mega)にCollection #1〜5等をアップロード。
2018年12月頃 Sanixer氏がハッキングフォーラムにデータ販売の書き込み。
2019年1月7日 ハッキングフォーラムにデータセット「Collection #1」の存在が投稿される。
2019年1月7日の週 複数人がTroy Hunt氏に「Collection #1」の情報を提供。
2019年1月17日 Troy Hunt氏が「Colletion #1」の分析記事を公開。
同日 BrianKrebs氏が同様のパッケージの存在を含めた取材記事を公開。

#時差があると思います。

発端となったTroy Hunt氏の分析記事

記事の要点

記事の要点をまとめると次の通り。

  • このデータセットの呼称は「Collection #1」と呼ばれるもの。
  • 2019年1月7日の週に複数人からこのデータについて連絡受けた。
  • データは人気のあるハッキングフォーラムに掲載され、クラウドサービス(MEGA)で公開されていた。(その後削除された)
  • このデータには数年前にTroy Hunt氏自身が利用していたメールアドレス、パスワードが含まれていた。
  • 解析したデータはHaveIBeenPwnedPwned Passwordsに追加が済んでおり、自分の情報が対象となっているかは確認可能な状態となっている。
  • 固有メールアドレスで確認された件数(約7億7300万件)としてはこれまでTroy氏が確認したもので最大の件数。
  • サイトから取得したとみられる時期はものによりけりで古い物では2008年頃とみられるものがある。

2019年1月7日のフォーラムへの投稿

「Collection #1」に関連する数字

今回の件に関連する数字をまとめると次の通り。

(1) データに含まれるファイル数 12,000個以上
(2) データのサイズ 87.18 GB
(3) (1)に含まれる全てのデータ件数 2,692,818,238件
(4) (3)の内、一意なメールアドレス、パスワード組み合わせ件数 1,160,253,228件
(5) (3)の内、HIBPに追加された固有のメールアドレスの件数 772,904,991件
(6) (3)の内、一意なパスワードの件数 21,222,975件

「Collection #1」に含まれるJPドメインの件数

  • Troy Hunt氏はフォーラムに掲載されていたファイルリストをPastebin上で公開した。
  • ファイル名が次の命名規則でつけられている模様。
侵害が疑われるドメイン {取得したとみられるデータの件数} [パスワードハッシュ化の有無].txt

この「侵害が疑われるドメイン」の文字列箇所について、.jpドメインが含まれる数を確認してみたところ次の結果となった。

.jpドメインの文字列が含まれる件数 38個
2018年2月に確認されたものと重複しない件数 18個

(参考)2018年2月に確認されたデータリークをまとめた記事

確認した.jpドメイン18個は次の通り。

easyriders.jp
itms.jp
medicalview.sakura.ne.jp
mensworker.jp
npb.scforum.jp
oshiete.petst.jp
ota-fair.jp
shizuoka-jinjacho.or.jp
sp.acrovision.jp
tech-t.co.jp
t.tfn.ne.jp
vch.jp
water-net.co.jp
www.aib-a.jp
www.nabeya.co.jp
www.okayama-international-circuit.jp
www.porsche.co.jp
www.shizu-toku.jp
  • この内2個は2019年1月時点でアクセスが出来なかった。
  • 大半は1000〜1万件程度のデータが含まれていたとみられる。1個だけ10万超のファイルが存在する。
  • ポルシェジャパン(www.porsche.co.jp)は2018年4月に不正アクセスについて発表しているがこの件との関連は不明。

「Collection #2〜5」の存在が報告される

  • その後続報として、同系のセットがまだ複数存在することをセキュリティジャーナリストのBrian Krebs氏が報告。
  • 元々の販売スレッドのスクリーンショットが掲載されており、ファイルサイズは以下の数字が掲載されていた。
  • ファイルの詳細(侵害されたサイト等)は明らかにされていないが、合計サイズが約1TB(993.36 GB)となる。
データセット サイズ
Collection #1 87.17 GB
Collection #2 526.11 GB
Collection #3 37.18 GB
Collection #4 178.58 GB
Collection #5 42.79 GB
AP MYR&ZABUGOR #2 24.53 GB
ANTIPUBLIC 102.04 GB
  • 掲載されている情報は「メールアドレス・パスワード」「ユーザーID・パスワード」「電話番号・パスワード」のいずれか対にしているものとみられる。
  • 販売者(Telegramユーザー名:Sanixer)に取材したKrebs氏の記事による関連情報は以下のもの。
    • 2,3年程度前のデータであるとKrebs氏に対して説明している。
    • これ以外にも複数のパッケージが存在し、合計は4TB以上、かつ確認されたものは1年以内。
  • ハッキングフォーラムでも同様のデータセットの存在を報告する投稿が行われている。


2018年12月のSanixer氏のデータ販売投稿

  • 2018年12月にハッキングフォーラムでSanixer氏が「CLOUD WITH COMBOS AMOUNT 993.36 GB」として販売していたとみられる。(確認した掲示板では販売投稿はルールに振れたためアカウントはBanされていた)
  • Mega上に2018年11月頃にアップロードされたスクリーンショットを掲載しており、入金確認後にこれを連絡する手順とされていた。


  • 45ドルで販売すると書き込まれていた。またプロモコードを入力すれば10%オフだとして40ドルで販売すると書き込まれていた。


  • 販売サイトは「selly[.]gg」を利用していたが、利用規約に抵触したとしてページは既に削除されている。


更新履歴

  • 2019年1月18日 AM 新規作成
  • 2019年1月18日 PM 続報を掲載(jpドメインの重複していない件数が誤っていたため修正 20⇒18)
  • 2019年1月19日 AM 追加情報を掲載

[インシデントまとめ] 南紀白浜観光局のWebサイト改ざんについてまとめてみた

2019年1月10日、和歌山県南紀白浜観光局はWebサイトが改ざんされていたことを発表しました。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2018年12月31日 17時35分南紀白浜観光局のWebサイトが改ざんされる。
同日 19時3分頃掲示板へ南紀白浜観光局のURLとID/PWらしき文字列を記載したものが投稿。
同日 22時46分頃掲示板へ南紀白浜観光局のWebサイトにプログラム(掲示板)を設置したと投稿。
2019年1月1日総務省が南紀白浜観光局へ通報。事態発覚。*1
2019年1月2日 11時頃南紀白浜観光局がWebサイトを一時閉鎖。
2019年1月4日 11時27分頃南紀白浜観光局が公式アカウントからWebサイトがメンテナンス中と報告。*2
2019年1月10日南紀白浜観光局がWebサイトの改ざんがされていたとお詫び。*3

被害

  • コンテンツ管理システム(CMS)が何者かにID、パスワードを入力され不正アクセスを受けた。
  • 一部コンテンツが改ざんされた。弁護士や児童ポルノなどの画像が掲載されていたとみられる。
  • 外部からCMSの管理画面にアクセスが可能な状態となっていた。
  • 改ざん時に閲覧した利用者への直接的な被害はない。
  • 改ざんされていた当時とみられるWebサイト(アーカイブサイトより)

f:id:Kango:20190116060718j:image:w450

  • 何者かに設置されていたとみられる掲示板(アーカイブサイトより)

f:id:Kango:20190116061342j:image:w450

対応

  • Webサイト上から改ざんされたコンテンツの削除
  • CMSのID、パスワードの変更
  • 外部から管理画面へのアクセスを遮断

掲示板に書き込まれたID/PWらしき文字列

  • 2018年12月31日 19時過ぎに「法律事務所Steadiness掲示板」に次の投稿が行われていた。
  • 投稿が行われていたことに対し南紀白浜観光局の公式発表では触れられていない。
368 :無名弁護士:2018/12/31(月) 19:03:13.26 ID:vpB3RxUJ0
http://www.nankishirahama.jp/admin/index.php 
ログインID : nanki 
パスワード : shirahama 

その他

  • 改ざんされた時期はCMSに残っていた更新履歴から判断したと南紀白浜観光局は取材に答えている。

更新履歴

  • 2019年1月16日 AM 新規作成

南紀白浜観光局のWebサイト改ざんについてまとめてみた

2019年1月10日、和歌山県南紀白浜観光局はWebサイトが改ざんされていたことを発表しました。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2018年12月31日 17時35分 南紀白浜観光局のWebサイトが改ざんされる。
同日 19時3分頃 掲示板へ南紀白浜観光局のURLとID/PWらしき文字列を記載したものが投稿。
同日 22時46分頃 掲示板へ南紀白浜観光局のWebサイトにプログラム(掲示板)を設置したと投稿。
2019年1月1日 総務省南紀白浜観光局へ通報。事態発覚。*1
2019年1月2日 11時頃 南紀白浜観光局がWebサイトを一時閉鎖。
2019年1月4日 11時27分頃 南紀白浜観光局が公式アカウントからWebサイトがメンテナンス中と報告。*2
2019年1月10日 南紀白浜観光局がWebサイトの改ざんがされていたとお詫び。*3

被害

  • コンテンツ管理システム(CMS)が何者かにID、パスワードを入力され不正アクセスを受けた。
  • 一部コンテンツが改ざんされた。弁護士や児童ポルノなどの画像が掲載されていたとみられる。
  • 外部からCMSの管理画面にアクセスが可能な状態となっていた。
  • 改ざん時に閲覧した利用者への直接的な被害はない。
  • 改ざんされていた当時とみられるWebサイト(アーカイブサイトより)



対応

  • Webサイト上から改ざんされたコンテンツの削除
  • CMSのID、パスワードの変更
  • 外部から管理画面へのアクセスを遮断

掲示板に書き込まれたID/PWらしき文字列

  • 2018年12月31日 19時過ぎに「法律事務所Steadiness掲示板」に次の投稿が行われていた。
  • 投稿が行われていたことに対し南紀白浜観光局の公式発表では触れられていない。
368 :無名弁護士:2018/12/31(月) 19:03:13.26 ID:vpB3RxUJ0
http://www.nankishirahama.jp/admin/index.php 
ログインID : nanki 
パスワード : shirahama 

その他

  • 改ざんされた時期はCMSに残っていた更新履歴から判断したと南紀白浜観光局は取材に答えている。

更新履歴

  • 2019年1月16日 AM 新規作成

ロシア外務省が発表した公式サイトへのサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

更新履歴

  • 2019年1月13日 AM 新規作成
  • 2019年1月14日 AM タイトルを微修正

[インシデントまとめ] ロシア外務省が発表した公式サイトへサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

ロシア外務省 1月11日の公式記者会見

この件について、外務省の会見内容は以下から確認ができる。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

  • 攻撃送信元としてロシアが公表したのは次の14か国。
  • ロシア外務省の発表順に沿って掲載。(発表順位の説明はなし)
    • 日本
    • アメリカ
    • ウクライナ
    • ルーマニア
    • ドイツ
    • デンマーク
    • イタリア
    • イギリス
    • カナダ
    • オランダ
    • サウジアラビア
    • ポーランド
    • トルコ
    • 中国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

日本国内の報道

更新履歴

  • 2019年1月13日 AM 新規作成

[インシデントまとめ] ロシア外務省が発表した公式サイトへのサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

ロシア外務省 1月11日の公式記者会見

この件について、外務省の会見内容は以下から確認ができる。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

  • 攻撃送信元としてロシアが公表したのは次の14か国。
  • ロシア外務省の発表順に沿って掲載。(発表順位の説明はなし)
    • 日本
    • アメリカ
    • ウクライナ
    • ルーマニア
    • ドイツ
    • デンマーク
    • イタリア
    • イギリス
    • カナダ
    • オランダ
    • サウジアラビア
    • ポーランド
    • トルコ
    • 中国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

日本国内の報道

更新履歴

  • 2019年1月13日 AM 新規作成
  • 2019年1月14日 AM タイトルを微修正

艦隊これくしょんへのDoS攻撃についてまとめみた

2019年1月10日頃から、DMMが運営するゲーム「艦隊これくしょん」に対してDoS攻撃とみられる影響(Twitter公式では「飽和接続攻撃」と表現)により、接続障害が発生しています。ここでは関連情報をまとめます。

艦これ運営側が報告する攻撃の状況

  • 段階的に攻撃対象のサーバーへ集中攻撃を仕掛けている。
  • データベースを含めた攻撃を受けている可能性がある。
  • 対象はプラットフォームではなく、艦これが稼働するサーバーに対して行われている。
  • 攻撃送信元は海外を起点とするもの。
  • 詳細は報告を避けるが通常のDDoS攻撃ではない攻撃も含む。

艦これ運営側の対応

  • 上流回線業者の協力を得て対策に当たっている。
  • ユーザーへ通信状況に応じた対応(サービス利用や課金の一時的な見合わせ)を呼びかけ。
  • イベント開催期間を5日間延長。
  • 関係当局への届け出等、業務妨害行為に対する必要な措置を取る。

DDosMonでのDoSトラフィックの状況

2019年1月18日 12時頃に公開されているデータでは以下の通り。サーバーのIPアドレスはこちらの記事を参考にさせていただきました。
「★公式報告有」はTwitterで具体的にサーバー名の掲載があったもののみ掲載しています。全サーバー、広範囲など具体的な記載がないものについては記載していません。

艦これサーバー群
No サーバー名
1 横須賀鎮守府
2 新呉鎮守府
3 佐世保鎮守府
4 舞鶴鎮守府
5 大湊警備府
6 トラック泊地
7 リンガ泊地
8 ラバウル基地
9 ショートランド泊地
10 ブイン基地
11 タウイタウイ泊地
12 パラオ泊地
13 ブルネイ泊地
14 単冠湾泊地
15 幌筵泊地
16 宿毛湾泊地
17 鹿屋基地
18 岩川基地
19 佐伯湾泊地
20 柱島泊地
  • 1月18日頃にラバウル基地のIPアドレスが変更されていたことを確認した。(203.104.209.199 ⇒ 203.104.248.135)
1月8日~1月15日
No 1月8日 1月9日 1月10日 1月11日 1月12日 1月13日 1月14日 1月15日
1 ★公式報告有 ★公式報告有(3回)
02:57:30
14:24:56
00:08:59
22:38:58
16:40:11
20:57:00
00:26:33
18:51:56
2 19:52:52 16:22:59 ★公式報告有(2回)
01:49:54
★公式報告有 01:21:16
19:55:04
3 ★公式報告有 02:43:10
15:22:35
20:56:05
★公式報告有(2回)
4 09:02:53 ★公式報告有
01:13:54
15:47:45
★公式報告有
23:48:33
21:44:40
5 17:26:59
18:36:50
★公式報告有(2回) ★公式報告有 01:05:53
03:00:12
00:15:26
19:12:41
6 20:50:51 ★公式報告有 ★公式報告有
16:24:30
★公式報告有 01:41:06
04:26:03
7 12:07:36
20:10:24
12:55:08
19:56:43
★公式報告有 ★公式報告有 03:46:12
8 15:11:33 ★公式報告有
17:29:21
★公式報告有
00:39:53
07:41:47
20:25:29
9 12:32:31 15:35:14
18:08:27
★公式報告有
14:30:39
★公式報告有 19:01:30
10 13:35:20
16:47:39
19:20:09
22:00:27
★公式報告有(2回)
00:01:36
17:59:38
21:05:21
22:15:41
★公式報告有 17:19:58 01:33:56
20:05:18
11 ★公式報告有(2回)
00:52:55
18:08:55
★公式報告有 00:36:56
01:49:20
06:49:25
21:21:19
19:07:55
12 15:59:30
17:51:21
18:24:28 00:19:46 01:48:09
13 21:40:12 12:46:15
13:51:03
18:33:57 08:04:47 19:14:19
14 19:44:28 18:40:26 04:21:01
16:17:21
18:01:51
00:42:22
19:19:06
15 14:07:07
16:39:47
21:27:09
18:57:57 17:12:28
22:53:58
19:19:33
16 01:17:47 ★公式報告有(2回)
19:19:48
23:11:14 05:14:36 19:04:40
17 12:00:29 19:02:18 ★公式報告有
19:29:32
23:25:44 01:04:54
18:56:40
18 00:59:23
21:01:56
★公式報告有
19:45:35
17:04:57 19:03:08
19 17:42:50 ★公式報告有
20:00:22
23:24:21 02:14:53
07:15:43
19:36:38
18:48:47
20 12:58:34 22:09:55 ★公式報告有
20:09:33
19:10:13
1月16日~29日
No 1月16日 1月17日 1月18日 1月22日 1月24日 1月25日 1月26日 1月27日 1月28日 1月29日
1 16:16:40 21:36:23 14:56:45 11:00:46
2 10:46:28 11:45:27
17:46:15
04:39:15 15:42:34
16:45:32
19:50:14
21:18:19
3 06:04:33 18:50:19 16:41:35 10:59:58
4 07:49:42 11:12:28 06:59:48 01:02:30
18:14:02
5 08:46:07 03:34:02 23:34:32 22:36:54
6 23:02:20 20:25:57
21:30:23
7 09:19:36 14:01:25 12:37:57 05:49:30
11:15:44
02:26:04
8 16:02:34 22:31:51 06:51:01 22:40:26
9 05:28:58 14:41:01 05:10:45 04:09:08
15:09:32
10 03:09:02 20:02:21
11 09:59:13 16:01:19
17:06:01
13:45:38
23:36:15
12 11:19:39 02:04:05
13 16:07:20 07:25:22
15:54:30
02:39:28
14:52:03
14 04:44:25 18:17:27 18:16:58 07:30:05
08:44:30
15 03:59:00 06:00:59 22:20:44
16 20:57:36 13:22:27
23:33:32
17 02:28:51 20:21:26 20:14:27 05:08:07
07:14:10
10:03:39
21:56:48
18 16:03:47 02:36:12 12:20:52 12:27:33
16:04:34
17:16:58
03:58:51
19 16:32:35 12:41:57 01:15:39
15:03:02
13:25:12
14:29:15
20
2月5日~8日
No 2月5日 2月6日 2月8日
1 08:19:25
18:36:45
2
3 07:39:28 01:41:10
4 19:57:03
21:40:54
5 10:44:34
23:46:56
6
7
8 12:43:29
21:01:34
9 01:32:49
10 23:40:44
11 09:09:19
12 16:29:12
17:32:42
13 12:13:13
14 14:04:36
21:49:24
22:51:35
15 10:04:30
16 06:29:20
17 13:24:30 19:42:16
18 05:39:28
15:47:31
19 14:51:52
20 11:24:39
DDoSmonが検出している攻撃タイプ

以下の攻撃タイプを検出している。

  • cc_flood_target
  • syn_flood_target-mix_RST
  • amp_flood_target-NTP
  • amp_flood_target-CLDAP
  • amp_flood_target-DNS

公式アカウントの障害報告

2019年1月9日夜頃から攻撃による障害が発生していると報告が行われている。

2019年1月10日(木)
No Twitter 投稿時間 概要/障害が発生している対象
1 2時頃 1月9日夜以降「艦これ」ログインサーバ群障害発生
2 10時7分頃 1月9日以降の障害復旧報告
3 18時21分頃 1月10日で「佐世保鎮守府サーバ」などの複数の「艦これ」サーバ群障害発生
4 23時33分頃 1月10日夜以降「艦これ」稼働各サーバ群のほぼ全領域で障害発生
5 9時59分頃 今週以降海外からの攻撃が発生し対策中との報告。
2019年1月11日(金)
No Twitter 投稿時間 概要/障害が発生している対象
6 16時4分頃 1月1日午後以降「横須賀鎮守府サーバ」をはじめとした「艦これ」稼働各サーバ群で障害発生
7 18時21分頃 「艦これ」稼働各サーバ群に対して攻撃が継続中と報告
8 19時38分頃 「トラック泊地サーバ」で障害発生したが復旧したと報告
2019年1月12日(土)
No Twitter 投稿時間 概要/障害が発生している対象
9 0時34分頃 「大湊警備府」及び「ブイン基地」に対して攻撃による障害発生。「大湊警備府」は復旧。
10 1時16分頃 「タウイタウイ泊地サーバ」で障害発生、現在復旧したと報告
11 1時27分頃 「舞鶴鎮守府サーバ」で障害発生
12 1時59分頃 「呉鎮守府(新呉鎮守府)サーバ」で障害発生
13 11時11分頃 今週に入り攻撃が発生していること、現在全サーバー稼働中であることを報告
14 14時40分頃 「横須賀鎮守府サーバ」をはじめとする広範囲な稼働サーバ群で攻撃による障害発生
15 16時51分頃 「大湊警備府サーバ」及び「トラック泊地サーバ」に大規模な攻撃が発生、対策と復旧を報告
16 17時8分頃 艦これが受けている攻撃の概況を報告
17 17時36分頃 「ラバウル基地サーバ」及び「リンガ泊地サーバ」で障害発生
18 17時53分頃 「ショートランド泊地サーバ」が攻撃を受け対策を行ったと報告
19 18時26分頃 「パラオ泊地」「ブルネイ泊地」「単冠湾泊地」「幌筵泊地」が攻撃を受ける可能性を報告
20 18時28分頃 「ブイン基地サーバ」及び「タウイタウイ泊地サーバ」が攻撃を受けたが稼働中と報告
21 18時43分頃 「宿毛湾泊地」、その後「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が攻撃を受ける可能性を報告
22 19時25分頃 「宿毛湾泊地」が攻撃を受けていること、「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が段階的に攻撃を受ける可能性を報告。
23 19時28分頃 攻撃後もサーバーが障害を起こすことはないと報告
24 20時29分頃 「宿毛湾泊地」「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が攻撃を受け障害発生と報告
25 20時41分頃 「横須賀鎮守府サーバ」が攻撃を受けていると報告。
26 20時48分頃 「横鎮」「呉鎮」が攻撃を受けて対策中。「佐鎮」「舞鎮」「大湊警備府」が段階的に攻撃を受ける可能性を報告
2019年1月13日(日)
No Twitter 投稿時間 概要/障害が発生している対象
27 12時15分頃 「艦これ」稼働各サーバ群に対する攻撃が発生したが接続影響はほぼ影響なしと報告
28 21時59分頃 「横須賀」「呉」「佐世保」「舞鶴」に対して攻撃が発生したが影響なしと報告
29 22時4分頃 「大湊警備府」「トラック泊地「リンガ泊地」に対して攻撃が発生したがほぼ影響なしと報告
30 22時10分頃 「艦これ」稼働各サーバに対して攻撃継続中と報告
31 22時33分頃 「佐伯湾泊地」「タウイタウイ」「ショートランド」「ブイン」に対して攻撃が発生したが影響なしと報告
32 22時38分頃 攻撃継続中だがサービス影響なしと報告
33 23時32分頃 攻撃パターンを変えて継続中と報告。
2019年1月14日(月)
No Twitter 投稿時間 概要/障害が発生している対象
34 0時31分頃 日付けが変わっても攻撃が全サーバーに対して継続中であると報告
35 1時32分頃 「ラバウル基地」に対して集中的に攻撃が発生し障害が起きていると報告
36 9時24分頃 朝以降、広範囲な「艦これ」サーバ群に対して攻撃が継続中と報告
37 9時43分頃 攻撃対象はプラットフォームではなく、艦これサーバー群に対して行われており、攻撃中に通信障害がおこる可能性を報告
38 9時48分頃 接続障害の可能性が考えられる場合は利用や課金の一時的な見合わせをするように利用者へ呼びかけ
39 10時頃 ゲーム中のイベント期間を延長することを検討中と報告
40 17時16分頃 夕方以降、「艦これ」各サーバ群に対して攻撃が行われ始めたと報告
41 23時50分頃 攻撃により一時的な接続障害が発生している可能性を報告。
42 23時58分頃 関係当局への届出、業務妨害行為への必要な措置を取ると報告
2019年1月15日(火)
No Twitter 投稿時間 概要/障害が発生している対象
43 9時41分頃 「艦これ」稼働サーバ群が攻撃を受けていること、関係者と必要な措置を取ることを報告
44 10時3分頃 開催中のイベントを22日朝まで延長すると発表
45 23時10分頃 艦これサーバーに対して攻撃が発生中、追加の対策を検討していると報告
46 23時10分頃 DoS攻撃が発生と対策の準備をしていると報告
2019年1月16日(水)
No Twitter 投稿時間 概要/障害が発生している対象
47 9時43分頃 断続的に攻撃が発生し接続が不安定になる可能性があると報告
2019年1月17日(木)
No Twitter 投稿時間 概要/障害が発生している対象
48 9時43分頃 断続的に攻撃が発生し接続が不安定になる可能性があると報告
2019年1月19日(土)
No Twitter 投稿時間 概要/障害が発生している対象
49 9時47分頃 これまでよりも広範囲をターゲットとした攻撃が発生していると報告

更新履歴

  • 2019年1月12日 AM 新規作成
  • 2019年1月13日 AM 最新の情報を反映、一部サーバーのIPアドレスの情報が古かったため修正。
  • 2019年1月14日 AM 最新の情報を反映、掲載内容の順序を変更(公式報告が伸びてきたため後ろに移動)
  • 2019年1月15日 AM 最新の情報を反映
  • 2019年1月16日 AM 最新の情報を反映
  • 2019年1月18日 PM 最新の情報を反映
  • 2019年1月20日 AM 最新の情報を反映
  • 2019年1月25日 AM 最新の情報を反映
  • 2019年1月28日 PM 最新の情報を反映
  • 2019年1月31日 PM 最新の情報を反映
  • 2019年2月12日 PM 最新の情報を反映

[インシデントまとめ] 艦隊これくしょんへのDoS攻撃についてまとめみた

2019年1月10日頃から、DMMが運営するゲーム「艦隊これくしょん」に対してDoS攻撃とみられる影響(Twitter公式では「飽和接続攻撃」と表現)により、接続障害が発生しています。ここでは関連情報をまとめます。

公式アカウントの障害報告

2019年1月9日夜頃から攻撃による障害が発生していると報告が行われている。

NoTwitter 投稿日時概要/障害が発生している対象
12019年1月10日 2時頃1月9日夜以降「艦これ」ログインサーバ群障害発生
22019年1月10日 10時7分頃1月9日以降の障害復旧報告
32019年1月10日 18時21分頃1月10日で「佐世保鎮守府サーバ」などの複数の「艦これ」サーバ群障害発生
42019年1月10日 23時33分頃1月10日夜以降「艦これ」稼働各サーバ群のほぼ全領域で障害発生
52019年1月11日9時59分頃今週以降海外からの攻撃が発生し対策中との報告。
62019年1月11日 16時4分頃1月1日午後以降「横須賀鎮守府サーバ」をはじめとした「艦これ」稼働各サーバ群で障害発生
72019年1月11日 18時21分頃「艦これ」稼働各サーバ群に対して攻撃が継続中と報告
82019年1月11日 19時38分頃「トラック泊地サーバ」で障害発生したが復旧したと報告
92019年1月12日 0時34分頃「大湊警備府」及び「ブイン基地」に対して攻撃による障害発生。「大湊警備府」は復旧。
102019年1月12日 1時16分頃「タウイタウイ泊地サーバ」で障害発生、現在復旧したと報告
112019年1月12日 1時27分頃「舞鶴鎮守府サーバ」で障害発生
122019年1月12日 1時59分頃「呉鎮守府(新呉鎮守府)サーバ」で障害発生

DDosMonでのDoSトラフィックの状況

2019年1月12日 6時頃に公開されているデータでは以下の通り。サーバーのIPアドレスはこちらの記事を参考にさせていただきました。

Noサーバー名DoSトラフィックの検出回数種別
1横須賀鎮守府無し
2呉鎮守府無し
3新呉鎮守府有り3回syn_flood_target-mix_RST
amp_flood_target-CLDAP
4佐世保鎮守府無し
5舞鶴鎮守府無し
6大湊警備府無し
7トラック泊地無し
8リンガ泊地無し
9ラバウル基地無し
10ショートランド泊地無し
11ブイン基地無し
12タウイタウイ泊地有り3回amp_flood_target-NTP
amp_flood_target-CLDAP
13パラオ泊地有り2回amp_flood_target-CLDAP
14ブルネイ泊地有り4回cc_flood_target
amp_flood_target-DNS
amp_flood_target-CLDAP
15単冠湾泊地有り1回amp_flood_target-CLDAP
16幌筵泊地有り3回amp_flood_target-CLDAP
syn_flood_target-mix_RST
17宿毛湾泊地有り1回amp_flood_target-CLDAP
18鹿屋基地有り2回amp_flood_target-CLDAP
19岩川基地有り3回cc_flood_target
amp_flood_target-CLDAP
20佐伯湾泊地有り1回amp_flood_target-CLDAP
21柱島泊地有り2回amp_flood_target-NTP
amp_flood_target-CLDAP

更新履歴

  • 2019年1月12日 AM 新規作成

[インシデントまとめ] フォロー&リツイート当選詐欺についてまとめてみた

Twitterでフォロー、リツイートを行った人を対象に抽選を行うといった方法を悪用して詐欺が発生していると複数の報告されています。

ここでは関連する情報をまとめます。また同様の手口が今後も続く可能性があります。ご注意ください。

詐欺として報告が相次ぐツイート

  • これまでDROP、AIRDROPといった社名を用いている。
  • 懸賞やプレゼントキャンペーン、福袋と名乗って、Playstation4やiPhoneなど高額な商品が当たると誘導するもの。
  • 応募方法はフォローと抽選ツイートをリツイートすること。
  • 過去に当選した人物がいるとしてWebサイト上で該当ツイートを紹介。

f:id:Kango:20190110172715p:image:w450

詐欺とみられるツイートの一例

詐欺ツイートを行っていたとみられるアカウント

確認している範囲では次のアカウント。現在はいずれも削除、または凍結されている。

  • 0FFCIAL_DROP
  • official__Drop
  • OfficiaI_Drop

当選連絡を受けた人の報告

被害を受けたと報告されている方によれば次の手口が行われていた模様。*1

  • (1) 該当アカウントから当選後に送料負担の連絡が届く。
  • (2) クレジットカード情報の入力が求められる。
  • (3) ホテルから当選者の名義で荷物が届いていると連絡。
  • (4) クレジットカードが不正利用されていた。

当選報告はサクラの可能性

以下のような状況から当選報告の写真などを掲載しているアカウントは何らかの理由によりサクラの可能性がある。

  • いくつものアカウントが一言一句同じのツイートを行っている。
  • 本当に届いたのか確認を当選報告アカウントへ行うと「同業者のネガキャン」などと当選連絡を受けた人を信じさせる内容を送信してくる。*2
  • 当選後に海外のアカウントから急にお祝いのメンションが飛んでくる。*3

誘導先のWebサイト

  • 確認している範囲では以下のWebサイトが個人情報やクレジットカード情報の入力に利用されている模様。(現在も稼働中)
www.jp-drop.com
twitter-mobile.com
twitter-shop.com

被害報告を行った人への対応

  • 該当アカウントからブロックが行われる。
  • 脅迫や誹謗中傷する内容が送られてきていたとの報告がある。
  • 脅迫は入力した個人情報をばらまくなどとするもの。
  • 実際にサクラとみられるアカウントを用いて氏名や電話番号など投稿が行われていた模様。

抽選投稿を拡散させるためメールでリツイート依頼

  • 抽選ツイートをリツイートすれば謝金(2万円)を支払うといったメールが届いていた。
  • 届いた人はフォロワー数が多く、インターネット上にメールアドレスを公開していた模様。

関連情報

更新履歴

  • 2019年1月10日 PM 新規作成

フォロー&リツイート当選詐欺についてまとめてみた

Twitterでフォロー、リツイートを行った人を対象に抽選を行うといった方法を悪用して詐欺が発生していると複数の報告されています。
ここでは関連する情報をまとめます。また同様の手口が今後も続く可能性があります。ご注意ください。

詐欺として報告が相次ぐツイート

  • これまでDROPAIRDROPといった社名を用いている。
  • 懸賞やプレゼントキャンペーン、福袋と名乗って、Playstation4iPhoneなど高額な商品が当たると誘導するもの。
  • 応募方法はフォローと抽選ツイートをリツイートすること。
  • 過去に当選した人物がいるとしてWebサイト上で該当ツイートを紹介。


詐欺とみられるツイートの一例(アカウント凍結済)

詐欺ツイートを行っていたとみられるアカウント

確認している範囲では次のアカウントが一連の投稿を行っている。

当選連絡を受けた人の報告

被害を受けたと報告されている方によれば次の手口が行われていた模様。*1

  • (1) 該当アカウントから当選後に送料負担の連絡が届く。
  • (2) クレジットカード情報の入力が求められる。
  • (3) ホテルから当選者の名義で荷物が届いていると連絡。
  • (4) クレジットカードが不正利用されていた。

過去の当選報告例はサクラの可能性

以下のような状況から当選報告の写真などを掲載しているアカウントは何らかの理由によりサクラの可能性がある。

  • いくつものアカウントが一言一句同じのツイートを行っている。
  • 本当に届いたのか確認を当選報告アカウントへ行うと「同業者のネガキャン」などと当選連絡を受けた人を信じさせる内容を送信してくる。*2
  • 当選後に海外のアカウントから急にお祝いのメンションが飛んでくる。*3

誘導先のWebサイト

  • 確認している範囲では以下のWebサイトが個人情報やクレジットカード情報の入力に利用されている模様。(現在も稼働中)
www.jp-drop.com
twitter-mobile.com
twitter-shops.com
www.cyberdynejp.com

被害報告を行った人への対応

  • 該当アカウントからブロックが行われる。
  • 脅迫や誹謗中傷する内容が送られてきていたとの報告がある。
  • 脅迫は入力した個人情報をばらまくなどとするもの。
  • 実際にサクラとみられるアカウントを用いて氏名や電話番号など投稿が行われていた模様。

抽選投稿を拡散させるためメールでリツイート依頼

  • 抽選ツイートをリツイートすれば謝金(2万円)を支払うといったメールが届いていた。
  • 届いた人はフォロワー数が多く、インターネット上にメールアドレスを公開していた模様。

更新履歴

  • 2019年1月10日 PM 新規作成
  • 2019年1月11日 AM 見出し修正、WebサイトのURLを修正
  • 2019年1月15日 PM 最新の情報を反映

オーストラリアの気象情報サービスの不正アクセスについてまとめてみた

オーストラリアで気象情報の通知サービスを提供する「Early Warning Network」で、1月5日夜に何者かにより勝手に通知メッセージ(スパム)が送信される被害が発生しました。ここでは関連情報をまとめます。

公式発表

*** Update 11am EDT 7th January*** 
The unauthorized alert sent on Saturday night was undertaken by an unauthorized person using illicitly gained credentials to login and post a nuisance spam-notification to some of our customers.
The link used in this alert were non-harmful and your personal information was not compromised in this event. Investigations are continuing with the Police and Australian Cyber Security Centre.

Original Information
At around 930pm EDT 5th January, the EWN Alerting system was illegally accessed with a nuisance message sent to a part of EWNs database.
This was sent out via email, text message and landline.
EWN staff at the time were able to quickly identify the attack and shut off the system limiting the number of messages sent out. Unfortunately, a small proportion of our database received this alert.
Our systems are back up and running providing ongoing alerts for severe weather and natural hazard events. Investigations are continuing with police involvement.

発表内容(意訳)は以下の通り。

  • 2019年1月5日 21時30分頃(米東部標準時)に一部の利用者へスパム通知が送信される事態が発生。
  • 何者かが不正に取得された認証情報を用いてEWNのシステムへログインした。
  • 個人情報は今回の不正アクセスによる侵害を確認していない。(取材では個人情報を保持していないとコメント)
  • 早めに異常を検知したため、システムを停止し、送信されるメッセージ数を制限することが出来た。
  • システムはバックアップされており、気象警告のサービスも継続して提供されている。

被害状況・対応等

  • 気象情報の通知サービスに不正アクセスし、利用者へスパムメッセージが送信された。
  • 地方自治体、州、連邦政府の警告システムが影響を受けた。
  • EWNは今回の通知を受け取った具体的な人数は明らかにしていない。
  • EWNはオーストラリア国内から被害を受けたものとみている。*1
  • クイーンズランド州警察、豪サイバーセキュリティセンターと共同で調査を行っている。

送信されたスパムメッセージ

  • EWNによれば電子メール、テキストメッセージ、固定電話を介して送信された
  • サービスがハッキングされたこと、そしてサービスの購読中止を呼び掛ける内容となっている。
  • リンクは有害なものではないと発表している。
SMS

EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.
ewn.com.au ASX AER

Email
Fromアドレス alert@ewn.com.au
件名 EWN Hacked - Privacy Alert
本文 EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ASX AER WEN ewn.com.au

更新履歴

  • 2019年1月8日 PM 新規作成

[インシデントまとめ] オーストラリアの気象情報サービスの不正アクセスについてまとめてみた

オーストラリアで気象情報の通知サービスを提供する「Early Warning Network」で、1月5日夜に何者かにより勝手に通知メッセージ(スパム)が送信される被害が発生しました。ここでは関連情報をまとめます。

公式発表

*** Update 11am EDT 7th January*** 
The unauthorized alert sent on Saturday night was undertaken by an unauthorized person using illicitly gained credentials to login and post a nuisance spam-notification to some of our customers.
The link used in this alert were non-harmful and your personal information was not compromised in this event. Investigations are continuing with the Police and Australian Cyber Security Centre.

Original Information
At around 930pm EDT 5th January, the EWN Alerting system was illegally accessed with a nuisance message sent to a part of EWNs database.
This was sent out via email, text message and landline.
EWN staff at the time were able to quickly identify the attack and shut off the system limiting the number of messages sent out. Unfortunately, a small proportion of our database received this alert.
Our systems are back up and running providing ongoing alerts for severe weather and natural hazard events. Investigations are continuing with police involvement.

発表内容(意訳)は以下の通り。

  • 2019年1月5日 21時30分頃(米東部標準時)に一部の利用者へスパム通知が送信される事態が発生。
  • 何者かが不正に取得された認証情報を用いてEWNのシステムへログインした。
  • 個人情報は今回の不正アクセスによる侵害を確認していない。(取材では個人情報を保持していないとコメント)
  • 早めに異常を検知したため、システムを停止し、送信されるメッセージ数を制限することが出来た。
  • システムはバックアップされており、気象警告のサービスも継続して提供されている。

被害状況・対応等

  • 気象情報の通知サービスに不正アクセスし、利用者へスパムメッセージが送信された。
  • 地方自治体、州、連邦政府の警告システムが影響を受けた。
  • EWNは今回の通知を受け取った具体的な人数は明らかにしていない。
  • EWNはオーストラリア国内から被害を受けたものとみている。*1
  • クイーンズランド州警察、豪サイバーセキュリティセンターと共同で調査を行っている。

送信されたスパムメッセージ

  • EWNによれば電子メール、テキストメッセージ、固定電話を介して送信された
  • サービスがハッキングされたこと、そしてサービスの購読中止を呼び掛ける内容となっている。
  • リンクは有害なものではないと発表している。
SMS

EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ewn.com.au ASX AER

Email
Fromアドレスalert@ewn.com.au
件名EWN Hacked - Privacy Alert
本文EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ASX AER WEN ewn.com.au

更新履歴

  • 2019年1月8日 PM 新規作成

[インシデントまとめ] 米国新聞社で発生したサイバー攻撃についてまとめてみた

2018年12月29日、米国大手新聞社がマルウェアに感染し、複数の新聞紙の印刷や配送などに影響が出たと報じられています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時出来事
2018年12月27日真夜中米国ロサンゼルス他全米の印刷工場内でマルウェア感染が発生。
2018年12月28日技術担当者らが感染したサーバーを隔離し復旧。
同日ネットワークを通じて制作や印刷関連のシステムで再感染発生。
2018年12月29日影響を受けた新聞社で新聞内容が縮小されたり、配送が遅延、または翌日になる被害が発生。
同日米国土安全保障省が新聞社の状況について調査をしているとコメント。*1

影響を受けた新聞社

  • 「Tribune Publishing」のシステム(記事、写真、管理情報を保存するシステムなど)を利用する新聞社が影響を受けたとみられる。

マルウェア感染による影響

  • Tribune版の新聞紙の85〜90%の購読者へ土曜日29日付の新聞紙が届かなかった可能性がある。
  • Sandiego Union-Tribuneによればこれは数十年で最大の発行中断としている。
  • 本来3,4時ころ到着するはずの朝刊紙が当日は7,8時頃に遅配された。
  • カスタマーサポートなど電話回線が妨害されていたと報じている新聞社もある。*2
  • 障害発生の最中、タイムカードシステムがしばらくオフラインの状態となっていたと報じられている。

マルウェアの詳細

  • Tribuneの状況を知る関係者によれば、「Ryuk」ランサムウェアの可能性があると報じられている。*3
  • ファイルの拡張子に「.ryk」が含まれていたため。
  • Tribune Publishingは加入者、広告主など個人情報は侵害されていないとコメント。
  • 配送遅延などが生じた新聞社のWebサイトは影響を受けていなかった。
  • 攻撃元についてTribune Publishingは「確認ができない」と取材に対しコメント。
  • Los Angeles Timesは「米国外から発生したようだ」と報道。
  • その後断定はまだ早すぎるとTribune Publishing広報担当者からコメントが出された。*4

更新履歴

  • 2018年12月31日 AM 新規作成

米国新聞社で発生したサイバー攻撃についてまとめてみた

2018年12月29日、米国大手新聞社がマルウェアに感染し、複数の新聞紙の印刷や配送などに影響が出たと報じられています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2018年12月27日真夜中 Tribune Publishingでマルウェア感染が発生。
同日 米国ロサンゼルス他全米の印刷工場内に影響が波及した模様。*1
2018年12月28日 技術担当者らが感染したサーバーを隔離し復旧。
同日 ネットワークを通じて制作や印刷関連のシステムで再感染発生。
2018年12月29日 影響を受けた新聞社で新聞内容が縮小されたり、配送が遅延、または翌日になる被害が発生。
同日 国土安全保障省が新聞社の状況について調査をしているとコメント。*2
2018年12月31日 NHKの取材に対して、LATimesはまだ完全に復旧はしてないとコメント。*3

影響を受けた新聞社

  • 「Tribune Publishing」のシステム(記事、写真、管理情報を保存するシステムなど)を利用する新聞社が影響を受けたとみられる。

マルウェア感染による影響

  • Tribune版の新聞紙の85〜90%の購読者へ土曜日29日付の新聞紙が届かなかった可能性がある。
  • Sandiego Union-Tribuneによればこれは数十年で最大の発行中断としている。
  • 本来3,4時ころ到着するはずの朝刊紙が当日は7,8時頃に遅配された。
  • カスタマーサポートなど電話回線が妨害されていたと報じている新聞社もある。*4
  • 障害発生の最中、タイムカードシステムがしばらくオフラインの状態となっていたと報じられている。

マルウェアの詳細

  • Tribuneの状況を知る関係者によれば、「Ryuk」ランサムウェアの可能性があると報じられている。*5
  • ファイルの拡張子に「.ryk」が含まれていたため。
  • Tribune Publishingは加入者、広告主など個人情報は侵害されていないとコメント。
  • 配送遅延などが生じた新聞社のWebサイトは影響を受けていなかった。
  • 攻撃元についてTribune Publishingは「確認ができない」と取材に対しコメント。
  • Los Angeles Timesは「米国外から発生したようだ」と報道。
  • その後断定はまだ早すぎるとTribune Publishing広報担当者からコメントが出された。*6
  • NYTとWSJの配給遅延は付随的な影響で、同じマルウェアによるものかは確定はしていないと報じられている。*7

更新履歴

  • 2018年12月31日 AM 新規作成
  • 2018年12月31日 PM 続報反映

[インシデントまとめ] ランサムウェア感染によるブルーチップのシステム障害についてまとめてみた

2018年12月17日、ブルーチップは同社のポイントカードシステムが稼働するサーバーがランサムウェアに感染したと発表しました。同社が請け負う複数の小売店などでポイントサービスが利用できない等の影響が出ています。ここでは関連する情報をまとめます。

公式発表

  • 2018年12月14日 障害の発生に関するご案内

現在システム障害により、ブルーチップコーポレートサイトとBEAM SHOP(ビームショップ)がアクセスできない状況になっております。

御迷惑をおかけして大変申し訳ございません。

復旧に向け現在対応しておりますので、いま暫らくお待ち頂きますようお願い申し上げます。

導入企業 サツドラホールディングス(EZOCA)の発表

導入企業 トーホーストア(トーホーポイントカード)の発表

導入企業 サニーマート(ハーティカード)

導入企業 Aコープ東北(純情メンバーズカード)

導入企業 よこまちストア(よこまちカード)


インシデントタイムライン

日時出来事
2018年12月13日 未明富士通がシステム処理中に異常を検知。
同日 3時頃ブルーチップのサーバーでランサムウェアの感染が判明。
同日 早朝ポイントシステムで障害で発生。
同日 早朝ブルーチープ、富士通で対策チームを発足。
2018年12月15日ブルーチップが対策本部を設置。
2018年12月17日ブルーチップがシステム障害の原因がランサムウェア感染によるものであったと発表。
2018年12月20日ブルーチップが安全性の検証が復旧見込みが立たないとして20日中の再稼働を見送り。
2018年12月22日以降トーホーストアや文化堂がポイントシステムの23日復旧見込みをアナウンス。

登場人物の整理

ブルーチップ小売店などへポイントカードシステム(BEAM SYSTEM)を運用。
富士通ブルーチップのサーバーのホスティング先。データセンターで稼働していた。
小売店などブルーチップ社のポイントカードシステムを採用していた。

被害状況

  • ポイントシステムを使ったポイント利用、残高照会、キャンペーン等が出来ない。
  • 専用端末(ビームステーション)の利用ができない。
  • ブルーチップのシステム導入企業は約50社と報じられている。*1
  • 2018年12月12日までのポイント情報は別の機器に保存されていた。(サツドラホールディングスが取材に回答)
  • 12月18日9時の時点個人情報の漏えいなどは確認されていない。
  • 各社のポイントはシステム復旧後に加算される予定。(一部企業は2019年1月中旬頃をアナウンス)

影響を受けた・受けているとみられる小売店等

報じられている企業
  • サツドラホールディングス(札幌市)
  • トーホーストア(神戸市)
  • サニーマート(高知市)
  • 文化堂(東京都)
  • トップマート(千葉市)
  • カノー(大阪市)
  • 松山生協(愛媛)
  • Aコープ東北
  • よこまちストア
検索などから影響を受けたとみられる企業
  • 新鮮市場マルエイ(埼玉)
  • シマダヤ(東京)
  • セイブ(水戸市)
  • 神楽坂ファンくらぶ
  • 阪急オアシス(阪急ファミリーストア)
  • まるき
  • ひらせいホームセンター
  • みのせ
  • スーパーカケモ
  • ベル
  • ブイシージー
  • ファンズ
  • 丸江
  • 宍倉
  • スーパーおおたや
  • さとうグループ
  • パレット
  • ファミリーストアさとう
  • サンゼン
  • スーパーラック
  • ヒバリヤ

感染したランサムウェア

  • 現時点で具体的なランサムウェアの種類については発表されていない。
  • 異常検知した富士通は感染経路などの詳細な原因も調査中としている。
  • ブルーチップは導入企業に対して「新種のランサムウェア」と発表している。

更新履歴

  • 2018年12月21日 AM 新規作成

ランサムウェア感染によるブルーチップのシステム障害についてまとめてみた

2018年12月17日、ブルーチップは同社のポイントカードシステムが稼働するサーバーがランサムウェアに感染したと発表しました。同社が請け負う複数の小売店などでポイントサービスが利用できない等の影響が出ています。ここでは関連する情報をまとめます。

公式発表

現在システム障害により、ブルーチップコーポレートサイトとBEAM SHOP(ビームショップ)がアクセスできない状況になっております。
御迷惑をおかけして大変申し訳ございません。
復旧に向け現在対応しておりますので、いま暫らくお待ち頂きますようお願い申し上げます。

インシデントタイムライン

日時 出来事
2018年12月13日 未明 富士通がシステム処理中に異常を検知。
同日 3時頃 ブルーチップのサーバーでランサムウェアの感染が判明。
同日 早朝 ポイントシステムで障害で発生。
同日 早朝 ブルーチープ、富士通で対策チームを発足。
2018年12月15日 ブルーチップが対策本部を設置。
2018年12月17日 ブルーチップがシステム障害の原因がランサムウェア感染によるものであったと発表。
2018年12月20日 ブルーチップが安全性の検証が復旧見込みが立たないとして20日中の再稼働を見送り。
2018年12月21日 ブルーチップが22日から正常にサービスを再開すると発表。*1
2018年12月22日 トーホーストアや文化堂がポイントシステムの23日復旧見込みをアナウンス。

登場人物の整理

ブルーチップ 売店などへポイントカードシステム(BEAM SYSTEM)を運用。
富士通 ブルーチップのサーバーのホスティング先。データセンターで稼働していた。
売店など ブルーチップ社のポイントカードシステムを採用していた。

被害状況

  • ポイントシステムを使ったポイント利用、残高照会、キャンペーン等が出来ない。
  • 専用端末(ビームステーション)の利用ができない。
  • ブルーチップのシステム導入企業は約50社と報じられている。*2
  • 2018年12月12日までのポイント情報は別の機器に保存されていた。(サツドラホールディングスが取材に回答)
  • 12月18日9時の時点個人情報の漏えいなどは確認されていない。
  • 各社のポイントはシステム復旧後に加算される予定。(一部企業は2019年1月中旬頃をアナウンス)

影響を受けた・受けているとみられる小売店

導入企業 案内
サツドラホールディングス(札幌市) 2018年12月13日 お客様へ重要なお知らせ
2018年12月14日 EZOCAシステム障害のお知らせ
2018年12月17日 EZOCAシステム障害のお知らせ(12/17時点続報)
2018年12月20日 EZOCAシステム障害のお知らせ(12/20時点続報)
2018年12月21日 EZOCAシステム復旧のお知らせ
トーホーストア(神戸市) 2018年12月19日 ポイントカードに関するお詫び
2018年12月20日 ポイントカードに関するお詫び(続報:12/20時点)
2018年12月21日 ポイントカードに関するお詫び(続報:12/21時点)
2018年12月25日 ポイントカードに関するお詫びとお知らせ(続報)
サニーマート(高知市 2018年12月17日 ハーティカードポイントシステムの被害について。業務委託先 ブルーチップ株式会社高知営業部
2018年12月25日 ハーティカード会員の皆様へ システム上のトラブル復旧のご報告
文化堂(東京都) 公式サイト上で確認できず
トップマート(千葉市 公式サイト上で確認できず
カノー(大阪市 公式サイト上で確認できず
松山生協(愛媛) 公式サイト上で確認できず
Aコープ東北 2018年12月21日 ポイントサービス不具合発生に関するお詫び
よこまちストア 2018年12月16日 [PDF] カード会員様へ お詫び
2018年12月23日 [PDF] カード会員様へ お知らせ
マルエー facebookの投稿
facebookの投稿

感染したランサムウェア

  • 現時点で具体的なランサムウェアの種類については発表されていない。
  • 異常検知した富士通は感染経路などの詳細な原因も調査中としている。
  • ブルーチップは導入企業に対して「新種のランサムウェア」と発表している。

更新履歴

  • 2018年12月21日 AM 新規作成
  • 2018年12月22日 AM 続報反映
  • 2018年12月25日 PM 続報反映

[インシデントまとめ] PayPayに関連するインシデントについてまとめてみた

2018年10月5日より提供が開始された決済サービス「PayPay」に関連するインシデントについてまとめます。

インシデントを含む最近の出来事

日時出来事
2018年7月3日QRコードを用いた決済サービス「PayPay」の提供を開始するとアナウンス*1
2018年10月5日PayPayのサービス提供開始。*2
2018年11月22日PayPay支払い時に還元する「100億円あげちゃうキャンペーン」を発表。*3
2018年12月4日100億円あげちゃうキャンペーンを開始。
同日ビックカメラグループ、ファミリーマートでPayPay支払いの利用開始。
同日PayPay支払いで多重課金される不具合が発生。
2018年12月13日還元上限額に到達したとして100億円あげちゃうキャンペーンが終了。*4
2018年12月17日PayPay支払いによるクレジットカードの不正利用が多発していると報道。
2018年12月18日アプリのクレジットカード情報の入力回数制限に対応したバージョンアップ。*5

サービス開始以降に発生したPayPayで発生した障害・不具合など

PayPayからお知らせにて掲載されているメンテナンス、障害、不具合は以下の通り。

No分類発生期間概要
1障害2018年10月27日〜2018年11月1日PayPayボーナス進呈に遅延が発生。*6
2不具合2018年11月6日15時30分頃〜21時37分頃「全国で使えるお店一覧」の位置情報表示に不具合が起こり提供を一時停止。*7
3障害2018年11月24日12時55分頃〜14時30分頃PayPayの決済、チャージ、送金(譲渡)機能に不具合が発生。*8
4障害2018年11月28日キャンペーンの進呈が行われていなかった。12月12日までに進呈を完了。*9
5不具合2018年11月28日Android版のコード支払い利用時に支払い完了画面が表示されない等の不具合。
6障害2018年12月3日16時40分頃〜17時40分頃PayPayのサービスが利用できない状態が発生した。*10
7メンテナンス2018年12月4日0時30分〜1時30分の間メンテナンスによりPayPayサービスが停止。*11
8障害2018年12月4日12時45分頃〜13時56分頃PayPayが利用しづらい、多重決済される状態が発生。*12
9障害2018年12月4日18時14分頃〜18時31分頃PayPayが利用できない状態が発生。*13
10障害2018年12月4日(断続的に発生)PayPayが利用しづらい状況が発生。*14
11障害2018年12月6日17時45分頃〜18時25分頃PayPayが利用しづらい状況が発生。*15
12不具合2018年12月7日Android版アプリで特定のChromeバージョン利用時にYahoo!JAPAN IDにログインできない不具合。*16
13不具合2018年12月8日PayPayボーナスの付与表示遅延が発生。*17
14不具合2018年12月8日PayPay決済履歴の表示遅延が発生。*18
15メンテナンス2018年12月8日17時10分〜17時25分緊急メンテによりPayPayが利用できない状況が発生。*19
16メンテナンス2018年12月13日18時5分頃〜19時26分頃緊急メンテによりPayPayが利用できない状況が発生。*20

12月4日に発生した多重決済の障害

  • 2018年12月4日午後にPayPayが利用しづらい状態が発生した。
  • 当該期間中にPayPay支払いを利用した一部のユーザーが多重決済された。
  • 多重決済は同一金額の支払いが2回に限らず3回、4回なども確認されていた。
  • PayPayは多重決済が発生した利用者に対し、サポートへ連絡するよう案内。
  • 報道によれば購入先に利用者が出向いて確認が必要となるケースもあった模様。

還元キャンペーン終了情報の怪情報

  • 還元上限額がキャンペーン全体で100億円までと設定されているため、終了時期に関連する怪情報が出回った。
  • 2018年12月7日にはヤマダ電機が「100億達成間近!!!お急ぎください!!!」とポップを掲示した。*21
  • 2018年12月10日には内部情報からとして14日、15日に終了が予測されるといった怪情報がTwitterに投稿された。*22
  • 2018年12月13日にはファミリーマートの内部向け連絡資料と思われる画像が出回った。*23
    • 画像にはキャンペーンは13日23時59分で終了。22時まで厳秘とすると記述されていた。
    • Twitterでは2018年12月13日午後には既に出回っていたとみられる。
    • 怪情報を元に取材したメディアへ対してPayPayは自社発表の情報ではないと否定。

クレジットカードの不正利用

  • 2018年12月11日頃からインターネット上でPayPay支払いを通じたクレジットカードの不正利用があると報告が出始める。
  • 2018年12月14日にPayPayも利用記憶のないクレジットカード請求への対応を案内。*24

  • PayPayを用いた不正利用被害は初めて。
  • PayPayには12月11日以降、数十件の問い合わせがあった。サービスを利用していない人からも問い合わせがあった。
  • 警視庁へは不正利用の複数の被害相談が寄せられている。
不正利用の手口・発覚の流れ
  • (1) 何らかの手段を用いてクレジットカード情報を登録。
  • (2) PayPay支払いで家電量販店などで高額決済。
  • (3) クレジットカード会社から不正利用の連絡が利用者へ通知。
不正利用の被害金額
  • 全体の被害金額等の情報は公式、報道では明らかにされていない。
  • 一人当たりの被害は100万円に及んでいたケースも報告されている。

報じられた被害事例

概要被害金額
家計簿アプリで心当たりのない家電量販店の支払いを確認。約78万円
PayPayを利用していないが、カード会社から家電量販店の支払いがあると問い合わせ受け発覚。約4万5000円
Twitterでの報告の引用約50万円
原因
  • セキュリティコード等手当たり次第に入力する方法で悪用された可能性がある。*25
  • PayPay支払いに登録する有効期限やセキュリティコードを入力試行が出来たという検証記事がある。*26
  • 入力回数制限を設定していなかった理由は「利用者の入力ミスなどを想定していた」とPayPay広報の回答が報じられている。*27
  • 不正利用は第三者がPayPay支払いを悪用したものであり、PayPayからクレジットカード情報が流出したわけではない。
  • クレジットカード情報が何らかの際に流出していた場合に影響を受け、PayPayを自分が利用しているかは関係がない。
  • 12月18日にPayPayは不正利用発覚後の対応としてセキュリティコード(CVV)などの入力回数制限を設定している。
  • 制限にかかるとアカウントロックが行われる仕組み。

カード情報がダークウェブ上で売買か
  • 12月4日の還元キャンペーンに合わせてクレジットカード情報が大量に売買されていたとマキナレコードが取材に回答している。*28

更新履歴

  • 2018年12月19日 AM 新規作成

*1https://about.yahoo.co.jp/pr/release/2018/07/27a/

*2https://image.paypay.ne.jp/pdf/pr20181005.pdf

*3https://image.paypay.ne.jp/pdf/pr20181122_02.pdf

*4https://image.paypay.ne.jp/pdf/pr20181213.pdf

*5https://twitter.com/PayPayOfficial/status/1074850262458585093

*6https://www.paypay-corp.co.jp/notice/20181101/228/

*7https://www.paypay-corp.co.jp/notice/20181106/01

*8https://www.paypay-corp.co.jp/notice/20181124/01

*9https://www.paypay-corp.co.jp/notice/20181128/01

*10https://www.paypay-corp.co.jp/notice/20181203/02/

*11https://www.paypay-corp.co.jp/notice/20181203/03/

*12https://www.paypay-corp.co.jp/notice/20181204/02/

*13https://www.paypay-corp.co.jp/notice/20181204/04/

*14https://www.paypay-corp.co.jp/notice/20181204/05/

*15https://www.paypay-corp.co.jp/notice/20181206/02/

*16https://www.paypay-corp.co.jp/notice/20181207/01/

*17https://www.paypay-corp.co.jp/notice/20181208/01/

*18https://www.paypay-corp.co.jp/notice/20181208/02/

*19https://www.paypay-corp.co.jp/notice/20181208/03/

*20https://www.paypay-corp.co.jp/notice/20181213/01/

*21https://twitter.com/maenomelife/status/1070956366469115904

*22https://twitter.com/shuenoya1040027/status/1071978154107883520

*23PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定,engadget,2018年12月13日

*24https://www.paypay-corp.co.jp/notice/20181214/01/

*25:ペイペイ不正対策強化 カード流出情報で被害か,読売新聞,2018年12月18日朝刊

*26PayPayの「仕様」がクレジットカード不正利用の原因に?試してみた,カミアプ,2018年12月17日

*27https://twitter.com/kabuakan/status/1074678218043449345

*28「50万以上、どーなってるの」…ペイペイ不正,読売新聞,2018年12月18日

PayPayに関連するインシデントについてまとめてみた

2018年10月5日より提供が開始された決済サービス「PayPay」に関連するインシデントについてまとめます。

インシデントを含む最近の出来事

日時 出来事
2018年7月3日 QRコードを用いた決済サービス「PayPay」の提供を開始するとアナウンス*1
2018年10月5日 PayPayのサービス提供開始。*2
2018年11月22日 PayPay支払い時に還元する「100億円あげちゃうキャンペーン」を発表。*3
2018年12月4日 100億円あげちゃうキャンペーンを開始。
同日 ビックカメラグループ、ファミリーマートでPayPay支払いの利用開始。
同日 PayPay支払いで多重課金される不具合が発生。
2018年12月13日 還元上限額に到達したとして100億円あげちゃうキャンペーンが終了。*4
2018年12月17日 PayPay支払いによるクレジットカードの不正利用が多発していると報道。
2018年12月18日 アプリのクレジットカード情報の入力回数制限に対応したバージョンアップ。*5
2018年12月19日 一連のトラブルに対してPayPayがお詫び。*6
2018年12月21日 不正利用の一時的な対策として月あたりのカード利用額を5万円に制限
同日 SNS上での指摘を受け譲渡機能で利用するQRコードの実装を修正
2018年12月27日 PayPayが3Dセキュアの導入予告とカード不正利用への補償について発表。*7

サービス開始以降に発生したPayPayで発生した障害・不具合など

PayPayからお知らせにて掲載されているメンテナンス、障害、不具合は以下の通り。

No 分類 発生期間 概要
1 障害 2018年10月27日〜2018年11月1日 PayPayボーナス進呈に遅延が発生。*8
2 不具合 2018年11月6日15時30分頃〜21時37分頃 「全国で使えるお店一覧」の位置情報表示に不具合が起こり提供を一時停止。*9
3 障害 2018年11月24日12時55分頃〜14時30分頃 PayPayの決済、チャージ、送金(譲渡)機能に不具合が発生。*10
4 障害 2018年11月28日 キャンペーンの進呈が行われていなかった。12月12日までに進呈を完了。*11
5 不具合 2018年11月28日 Android版のコード支払い利用時に支払い完了画面が表示されない等の不具合。
6 障害 2018年12月3日16時40分頃〜17時40分頃 PayPayのサービスが利用できない状態が発生した。*12
7 メンテナンス 2018年12月4日0時30分〜1時30分の間 メンテナンスによりPayPayサービスが停止。*13
8 障害 2018年12月4日12時45分頃〜13時56分頃 PayPayが利用しづらい、多重決済される状態が発生。*14
9 障害 2018年12月4日18時14分頃〜18時31分頃 PayPayが利用できない状態が発生。*15
10 障害 2018年12月4日(断続的に発生) PayPayが利用しづらい状況が発生。*16
11 障害 2018年12月6日17時45分頃〜18時25分頃 PayPayが利用しづらい状況が発生。*17
12 不具合 2018年12月7日 Android版アプリで特定のChromeバージョン利用時にYahoo!JAPAN IDにログインできない不具合。*18
13 不具合 2018年12月8日 PayPayボーナスの付与表示遅延が発生。*19
14 不具合 2018年12月8日 PayPay決済履歴の表示遅延が発生。*20
15 メンテナンス 2018年12月8日17時10分〜17時25分 緊急メンテによりPayPayが利用できない状況が発生。*21
16 メンテナンス 2018年12月13日18時5分頃〜19時26分頃 緊急メンテによりPayPayが利用できない状況が発生。*22
17 不具合 2018年12月21日17時17分頃〜翌22日16時26分頃 金融口座から5万円超のチャージが利用できない状態が発生。*23

12月4日に発生した多重決済の障害

  • 2018年12月4日午後にPayPayが利用しづらい状態が発生した。
  • 当該期間中にPayPay支払いを利用した一部のユーザーが多重決済された。
  • 多重決済は同一金額の支払いが2回に限らず3回、4回なども確認されていた。
  • PayPayは多重決済が発生した利用者に対し、サポートへ連絡するよう案内。
  • 報道によれば購入先に利用者が出向いて確認が必要となるケースもあった模様。


還元キャンペーン終了情報の怪情報

  • 還元上限額がキャンペーン全体で100億円までと設定されているため、終了時期に関連する怪情報が出回った。
  • 2018年12月7日にはヤマダ電機が「100億達成間近!!!お急ぎください!!!」とポップを掲示した。*24
  • 2018年12月10日には内部情報からとして14日、15日に終了が予測されるといった怪情報がTwitterに投稿された。*25
  • 2018年12月13日にはファミリーマートの内部向け連絡資料と思われる画像が出回った。*26
    • 画像にはキャンペーンは13日23時59分で終了。22時まで厳秘とすると記述されていた。
    • Twitterでは2018年12月13日午後には既に出回っていたとみられる。
    • 怪情報を元に取材したメディアへ対してPayPayは自社発表の情報ではないと否定。

クレジットカードの不正利用

  • 2018年12月11日頃からインターネット上でPayPay支払いを通じたクレジットカードの不正利用があると報告が出始める。
  • 2018年12月14日にPayPayも利用記憶のないクレジットカード請求への対応を案内。*27

  • PayPayを用いた不正利用被害は初めて。
  • PayPayには12月11日以降、数十件の問い合わせがあった。サービスを利用していない人からも問い合わせがあった。
  • 警視庁へは不正利用の複数の被害相談が寄せられている。
不正利用の手口・発覚の流れ
  • (1) 何らかの手段を用いてクレジットカード情報を登録。
  • (2) PayPay支払いで家電量販店などで高額決済。
  • (3) クレジットカード会社から不正利用の連絡が利用者へ通知。
不正利用の被害金額
  • 全体の被害金額等の情報は公式では明らかにされていないが、数億円程度との報道がある。*28
  • 一人当たりの被害は100万円に及んでいたケースも報告されている。

報じられた被害事例

概要 被害金額
家計簿アプリで心当たりのない家電量販店の支払いを確認。 約78万円
PayPayを利用していないが、カード会社から家電量販店の支払いがあると問い合わせ受け発覚。 約4万5000円
Twitterでの報告の引用 約50万円
原因
  • セキュリティコード等手当たり次第に入力する方法で悪用された可能性がある。*29
  • PayPay支払いに登録する有効期限やセキュリティコードを入力試行が出来たという検証記事がある。*30
  • 入力回数制限を設定していなかった理由は「利用者の入力ミスなどを想定していた」とPayPay広報の回答が報じられている。*31
  • 不正利用は第三者がPayPay支払いを悪用したものであり、PayPayからクレジットカード情報が流出したわけではない。
  • クレジットカード情報が何らかの際に流出していた場合に影響を受け、PayPayを自分が利用しているかは関係がない。
  • 12月18日にPayPayは不正利用発覚後の対応としてセキュリティコード(CVV)などの入力回数制限を設定している。
  • 制限にかかるとアカウントロックが行われる仕組み。
  • その後の調査で以下に該当するいずれも不正利用ではなかったと明らかにし、3Dセキュアの早期導入を発表した。
    • PayPayにクレジットカードを登録した。
    • 20回以上、セキュリティコードの入力を誤っていた。(サービス開始以来13件登録)
    • PayPayを経由してカード決済を利用した。(9件が確認されいずれも本人が利用)
カード情報がダークウェブ上で売買か
  • 12月4日の還元キャンペーンに合わせてクレジットカード情報が大量に売買されていたとマキナレコードが取材に回答している。*32

譲渡用QRコードが平文で実装されていると話題

  • 2018年12月20日に利用者からQRコードの内、金額部分が平文で送られていると指摘。


  • PayPayは金額などの改ざんはできず直接詐欺等への悪用に利用できるものではないとコメント。
  • 2018年12月21日に修正が加えられ、金額部分が平文ではなくなった。*33

更新履歴

  • 2018年12月19日 AM 新規作成
  • 2018年12月23日 AM 続報反映
  • 2018年12月30日 PM 続報反映

*1:https://about.yahoo.co.jp/pr/release/2018/07/27a/

*2:https://image.paypay.ne.jp/pdf/pr20181005.pdf

*3:https://image.paypay.ne.jp/pdf/pr20181122_02.pdf

*4:https://image.paypay.ne.jp/pdf/pr20181213.pdf

*5:https://twitter.com/PayPayOfficial/status/1074850262458585093

*6:https://twitter.com/PayPayOfficial/status/1075219463190925312

*7:https://paypay.ne.jp/notice-static/20181227/01/

*8:https://www.paypay-corp.co.jp/notice/20181101/228/

*9:https://www.paypay-corp.co.jp/notice/20181106/01

*10:https://www.paypay-corp.co.jp/notice/20181124/01

*11:https://www.paypay-corp.co.jp/notice/20181128/01

*12:https://www.paypay-corp.co.jp/notice/20181203/02/

*13:https://www.paypay-corp.co.jp/notice/20181203/03/

*14:https://www.paypay-corp.co.jp/notice/20181204/02/

*15:https://www.paypay-corp.co.jp/notice/20181204/04/

*16:https://www.paypay-corp.co.jp/notice/20181204/05/

*17:https://www.paypay-corp.co.jp/notice/20181206/02/

*18:https://www.paypay-corp.co.jp/notice/20181207/01/

*19:https://www.paypay-corp.co.jp/notice/20181208/01/

*20:https://www.paypay-corp.co.jp/notice/20181208/02/

*21:https://www.paypay-corp.co.jp/notice/20181208/03/

*22:https://www.paypay-corp.co.jp/notice/20181213/01/

*23:https://www.paypay-corp.co.jp/notice/20181221/02/

*24:https://twitter.com/maenomelife/status/1070956366469115904

*25:https://twitter.com/shuenoya1040027/status/1071978154107883520

*26:PayPayキャンペーン本日終了? 怪文書出回る。PayPayは「公表したものではない」と否定,engadget,2018年12月13日

*27:https://www.paypay-corp.co.jp/notice/20181214/01/

*28:ペイペイ被害が数億円に 経産省など、本人確認指針策定へ,東京新聞,2018年12月29日

*29:ペイペイ不正対策強化 カード流出情報で被害か,読売新聞,2018年12月18日朝刊

*30:PayPayの「仕様」がクレジットカード不正利用の原因に?試してみた,カミアプ,2018年12月17日

*31:https://twitter.com/kabuakan/status/1074678218043449345

*32:「50万以上、どーなってるの」…ペイペイ不正,読売新聞,2018年12月18日

*33:https://twitter.com/shigezo/status/1076252690584285184

[インシデントまとめ]2018年12月に発生したソフトバンクの広域通信障害についてまとめてみた

2018年12月6日、ソフトバンクが提供する通信サービス(ワイモバイル含む)が全国で利用できなくなるシステム障害が発生しました。ここでは関連する情報をまとめます。

公式発表

ソフトバンク株式会社
エリクソン(Telefonaktiebolaget L. M. Ericsson)

タイムライン

日時出来事
2018年2月Softbankのサービスで障害原因となったエリクソン社ソフトウェアの商用稼働開始。
2018年12月6日 13時39分頃Softbankの通信サービスが全国で利用できなくなるなどの障害が発生。
同日 14時過ぎソフトバンクが障害発生の案内を掲載。
同日 15時40分取材に対しソフトバンク広報が調査中と回答。*1
同日 18時4分頃Softbankの障害が順次復旧。
同日ソフトバンクが障害のお詫びと原因について発表。

障害原因

  • エリクソン社製のパケット交換機全台(LTEで利用)で稼働する同社ソフトウェア(SGSN-MME*2)に異常が発生したため。
  • SGSN-MMEの特定の2つのバージョンに問題があり、内包された証明書が期限切れを起こしていた。
ソフトバンクが行った障害への対応
  • 障害が発生したエリクソン社製ソフトウェアを旧バージョンへ戻した。
  • 再発防止にはエリクソン社と共同で取り組むと報告。

影響範囲(1) ソフトバンク 通信サービス

ソフトバンクが提供する以下のサービスが利用できない、または利用しづらい状況が発生した。

対象サービス影響範囲
4G(LTE)携帯電話サービス(緊急通報を含む)全国
固定電話サービス(サービス名「おうちのでんわ」)全国
自宅・家庭用Wi-Fiサービス(サービス名「Softbank Air」)一部地域

影響範囲(2)ソフトバンク回線を利用する事業者

報道によれば次の事業者でもソフトバンク回線を利用しているため同様の障害が起きていると報じられた。*3

影響範囲(3) 通信障害による二次的影響

デジタルチケット利用者への呼びかけ
  • 障害発生によりデジタルチケット(QRコード)の確認が一部利用者ができない恐れがあるとして対応方法を案内。
対象講演対応方法
GLAY 名古屋公演QRコードでの確認は行わずにチケットでのみ入場可能とすると案内。*4
Fafrotskies 香川公演ネット環境がつながる場所であらかじめチケットやマイページのスクリーンショットをするよう案内。*5
ウーマンラッシュアワートークライブ申し込み時の名前をスタッフへ伝えるよう案内。*6
自治体や消防組織からの情報提供

電子決済系サービスの影響
  • モバイルSuica
    • 2018年12月6日 ソフトバンク回線の通信障害
    • 通信を利用する特急券の受け取りや決済サービスで入金ができなくなるなどの障害が発生。*7
    • 改札や買い物では影響は確認されていなかった。
金融系サービスの影響
  • ワンタイムキーやスマート認証アプリ等が利用できない場合があると案内。
さくらインターネット

ソフトバンク網の障害により、ソフトバンク回線での接続がしづらくなっています。

輸送サービスへの影響
航空サービスへの影響
  • ジェットスタージャパンがソフトバンク回線のスマートフォンを搭乗券利用の確認で利用しているため、障害により成田空港3便で最大15分程度の遅延が生じた。

障害に乗じた憶測、噂、デマ、及び各社の対応

Twitter上の反響
  • 障害を受けてTwitter上でソフトバンクの障害に関する投稿が相次ぎ、一時的にTwitterのトレンドがこの話題ばかりとなった。*9
NTTドコモ、auの対応
  • NTTドコモ、auともに通信障害は発生していないと取材に対し回答。*10
  • TwitterでNTTドコモ、auでも障害が発生しているといった投稿があった。*11 *12
  • Downdetectorをソースにしたとみられる。
DownDetectorでのデマ・誤報懸念へのコメント

PayPayが関連しているとの憶測
  • PayPayが12月4日より開始しているキャンペーンの影響を受け、優遇対象となっているソフトバンクユーザーの利用が集中したのではないかという憶測がTwitterで流れた。
  • PayPay広報は取材に対してソフトバンクの通信障害に対しコメントする立場にないと回答。*13

同時期に影響を受けた通信事業者

  • エリクソン社の発表によるとSoftbankの他、海外の通信事業者11社で同時刻帯に同様の障害が発生した。

障害が確認されたとして名前が挙がっている通信事業者は以下の通り。

提供国通信事業者リリースなど
英国Telefonica(O2)Check coverage and network status
 Tesco MobileLive status checker
 giffgaff2G, 3G and 4G services impacted across the UK - 6 Dec2018
 Sky Mobileデータサービスへの影響*14
 Lycamobile 
ベトナムmobifone 

更新履歴

  • 2018年12月7日 AM 公開

2018年12月に発生したソフトバンクの広域通信障害についてまとめてみた

2018年12月6日、ソフトバンクが提供する通信サービス(ワイモバイル含む)が全国で利用できなくなるシステム障害が発生しました。ここでは関連する情報をまとめます。

タイムライン

日時 出来事
2018年3月14日 障害原因となったエリクソン社ソフトウェア(Ver1.14)の商用稼働開始。
2018年4月26日 新旧ソフトウェアの並行運用が終了。
2018年12月6日 13時39分頃 Softbankの通信サービスが全国で利用できなくなるなどの障害が発生。
同日 14時19分頃 ソフトバンクが障害発生の案内を掲載。
同日 14時45分頃 ソフトバンクが一部伝送装置の切り離し作業を開始。
同日 14時57分頃 ソフトバンクLTE網の通信規制を開始。
同日 15時4分頃 ソフトバンクが一部伝送装置の切り離し作業完了。障害復旧せず。
同日 15時40分 取材に対しソフトバンク広報が調査中と回答。*1
同日 15時54分頃 ソフトバンクLTE交換機が障害原因と特定。
同日 16時22分頃 ソフトバンクが交換機を数台単位で旧バージョン(Ver.1.08)へ切り戻しする作業を開始。
同日 17時35分頃 西日本のサービスが復旧。
同日 18時4分頃 交換機の全台切り戻し完了。Softbankの障害が順次復旧。
同日 18時51分頃 ソフトバンクが障害のお詫びと原因について発表。
同日 エリクソンソフトバンクの障害について原因を発表。
2018年12月7日まで 総務省ソフトバンクの障害を重大事案と判断。*2
2018年12月7日 総務大臣が記者会見で電気通信事業法上の重大な事故と考えられるとコメント。*3
2018年12月11日 エリクソンが来日しソフトバンク側へ原因や経緯などを説明。
同日まで ソフトバンク総務省へ障害の詳細を報告。*4
2018年12月12日 ソフトバンクが障害影響を受けた回線数が約3060万件に及ぶと公表。
2018年12月19日 ソフトバンクが障害発生後5日間で1万件以上の解約があったと記者会見で報告。*5
2018年12月27日 総務省ソフトバンクより大規模障害の事故報告書が提出されたと発表。*6
2019年1月23日 総務省ソフトバンクに対して電気通信事業法に基づく行政指導*7

障害原因

(1) LTE網で障害が発生した理由
  • エリクソン社製のパケット交換機全18台(LTEで利用)で稼働する同社ソフトウェア(SGSN-MME*8)に異常が発生したため。
  • SGSN-MMEの特定の2つのバージョンに問題があり、内包された証明書が期限切れを起こしていた。
  • 顧客情報(DB)との接続機能で暗号化を行っており、ソースコードに有効期限がハードコードされていた。
  • 運用担当者が証明書の有効期限を確認することはできない実装となっていた。
  • 暗号化の機能はソフトバンクが9か月前に採用したバージョン(Ver.1.14)から新たに搭載されている。
  • 暗号化するソースコードエリクソンが外注して開発したもの。
(2) 3G網で障害が発生した理由
  • LTE回線の障害で3G回線側にトラフィックが集中したため、輻輳が発生。
  • これに耐え切れずつながりづらくなるなどの障害が発生した。
(3) ソフトバンクが行った障害への対応
  • 障害が発生したエリクソン社製ソフトウェアを旧バージョンへ戻した。この際並行運用は行われなかった。
  • 12月6日時点で再発防止にはエリクソン社と共同で取り組むと報告。
  • 全ての交換機で一斉ダウンし大量のアラームが発生したため、特定に時間を要した。*9
  • 交換機全台ダウンのシナリオを想定していなかった。

影響範囲(1) ソフトバンク 通信サービス

ソフトバンクが提供する以下のサービスが利用できない、または利用しづらい状況が発生した。

障害発生時間 2018年12月6日(木)13時39分〜18時4分頃(約4時間半)
障害影響回線数 約3060万件
(18年9月末の契約数換算で8割近いユーザーに影響)
対象サービス 影響範囲
4G(LTE)携帯電話サービス(緊急通報を含む) 全国
固定電話サービス(サービス名「おうちのでんわ」) 全国
自宅・家庭用Wi-Fiサービス(サービス名「Softbank Air」) 一部地域

影響範囲(2)ソフトバンク回線を利用する事業者

報道によれば次の事業者でもソフトバンク回線を利用しているため同様の障害が起きていると報じられた。*10

影響範囲(3) 通信障害による二次的影響

デジタルチケット利用者への呼びかけ
  • 障害発生によりデジタルチケット(QRコード)の確認が一部利用者ができない恐れがあるとして対応方法を案内。
対象講演 対応方法
GLAY 名古屋公演 QRコードでの確認は行わずにチケットでのみ入場可能とすると案内。*12
Fafrotskies 香川公演 ネット環境がつながる場所であらかじめチケットやマイページのスクリーンショットをするよう案内。*13
ウーマンラッシュアワートークライブ 申し込み時の名前をスタッフへ伝えるよう案内。*14
Tokyo Mystery Circus 12月6日発生のソフトバンクのモバイルネットワーク通信障害発生に伴うゲームプレイおよび、チケットの表示に関して
店頭スタッフへ指示を仰ぐように案内。
またゲーム中もLINEを使用する場合に影響を受ける恐れがあった。
自治体や消防組織からの情報提供


電子決済系サービスの影響
サービス名 影響の有無、案内など
PSO2 ソフトバンクまとめて支払いおよびワイモバイルまとめて支払いに関する障害復旧のお知らせ(12/6 19:35更新)
SEGAからはオンラインゲームの支払処理に関する案内が行われた。
モバオク 復旧報:Softbankシステム障害に関する不具合について(2018/12/06)
Creema [解消されました] ソフトバンクまとめて支払い・ワイモバイルまとめて支払い決済がご利用いただけない状態になっておりました
運送サービスへの影響
運送事業者 影響の有無
佐川急便 2018年12月6日 通信障害による集荷・配達への影響について(12月6日現在)
ドライバーの業務端末、携帯電話が利用できなくなり、再配達ができないなどの影響。
ヤマト運輸 障害による影響なしと報道*16
日本郵便 障害による影響なしと報道
航空サービスへの影響
  • ジェットスタージャパン
    • ソフトバンク回線を利用する端末(13空港に配備されたiPhone 50台)から搭乗券の確認をしており、障害で使用できなくなった。
    • 成田空港8便で最大1時間程度の遅延が生じた。
シェアリングサービスへの影響
サービス事業者/サービス名 影響の有無
カレコ・カーシェアリング ソフトバンク回線の通信障害復旧のお知らせ
一部の車の利用開始、終了が出来ない事象が発生。
メルチャリ 一時的にサービスを休止。*17
その他確認されている影響

ソフトバンク網の障害により、ソフトバンク回線での接続がしづらくなっています。

不安定な通信状態となっているため、繋がりにくい方は、回線を切り替えるなどの対処法をお試しください。

障害に乗じた憶測、噂、デマ、及び各社の対応

Twitter上の反響
NTTドコモauの対応
  • NTTドコモauともに通信障害は発生していないと取材に対し回答。*19
  • TwitterNTTドコモauでも障害が発生しているといった誤解する投稿があった。
  • 一部の障害と投稿しているものではDowndetectorをソースにしたものがある。*20 *21
DownDetectorでのデマ・誤報懸念へのコメント


PayPayが関連しているとの憶測
  • PayPayが12月4日より開始しているキャンペーンの影響を受け、優遇対象となっているソフトバンクユーザーの利用が集中したのではないかという憶測がTwitterで流れた。
  • PayPay広報は取材に対してソフトバンクの通信障害に対しコメントする立場にないと回答。*22

障害に乗じたスパムメール

  • 障害の復旧や関連を連想させるような文面が用いられたスパムメールが障害後に報告されていた。
  • スパムメールは複数のパターンが報告されている。
  • いずれもハイパーリンクが掲載されており、クリックすると詐欺サイトなどに飛ばされる。
スパムメールタイトル スパム本文
※ システム障害のお知らせ ※ システム障害により一部メールが正常に配信されない状況がございました。
現在は既に復旧しております。

その間にお預かりしていたメールのご確認は下記より行うことが出来ますので何卒よろしくお願いいたします。

▼未受信メール確認
<URL>
プレスリリース 2018年 携帯電話サービスの通信障害に関する保証に関しまして
<URL>
お詫び 通信障害について賠償のおしらせ
<URL>
お詫び 東京センターと大阪センターの通信障害について
<URL>
行政指導に関するお詫び ■11月分請求■
通信障害に関する保証について、下記をご確認ください
<URL>
通信異常に対する補償について 利用料金より割引への詳細
<URL>
通信異常に対する補償について 12月お支払い分にて補填いたします
<URL>
【賠償】携帯電話サービスにおける通信不良について ご利用のお客さまには、ご迷惑をおかけしましたことをお詫び申し上げます。
<URL>
<賠償>携帯電話サービスにおける通信不良について ご利用のお客さまには、ご迷惑をおかけしましたことをお詫び申し上げます。
<URL>

同時期に影響を受けた通信事業者

  • エリクソン社の発表によるとSoftbankの他、海外の通信事業者11社で同時刻帯に同様の障害が発生した。
  • ソフトバンク、O2以外は小規模な事業者とされる。
  • 2社を中心にエリクソン側へ損害賠償の請求など対応策を検討する。

障害が確認されたとして名前が挙がっている通信事業者は以下の通り。

提供国 通信事業者 リリースなど
英国 Telefonica(O2) Check coverage and network status
  Tesco Mobile Live status checker
  giffgaff 2G, 3G and 4G services impacted across the UK - 6 Dec2018
  Sky Mobile データサービスへの影響*23
  Lycamobile  
ベトナム mobifone  

更新履歴

  • 2018年12月7日 AM 新規公開
  • 2018年12月7日 AM 続報反映
  • 2018年12月7日 PM 影響範囲追記、続報反映
  • 2018年12月13日 PM 続報追記
  • 2018年12月20日 AM 続報追記
  • 2018年12月21日 AM 続報追記、タイムライン修正(商用稼働開始時期2月⇒3月14日)
  • 2018年12月30日 PM 続報追記
  • 2019年1月25日 AM 続報追記

*1:https://twitter.com/mikamiyoh/status/1070573297341874176

*2:ソフトバンク大規模障害 約4時間半 通話・通信困難に,読売新聞,2018年12月7日朝刊

*3:ソフトバンク障害は「重大事故」行政指導も 総務相,NHK,2018年12月7日

*4:通信障害影響3060万件 ソフトバンク総務省に報告,読売新聞,2018年12月12日朝刊

*5:ソフトバンク 通信障害後の約5日間で1万件以上の解約,NHK,2018年12月19日

*6:ソフトバンク、通信障害で報告書,日本経済新聞,2018年12月28日

*7:総務省、ソフトバンクに行政指導,共同通信,2019年1月23日

*8:Serving GPRS Support Node – Mobility Management Entity

*9:ソフトバンク、通信障害の原因特定に2時間15分、脆弱性を露呈,BCN+R,2018年12月20日

*10:ソフトバンクの携帯電話 全国で通話・通信障害,NHK,2018年12月6日

*11:ソフトバンクの障害、LINEモバイルの「詫びギガ」対象外,ITmedia,2018年12月7日

*12:https://twitter.com/glay_official/status/1070596232052015105

*13:https://twitter.com/snows_staff/status/1070574188681846785

*14:https://twitter.com/daienzetsuboshu/status/1070581000407642112

*15:SB障害 Suica入金も影響,NHK,2018年12月6日

*16:ソフトバンク障害 影響広がる 飛行機 スマホ決済 宅配便も…,NHK,2018年12月6日

*17:https://twitter.com/shimajiro/status/1070598024710127617

*18:「仕事にならない」 平日昼のソフトバンク大規模障害Twitterが阿鼻叫喚,ITmedia,2018年12月6日

*19:ドコモとauは「通信障害なし」、SNSでの噂を否定,ケータイwatch,2018年12月6日

*20:https://twitter.com/macmacintosh/status/1070562698155323392

*21:https://twitter.com/X1319RAY/status/1070554975200104448

*22:ソフトバンクの通信障害、PayPayが関係? 臆測ツイート相次ぐ,ITmedia,2018年12月6日

*23:https://twitter.com/SkyHelpTeam/status/1070598091882065925

[インシデントまとめ] 国内のTwitter認証済みアカウントののっとりについてまとめてみた

2018年11月に国内の認証済みのTwitterアカウントがのっとられ、詐欺に利用される事態が発生しました。ここでは関連情報をまとめます。

国内の認証済みアカウントがのっとられた事例

2018年11月14日現在、2件の認証済みアカウントののっとりが確認されています。

No発生日アカウント投稿内容復旧時期
12018年11月5日朝日新聞新潟総局(@asahi_niigata)Bitcoin詐欺の投稿に対する宣伝2018年11月5日23時半までに投稿削除*1
22018年11月12日講談社 コミックDAYS (@comicdays_team)Bitcoin詐欺の投稿2018年11月13日19時過ぎに復旧報告

のっとられた後の手口

  • Twitterの名前やアイコンがTeslaの最高経営責任者や米大統領に変更される。
  • Bitcoinを送ってもらえれば10倍にして送り返すなどの詐欺投稿が行われる。
  • リプライやリツイートを行い、詐欺投稿の宣伝に利用される。

のっとり後に投稿されていた内容

朝日新聞新潟総局(@asahi_niigata) のケース

のっとられていた米国出版社のパンテオン・ブックスの公式アカウント(@PantheonBooks)により行われたBitcoin詐欺投稿に対するリプライを送っていた。

f:id:Kango:20181114055435p:image:w450

他にも朝日新聞新潟総務局同様にのっとられた複数の認証済みアカウントによって投稿(リプライやリツイート)が行われていた。

また同時期に発生したPathé UKが乗っ取られたケースではプロモーション機能が悪用されていた。

  • Matalan (@matalan)
  • Marathon Artists(@marathonartists)
  • KKBOX SEA (@kkboxsea)
  • MICHAEL AUGER (@michaelcollabro)
  • Moringa School‏ (@moringaschool)
  • NDRRMC‏ (@NDRRMC_OpCen)
  • Pathé UK (@patheuk)
  • Swansea City Ladies‏ (@SwansLadies)
  • Sarah Scoop‏ (@SarahScoop)
  • Rayton Okwiri‏ (@RaytonOkwiri)
  • BookMyShow (@bookmyshow_sup)
  • Braian Angola‏ (@Angola2411)
  • SWINGIN’ UTTERS‏ (@swingin_utters)
  • Jordan Baldwinson‏ (@jordanbaldy)
講談社 コミックDAYS (@comicdays_team) のケース

11月5日にのっとられたパンテオン・ブックスやパテUKが行った投稿とほぼ同じ内容のBitcoin詐欺の投稿が行われていた。

今回はElon Musk氏ではなく、米大統領の名前が使われていた。

f:id:Kango:20181114055432p:image:w450

(のっとられた後に行われた詐欺投稿)

piyokangoが確認した時点(11月12日朝)でアイコンが既定の人型、Twitterの名前は元のコミックデイズになっていたが、のっとられた当初は米大統領のものとなっていた模様。

更新履歴

  • 2018年11月14日 AM 新規作成