「インシデントまとめ」カテゴリーアーカイブ

新元号発表に乗じたスパムメールや政府の情報漏れ対策をまとめてみた

2019年4月1日、日本政府は5月1日に改元される新元号「令和」を発表しました。ここでは新元号発表に乗じたスパムメールや関連する騒動についてまとめます。

1.新元号発表に乗じた偽キャンペーンメール

  • NTTドコモやソフトバンクで新元号発表に絡めた偽案内メールが出回っている。


  • メール文中にリンクの記載があり、そのクリックを誘導させるもの。
件名 本文
□新元号に伴い料金改正のお知らせ docomoよりお知らせ
5月1日に新元号が発表されdocomoは生まれ変わります。
それに伴い新プランへの移行となりますので
ご自身の今のプランがどのように変更されるかお確かめください。

オフィシャルページ(ハイパーリンク)
プレスリリース2019年 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
■新元号発表に伴いキャッシュバックスタート 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
  • 確認した範囲では地震直後やPayPayのキャンペーンでも見られた当選詐欺のページへ誘導される。

f:id:piyokango:20190402061214p:plain

f:id:piyokango:20190402061229p:plain
誘導される当選詐欺のページ

  • ソフトバンクは偽メールへの注意を呼びかけ。


  • 直前に同様の偽案内メールがまかれていたため、これに新元号ネタを含めたとみられる。




2.政府の発表前の情報漏れ対策

関係者から新元号に関する情報が発表前に漏れることを懸念し、以下の対策がとられていた。

  • 携帯電話などを政府職員が預かり官邸内別室で保管
  • 有識者会合などが開かれる部屋で妨害電波による電波遮断措置(廊下でも通話不可)
  • 新元号発表まで有識者らを部屋で待機
  • 大臣秘書官は閣僚同席が許可されず別室で待機
  • トイレには政府職員が同行
  • 植木鉢への盗聴器の有無のチェックという噂もある*1
  • 衆参両院議長は携帯電話を持ち込んでいた。*2
  • 意見聴取は官邸ではなく、衆院議長公邸で行われた。
  • 当日も電話が鳴っていたものの議長が電話に応じることはなかった。
  • 携帯電話を入れたカバンを秘書官に預けていた。
  • 情報漏らすという前提に苦言を呈していた。*3
  • 行政府が立法府の拘束を行うという行為に反発し面会要請も拒否していた。

3.首相官邸Webサイト、ドメイン販売サイトで一時接続障害

f:id:piyokango:20190402061948p:plain

  • ドメイン販売サイトも新元号に絡めたものを取得する動きが活発化したのか一時的に接続しづらい状態が発生していた模様。*5
  • 新元号発表の中継放送の視聴数は以下の通り。
チャネル 視聴数
首相官邸公式Twitter 約10万人(直前)
約46万人(発表の瞬間)
首相官邸公式Youtube 約21万人

4.号外配布巡って大混雑発生

  • 新元号発表を報じる号外をめぐって奪い合いの騒動が発生。*6
  • 一部新聞社の号外はPDFでも閲覧することが可能。
新聞社 号外
読売新聞 100万部印刷、10か所で配布だがPDFでの公開確認できず
毎日新聞 新元号「令和」
朝日新聞 全国46都道府県主要駅近辺で配布もPDFでの公開確認できず
産経新聞 【産経新聞号外】新元号は「令和」と決定
【産経新聞号外】つないだ元号の歴史
東京新聞 新元号 5月1日から
信濃毎日新聞 「令和」新元号決まる
千葉日報 新元号「令和」
神戸新聞 令和 新元号、5月1日施行
日本経済新聞 号外確認できず
  • フリマサイトでは数百円~千円程度で号外が売られている。

f:id:piyokango:20190402061121p:plain
メルカリで「号外」を検索した様子

更新履歴

  • 2019年4月2日 AM 新規作成

新元号発表に乗じたスパムメールや政府の情報漏れ対策をまとめてみた

2019年4月1日、日本政府は5月1日に改元される新元号「令和」を発表しました。ここでは新元号発表に乗じたスパムメールや関連する騒動についてまとめます。

1.新元号発表に乗じた偽キャンペーンメール

  • NTTドコモやソフトバンクで新元号発表に絡めた偽案内メールが出回っている。


  • メール文中にリンクの記載があり、そのクリックを誘導させるもの。
件名 本文
□新元号に伴い料金改正のお知らせ docomoよりお知らせ
5月1日に新元号が発表されdocomoは生まれ変わります。
それに伴い新プランへの移行となりますので
ご自身の今のプランがどのように変更されるかお確かめください。

オフィシャルページ(ハイパーリンク)
プレスリリース2019年 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
■新元号発表に伴いキャッシュバックスタート 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
  • 確認した範囲では地震直後やPayPayのキャンペーンでも見られた当選詐欺のページへ誘導される。

f:id:piyokango:20190402061214p:plain

f:id:piyokango:20190402061229p:plain
誘導される当選詐欺のページ

  • ソフトバンクは偽メールへの注意を呼びかけ。


  • 直前に同様の偽案内メールがまかれていたため、これに新元号ネタを含めたとみられる。




2.政府の発表前の情報漏れ対策

関係者から新元号に関する情報が発表前に漏れることを懸念し、以下の対策がとられていた。

  • 携帯電話などを政府職員が預かり官邸内別室で保管
  • 有識者会合などが開かれる部屋で妨害電波による電波遮断措置(廊下でも通話不可)
  • 新元号発表まで有識者らを部屋で待機
  • 大臣秘書官は閣僚同席が許可されず別室で待機
  • トイレには政府職員が同行
  • 植木鉢への盗聴器の有無のチェックという噂もある*1
  • 衆参両院議長は携帯電話を持ち込んでいた。*2
  • 意見聴取は官邸ではなく、衆院議長公邸で行われた。
  • 当日も電話が鳴っていたものの議長が電話に応じることはなかった。
  • 携帯電話を入れたカバンを秘書官に預けていた。
  • 情報漏らすという前提に苦言を呈していた。*3
  • 行政府が立法府の拘束を行うという行為に反発し面会要請も拒否していた。

3.首相官邸Webサイト、ドメイン販売サイトで一時接続障害

f:id:piyokango:20190402061948p:plain

  • ドメイン販売サイトも新元号に絡めたものを取得する動きが活発化したのか一時的に接続しづらい状態が発生していた模様。*5
  • 新元号発表の中継放送の視聴数は以下の通り。
チャネル 視聴数
首相官邸公式Twitter 約10万人(直前)
約46万人(発表の瞬間)
首相官邸公式Youtube 約21万人

4.号外配布巡って大混雑発生

  • 新元号発表を報じる号外をめぐって奪い合いの騒動が発生。*6
  • 一部新聞社の号外はPDFでも閲覧することが可能。
新聞社 号外
読売新聞 100万部印刷、10か所で配布だがPDFでの公開確認できず
毎日新聞 新元号「令和」
朝日新聞 全国46都道府県主要駅近辺で配布もPDFでの公開確認できず
産経新聞 【産経新聞号外】新元号は「令和」と決定
【産経新聞号外】つないだ元号の歴史
東京新聞 新元号 5月1日から
信濃毎日新聞 「令和」新元号決まる
千葉日報 新元号「令和」
神戸新聞 令和 新元号、5月1日施行
日本経済新聞 号外確認できず
  • フリマサイトでは数百円~千円程度で号外が売られている。

f:id:piyokango:20190402061121p:plain
メルカリで「号外」を検索した様子

更新履歴

  • 2019年4月2日 AM 新規作成

新元号発表に乗じたスパムメールや政府の情報漏れ対策をまとめてみた

2019年4月1日、日本政府は5月1日に改元される新元号「令和」を発表しました。ここでは新元号発表に乗じたスパムメールや関連する騒動についてまとめます。

1.新元号発表に乗じた偽キャンペーンメール

  • NTTドコモやソフトバンクで新元号発表に絡めた偽案内メールが出回っている。


  • メール文中にリンクの記載があり、そのクリックを誘導させるもの。
件名 本文
□新元号に伴い料金改正のお知らせ docomoよりお知らせ
5月1日に新元号が発表されdocomoは生まれ変わります。
それに伴い新プランへの移行となりますので
ご自身の今のプランがどのように変更されるかお確かめください。

オフィシャルページ(ハイパーリンク)
プレスリリース2019年 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
■新元号発表に伴いキャッシュバックスタート 新元号4月1日11時半に発表。
それに伴い、ソフトバンクより全額キャッシュバックキャンペーンを実施。下記フォームよりご確認願います。
[ハイパーリンク]
  • 確認した範囲では地震直後やPayPayのキャンペーンでも見られた当選詐欺のページへ誘導される。

f:id:piyokango:20190402061214p:plain

f:id:piyokango:20190402061229p:plain
誘導される当選詐欺のページ

  • ソフトバンクは偽メールへの注意を呼びかけ。


  • 直前に同様の偽案内メールがまかれていたため、これに新元号ネタを含めたとみられる。




2.政府の発表前の情報漏れ対策

関係者から新元号に関する情報が発表前に漏れることを懸念し、以下の対策がとられていた。
結果的に官房長官発表より先行して報じる記事はなかった。

報道スクープへのけん制
  • 報道各社に対して事前に報道された場合は差し替えを行うと説明。
首相官邸(元号に関する懇親会、閣僚会議)
  • スマートフォン、携帯電話は原則持ち込み禁止。
  • 携帯機器を持ち込む場合は政府職員が預かり官邸内別室で保管。
  • 官房副長官が配布した説明資料は回収。
  • 改元される元号以外の情報も戒厳令。
  • 有識者会合などが開かれる部屋で妨害電波による電波遮断措置(廊下でも通話不可)
  • 新元号発表まで有識者、閣僚を部屋で待機(昼過ぎに解放)
  • 大臣秘書官は閣僚同席が許可されず別室で待機
  • トイレには政府職員が同行
  • 机の裏、植木鉢への盗聴器の確認*1
衆院議長公邸(衆参両院正副議長への意見聴取)
  • 意見聴取は当初予定されていた国会から衆院議長公邸で行われた。
  • 衆参両院議長は携帯電話を持ち込んでいた。*2
  • 当日も電話が鳴っていたものの議長が電話に応じることはなかった。
  • 携帯電話を入れたカバンを秘書官に預けていた。
  • 政府からの保秘協力の要請に対し、前提(情報漏らす)の苦言を呈していた。*3
  • 衆院副議長が行政府が立法府の拘束を行うという行為に反発し面会要請も拒否していた。
  • 副議長の苦言に対して官房長官は保秘協力の要請を撤回し謝罪。
  • 聴取後は正副議長4人で「食事をする」という自主的にとどまりにより政府への協力とした。
  • 新元号発表から9分後に衆院議長公邸から外に出た。
当日の政令作成作業
  • 内閣官房副長官ら数人で作業を行った。
  • 決裁権者は首相、官房長官、官房副長官らに限定。
  • 政令事前審査も首相官邸に関係者を呼び行われた。
  • 元号法所管の内閣総務課は新元号書き込みの段階で外された。
元号の書が書かれた額縁掲示の練習
  • 前日に官房長官は額縁掲示の練習を繰り返し行っていた。
  • 練習時間は十数分にわたったと報じられている。
  • 前日の練習では額縁を受け取る際に記者から見える事態が繰り返された。
  • 発表当日は「令」の字が一瞬確認された。
自民党との情報共有
  • 発表後に安倍首相らが自民党幹部へ電話で連絡した。
昭和・平成発表時に起きた問題
  • 昭和改元時に東京日日新聞(現在の毎日新聞)が事前に「光文」と報じ混乱が生じたことによる。(光文事件)
  • 平成改元時に毎日新聞が発表35分前に新元号の情報を入手していた。

3.首相官邸Webサイト、ドメイン販売サイトで一時接続障害

f:id:piyokango:20190402061948p:plain

  • ドメイン販売サイトも新元号に絡めたものを取得する動きが活発化したのか一時的に接続しづらい状態が発生していた模様。*5
  • 新元号発表の中継放送の視聴数は以下の通り。
チャネル 視聴数
首相官邸公式Twitter 約10万人(直前)
約46万人(発表の瞬間)
首相官邸公式Youtube 約21万人

4.号外配布巡って大混雑発生

  • 新元号発表を報じる号外をめぐって奪い合いの騒動が発生。*6
  • 一部新聞社の号外はPDFでも閲覧することが可能。
新聞社 号外
読売新聞 100万部印刷、10か所で配布だがPDFでの公開確認できず
毎日新聞 新元号「令和」
朝日新聞 全国46都道府県主要駅近辺で配布もPDFでの公開確認できず
産経新聞 【産経新聞号外】新元号は「令和」と決定
【産経新聞号外】つないだ元号の歴史
東京新聞 新元号 5月1日から
信濃毎日新聞 「令和」新元号決まる
千葉日報 新元号「令和」
神戸新聞 令和 新元号、5月1日施行
日本経済新聞 号外確認できず
  • フリマサイトでは2019年4月2日時点で数百円~千円程度で号外が売られている。

f:id:piyokango:20190402061121p:plain
メルカリで「号外」を検索した様子

更新履歴

  • 2019年4月2日 AM 新規作成
  • 2019年4月2日 PM 政府の対策を追記

スマートキー複製による高級車の大量窃盗についてまとめてみた

大阪府警は高級自動車を繰り返し窃盗し逮捕していた男を2019年3月26日追送検したと発表しました。ここでは関連する情報をまとめます。

自動車窃盗の手口

次の2つの手口を使って自動車を盗んでいた。

  • 専用ソフトを用いたスマートキーの複製
  • 制御コンピューターの積み替え(別の自動車のものに置き換える)

スマートキー複製は次の手順で行われていた。

  1. 自動車の中に電動ドリルなどの工具を使いピッキングで侵入。
  2. 自分のPCを車と接続。
  3. 専用ソフトを用いてスマートキーを複製。
  4. 自動車のエンジンを始動させ盗む。

被害の状況

  • 大阪、奈良など4府県で窃盗を行っていた。
  • 犯行に及んでいたのは2017年3月から2018年9月までの約1年半。
  • 被害が確認されたのは156件。総額約7億1760万円相当。
  • 狙われた車種はレクサス、ランドクルーザー、プリウスなど。

スマートキーを複製する専用ソフト

  • 鍵業者などが紛失対応で利用。*1
  • イモビライザーに対しスマートキーが発信する信号を複製する仕組み。
  • 販売サイトでは複製方法を紹介する動画も投稿されていた。(ソフトは複数種類存在し犯行との関連は不明)

f:id:piyokango:20190327060948p:plain

事案関連の情報

  • 逮捕、起訴されたのは大阪市37歳無職の男。容疑は窃盗罪。
  • 2018年9月下旬に大阪市天王寺区の駐車場でランドクルーザー1台(約1070万円相当)を盗んだ容疑。
  • 男は生活費を稼ぐために窃盗を行っていたとして容疑を認めている。
  • 男は最速1分で盗めると供述。*2
  • ソフトウェアは海外から入手することが可能とされる。*3
  • 盗まれた車は他の窃盗グループへ転売していた。
  • 男の他に共犯者2名も逮捕し、転売先など捜査中。
  • すべての犯行の裏付けを終え、2019年3月26日に追送検。

更新履歴

  • 2019年3月27日 AM 新規作成

スマートキー複製による高級車の大量窃盗についてまとめてみた

大阪府警は高級自動車を繰り返し窃盗し逮捕していた男を2019年3月26日追送検したと発表しました。ここでは関連する情報をまとめます。

自動車窃盗の手口

次の2つの手口を使って自動車を盗んでいた。

  • 専用ソフトを用いたスマートキーの複製
  • 制御コンピューターの積み替え(別の自動車のものに置き換える)

スマートキー複製は次の手順で行われていた。

  1. 自動車の中に電動ドリルなどの工具を使いピッキングで侵入。
  2. 自分のPCを車と接続。
  3. 専用ソフトを用いてスマートキーを複製。
  4. 自動車のエンジンを始動させ盗む。

被害の状況

  • 大阪、奈良など4府県で窃盗を行っていた。
  • 犯行に及んでいたのは2017年3月から2018年9月までの約1年半。
  • 被害が確認されたのは156件。総額約7億1760万円相当。
  • 狙われた車種はレクサス、ランドクルーザー、プリウスなど。

スマートキーを複製する専用ソフト

  • 鍵業者などが紛失対応で利用。*1
  • イモビライザーに対しスマートキーが発信する信号を複製する仕組み。
  • 販売サイトでは複製方法を紹介する動画も投稿されていた。(ソフトは複数種類存在し犯行との関連は不明)

f:id:piyokango:20190327060948p:plain

事案関連の情報

  • 逮捕、起訴されたのは大阪市37歳無職の男。容疑は窃盗罪。
  • 2018年9月下旬に大阪市天王寺区の駐車場でランドクルーザー1台(約1070万円相当)を盗んだ容疑。
  • 男は生活費を稼ぐために窃盗を行っていたとして容疑を認めている。
  • 男は最速1分で盗めると供述。*2
  • ソフトウェアは海外から入手することが可能とされる。*3
  • 盗まれた車は他の窃盗グループへ転売していた。
  • 男の他に共犯者2名も逮捕し、転売先など捜査中。
  • すべての犯行の裏付けを終え、2019年3月26日に追送検。

更新履歴

  • 2019年3月27日 AM 新規作成

for文無限ループURL投稿で補導された件についてまとめてみた

2019年3月4日、兵庫県警察はインターネット掲示板に不正プログラムのURLを書き込んだとして未成年者を含む3名を不正指令電磁的記録供用未遂の疑いで児童相談所への通告や書類送検を行う方針と報じられました。ここでは関連する情報をまとめます。

不正プログラムはfor文無限ループか

  • NHK報道から、張り付けられたURLで動作する「不正プログラム」はfor文無限ループとみられる。*1
  • JavaScriptを見る限り、特殊な実装や脆弱性を用いたものではなく、for文の条件式などを記述せずに無限ループさせたもの。顔文字やメッセージはalertダイアログを使って表示させている。

f:id:piyokango:20190305060004p:plain

  • 当該URLを開いたタブを閉じるなどの操作が必要な場合もあるが、最新のブラウザ(Chrome、Firefoxなど)では開いただけで落ちることはない。

URL投稿で摘発された3人

次の3人が問題となったURLを書き込んだとして児童相談所への通告、あるいは書類送検される予定。

  • 愛知県刈谷市 女子中学生13歳(補導 ⇒ 児童相談所へ通告)
    • 自分が困ったので他の人も同様に被害にあえば面白いと思ったなどと供述。
  • 山口県下松市 39歳 無職 男(書類送検の方針)
  • 鹿児島県霧島市 47歳 建設作業員 男(書類送検の方針)
    • 2018年9月に発生した北海道胆振地方の地震を話題に「かなり深刻な事態になっていそう」としてURLへ誘導していた。*2
  • 今回対象となった3人はお互いに面識はない。
  • 女子中学生らは今回の事案を受け家宅捜索を受けている。
  • 兵庫県警察 サイバー犯罪対策課が捜査を担当している。
  • 容疑は不正指令電磁的記録供用未遂。
  • 不正プログラムのURLをそれぞれ別の掲示板に書き込んだ疑い。*3

問題のページは3月5日夜に削除

  • 問題のページは2014年頃には存在しており、これまでも様々な掲示板、SNS上で散見されている有名な類。

f:id:piyokango:20190305060025p:plain

  • 報道された2019年3月5日までfor文無限ループページは公開されていた。ブログ、掲示板、SNSなどに当該URLを書き込んだ場合、事案化(捜査対象)となる恐れがあった。
  • このページをURL付きで解説していた一部のサイトでは記述を変更している動きがみられる。
  • 2019年3月5日19時頃、ページが見られなくなった模様。

f:id:piyokango:20190306065011p:plain


  • 関係者とみられるTwitterアカウントも3月5日にプロフィールが更新され、停止したとの記述がある。

f:id:piyokango:20190306064909p:plain

更新履歴

  • 2019年3月5日 AM 新規作成
  • 2019年3月5日 AM 「ブラクラ」表記が誤解を招くことから「for文無限ループ」に変更、他報道を加筆
  • 2019年3月6日 AM ページ停止について追記、容疑に未遂が抜けている箇所があったため修正。

JALマイレージ 不正アクセス事案についてまとめてみた

2019年2月14日、JALが提供するマイレージサービスで他人のマイルを不正利用し、タブレット端末などをだまし取ったとして男が逮捕されました。マイルはPontaに交換されており、マイレージサイト(JMB)が不正アクセスを受けていたことに起因します。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2018年8月中旬 何者かによりJMBのサイトに不正アクセス発生。マイルがPontaへ交換される
その後 中国のサイトでPontaアカウントが販売され、男がこれを購入。
その後 日本航空が不正アクセスによるマイル盗用被害を警視庁へ相談。
2018年8月17日、18日 男がPontaを使って東京都福生市の家電量販店で商品を購入。
その後 男は購入した商品の一部を転売した可能性。
2019年1月24日 警視庁は中国籍の男を詐欺容疑で逮捕。
2019年2月14日まで 警視庁は中国籍の男を詐欺容疑で再逮捕。
中国籍の男を詐欺容疑で起訴。
2019年3月8日まで 詐欺にかかわった18歳少女を詐欺容疑で書類送検。
同日まで 詐欺容疑で中国籍の男を再逮捕。

概要

不正アクセスの手口をまとめると次の通り。(3/9AM更新)
f:id:piyokango:20190309053124p:plain

詐欺事案関連の情報

  • 中国籍の男 東京都小金井市 25歳を詐欺容疑で2019年2月14日までに逮捕。3月8日までに起訴、および詐欺容疑で再逮捕。(3月8日発表)
  • 2019年1月24日に同様の手口でゲーム機を購入していたとして男は逮捕されていた。*1
  • 1月24日の逮捕は福生市家電量販店とは別の店舗での購入を対象としている。
  • 容疑は2018年8月17日、18日に福生市家電量販店で不正入手したポイントを用いてゲーム機、タブレット端末など3点をだましとった疑い。
  • 容疑は2018年8月19日に18歳少女と共謀し、船橋市の家電量販店などで不正入手したポイントを用いてゲーム機、タブレット端末7点*2をだまし取った疑い。
  • 男、少女ともに容疑を認めている。
  • 男は少女と中国語のSNSで知り合い、2万円で商品の購入を依頼していた。*3
  • 男は購入した商品の一部を転売していた模様。*4
  • 警視庁サイバー犯罪対策課が捜査を担当。

マイル不正移行したPontaアカウントの販売

  • 何者かによりJALマイルの一部がPontaポイントへ交換されていた。

Ponta特典 - JALマイレージバンク

  • 交換に必要なマイル数は3,000マイル以上必要。1マイル=0.5pontaで交換。

f:id:piyokango:20190215062811p:plain:w500(JALサイトより)

  • 逮捕された男はPontaアカウントを中国人向けWebサイトで正規に購入したと供述。
  • アカウントに充当されたポイントから3割引きされた金額で売買されていた模様。*5

判明している被害

詐欺容疑の合計金額 約24万4000円相当のPontaポイント
男が購入したもの iPad、Nintendo Switchなど7点
不正ログインされたJBMアカウント数 205名
Pontaへ不正移行されたJMBアカウント数 21名
Pontaへ不正移行されたJALマイル 約137万マイル
被害を受けたJMBアカウント数 16名
被害を受けたJALマイル 約140万円相当
  • 不正利用された被害金額は「今回の事案を含む」といった表現がされている。

JMBのサイトの状況

  • JMBアカウントのログインにはマイレージ番号(お得意様番号、数字7桁、または9桁)とパスワード(数字6桁)が用いられる。
  • JALは不正ログインに際して、パスワードの流出は否定している。
  • JALはJMBのサイトに対し大規模なリスト型攻撃を受けた事実は確認していない。*6
  • 2014年9月に発表した顧客管理システム不正アクセス事案との関連を警視庁が調査中。

piyolog.hatenadiary.jp

  • 2014年2月にリスト型攻撃を受け、約60名がAmazonギフトカードに交換されるなどの被害が出た。

www.jal.co.jp

更新履歴

  • 2019年2月15日 AM 新規作成
  • 2019年2月15日 AM 概要図を修正。(マイル数の誤り訂正、レイアウト見直し)
  • 2019年2月15日 PM 再逮捕であることを追記。概要図、転売と表記した箇所を修正。(転売行為を断定的に記載していたため)
  • 2019年3月9日 AM 続報を追記。

福岡県警本部で発生したマルウェア感染についてまとめてみた

2019年2月7日、福岡県警察本部がマルウェアに感染し一部業務に影響が生じたと報道されました。感染したマルウェアはランサムウエアの可能性があるとも報じられています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
福岡県警本部職員が捜査資料が保存されたCD-RからPCへファイルをコピー。
コピー後、PCをイントラネットへ接続。その後サーバー内ファイルの暗号化が発生。
2019年2月5日夕方 福岡県警管内の警察署でイントラネットの表示不具合を確認。
同日 確認した警察署から福岡県警本部へ報告。
同日 福岡県警本部がサーバー上の一部のファイルの暗号化を確認。
同日 福岡県警本部のイントラネットを一部機能を停止。(ネットワーク隔離)
2019年2月6日 福岡県警本部のイントラネットが復旧。
2019年2月7日 共同通信が福岡県警本部内でマルウェア感染と報道。*1

被害の状況/影響

  • サーバー上の一部のファイルが暗号化された。
  • イントラネットの表示不具合が発生した。
  • ネットワーク隔離により一部の職員が警察庁、他県警などへのメール送信出来なくなった *2
  • 個人情報、捜査資料の漏えい被害は確認されていない。

感染原因

f:id:piyokango:20190208042458p:plain

  • 捜査情報が保存されたCD-Rにマルウェアが紛れていた。*3
  • コピー後にPCをイントラネットへ接続したため、サーバー上に被害が広まった。
  • 福岡県警本部内PCはWindows 7。マルウェアがどのようにPCに感染したかは報じられていない。
  • PCのウイルス対策ソフト*4では今回のマルウェアは検出されなかった。(接続当時、ソフトを無効化していたかは不明) *5

マルウェアの詳細

  • 福岡県警本部はマルウェアの種類は現在も調査中。
  • 暗号化機能を有しているもののランサムウェアかは福岡県警本部は断定していない。

関連情報

  • 福岡県警本部のサイバー犯罪対策テクニカルアドバイザーとして産業界からはトレンドマイクロ社員、学術機関からは九州大学教授が担当している。
  • サイバー犯罪テクニカルアドバイザーの役割には「サイバー犯罪捜査に係る技術支援」等が含まれている。

f:id:piyokango:20190208040319p:plain
福岡県警本部のWebサイトより)

更新履歴

  • 2019年2月8日 AM 新規作成

2019年2月のCARDNETセンターの障害についてまとめてみた

2019年2月2日夜、日本カードネットワークが運営するCARDNETセンターの障害により、国内でクレジットカードが利用できないトラブルが発生しました。ここでは関連する情報をまとめます。

障害発生時間

  • 2019年2月2日 21時47分頃~2019年2月2日 22時31分頃(約40分間)

障害原因

  • CARDNETセンターと加盟店間のネットワークに障害が発生した。
  • 発生原因はシステム機器の故障。*2 作業ミスに起因したものと報じられている。
  • 故障発生後に代替機への切り替えも円滑に実施されなかった可能性がある。
  • 障害の詳しい原因や具体的な影響件数などは2月4日時点で調査中。*3

障害による影響

  • 障害発生中に支払いが出来なかった件数は10万件超とみられる。*4
  • 日本カードネットワークを利用する加盟店でカード決済などが利用できない状況が発生した。
  • JCB系列以外に、VISA、マスターカードでも影響が出ていたとの報道がある。*5
  • この障害による二重引き落とし等の影響は発生していない。

報道・発表された事例
  • JR東日本の都内の駅内でクレジットカード決済ができないという連絡が相次いだ。運航への影響はなし。*6
  • LINE Payでクレジットカードを利用した決済ができないと利用者へ案内。*7
  • メルカリがサービスでクレジットカードが利用できないとTwitterで案内。*8
SNS上での報告例








CARDNETセンターについて

  • 株式会社 日本カードネットワークが運営。
  • CARDNETセンターはカード会社98社と加盟店の間の決済情報をやり取りするシステムが運用されている。
  • 端末台数は約71.3万台。2017年のピーク月の処理件数は約133,074万件*9
  • 日本カードネットワークは複数のカード会社が株主。
    • 株式会社ジェーシービー
    • 株式会社エヌ・ティ・ティ・データ
    • 三菱UFJニコス株式会社
    • TIS株式会社
    • 株式会社セディナ
    • イオンフィナンシャルサービス株式会社
    • 株式会社オリエントコーポレーション
    • 株式会社クレディセゾン
    • 三井住友トラストクラブ株式会社
    • 株式会社ジャックス
    • 協同組合連合会 日本商店連盟
    • 協同組合連合会 日本専門店会連盟
    • 株式会社UCS
    • ライフカード株式会社

過去の障害事例

  • 2017年4月15日に約6時間の障害を起こしている。
  • 拠点の1つで発生したL3スイッチの故障によるものと報じられている。*10
  • 日本カードネットワークはトラフィックの集中が原因であったと説明している。
  • 2017年11月にネットワーク監視のソリューション導入を発表している。*11

更新履歴

  • 2019年2月3日 AM 新規作成
  • 2019年2月4日 AM UCSカードの発表追記
  • 2019年2月5日 AM 続報追記
  • 2019年2月5日 PM 続報追記

ビットコインを要求する青酸カリ恐喝事件についてまとめてみた

2019年1月25日、ビットコインを要求する脅迫文が全国複数個所へ送りつけられました。青酸カリとみられる粉末が同梱されていたと報じられています。警察は恐喝未遂事件として捜査を行っています。ここでは関連する情報をまとめます。

タイムライン

日時 出来事
2019年1月24日 8~12時の間 脅迫状が投函された(24日付神田郵便局消印)*1
2019年1月25日 東京都内製薬会社6社、毎日新聞に脅迫文が届いていたことが判明。(合計7社)
同日 警視庁麹町署、赤坂署などへ脅迫文の通報が寄せられる。
同日 都内の脅迫文を受けた会社が警視庁へ被害届を提出。
同日 札幌市内の食品会社支社から届け出。
2019年1月26日まで 警視庁の簡易鑑定から白い粉が青酸カリとの結果が出る。
2019年1月28日 東京都都内 製薬会社、食品会社2社に届いていたことが判明。(合計9社)
同日 大阪府警へ府内の製薬会社2社から届け出。(合計11社)
2019年1月29日 東京都内の製薬・食品会社5社、朝日新聞に届いていたことが判明。(合計17社)
同日 大阪府警が府内2社に送付された白い粉末が青酸カリであると断定。
同日 東京都内 製薬会社1社に届いていたことが判明。*2(合計18社)
同日 厚生労働省が都道府県宛に医薬品の確認などを徹底するよう求める通知。*3
2019年1月30日 警視庁が都内14社に送付された白い粉末が青酸カリであると断定。*4
2019年2月22日 脅迫文に指定された金銭の要求期限日。

脅迫文が送り付けられた組織(1/30時点で18社)

東京都内14社
No 送付先の組織 付加情報
1 毎日新聞 東京本社 1月25日に届き、同日警視庁へ届け出。
2 鳥居薬品(東京都中央区) 1月25日午後に届いた。*5
3 東京都内製薬会社 1月25日に届き、同日警視庁へ届け出。
4 東京都内製薬会社 1月25日に届き、同日警視庁へ届け出。
5 東京都内製薬会社 1月25日に届き、同日警視庁へ届け出。
6 東京都内製薬会社 1月25日に届き、同日警視庁へ届け出。
7 東京都内製薬会社 1月25日に届き、同日警視庁へ届け出。
8 朝日新聞東京本社 1月25日に届き、1月28日に中身を確認。(担当者がインフルエンザだった。)差出人はオウム真理教元幹部の名前。
9 東京都内製薬会社 1月25日に届き、1月28日までに判明した。
10 東京都内製薬会社 1月25日に届き、1月28日までに判明した。
11 東京都内製薬会社 1月25日に届き、1月28日までに判明した。
12 東京都内 製薬会社 1月25日に届き、1月28日までに判明した。
13 東京都内 食品会社 1月25日に届き、1月28日までに判明した。
14 東京都内 製薬会社 1月29日までに警視庁へ届け出。
大阪府内3社
No 送付先の組織 付加情報
15 大阪府大阪市中央区 製薬会社 1月25日に大阪府警東署に届け出。*6 北海道の刑務所とみられる住所、暴力団幹部の名前が記載。会社代表宛に届いた。
16 大阪府内 製薬会社 1月28日に大阪府警へ届け出。脅迫文は一致。差出人は最高裁判事。
17 大阪府内 製薬会社 1月28日に大阪府警へ届け出。脅迫文は一致。差出人は最高裁判事。
北海道内1社
No 送付先の組織 付加情報
18 北海道札幌市食品会社支社 1月25日に届き、26日に届いていたことが判明。東京都内に本社の大手。差出人はオウム真理教元幹部の名前。*7

送り付けられた脅迫文

郵便物の外形
  • 届いたのは茶色の封筒。
  • 脅迫文、宛先シールはPCで作成された(プリンターで印字)とみられる。
  • 脅迫文はA4用紙ほどのサイズ一枚に記述。
同封された白い粉
  • 封筒には「青酸カリを入れた偽物の薬を流通させる」として白い粉末が同梱されていた。
  • 白い粉末は5センチ四方のポリ袋に入ったもの。量にして数ミリグラム。
  • 製薬会社に届いた粉末からは薬の成分が検出された。
警察 白い粉の確認状況
警視庁 14社すべてシアン化カリウム(青酸カリ)と確認。
大阪府警察 シアン化カリウムと確認。
北海道警察 青酸化合物と簡易鑑定で確認。成分調査中(1月28日時点)
ビットコインを要求
  • 2月22日までに3500万ウォン(約350万)相当のビットコインの送金を要求。
  • 要求(金銭の支払い)に従わない場合は悲劇が起こると脅迫するもの。
  • 要求する金銭の支払先としてQRコード(仮想通貨のウォレットアドレス)が印字されていた。
  • ウォレットアドレスは送付先ごとに異なるものが記載されていた。*8
  • 警視庁はスマートフォンのカメラ機能で読み取れないと発表していた。*9
  • 詳細は明らかにされていないが、仮想通貨アプリでもQRコードは読み取ること(アクセス)が出来ないと報じられている。*10
差出人、消印
  • 封筒の差出人は「麻原彰晃」等、オウム真理教元幹部、暴力団幹部、最高裁判事の名前などが記述。
  • 警視庁は差出人に当初政治家の名前が含まれると発表していたが時事誤認であったとして26日午後に訂正した。*11
  • 死刑が執行されたオウム真理教元幹部に対して「冥福を祈る」等とも記述されていた。
  • 差出元の住所は東京拘置所、刑務所が記載。
  • 確認された脅迫文の封筒消印はいずれも神田郵便局*12
  • 郵便局の消印はいずれも1月24日となっていた。
  • 神田郵便局の消印が押されるポストは都内に約170か所存在。
  • 一部の消印は不鮮明のため鑑定作業が進められている。*13
関連事案
  • 2018年1月にも同様の脅迫文が確認されているが、送付先に今回の会社が含まれている。
  • 当時の差出人は暴力団幹部らの名前。白い粉末は同梱されていなかった。*14

更新履歴

  • 2019年1月31日 AM 新規作成
  • 2019年2月6日 AM 続報追記
  • 2019年2月19日 AM 続報追記

[インシデントまとめ] 宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2019年1月13日送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日 11時頃オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
2019年1月23日 10時50分頃情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月24日 20時頃オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時半頃オージス総研が情報漏えいの事実を確認。
同日夜オージス総研が記者会見で情報漏えいについて説明。*1

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • 25日のリリースではその一文が削除されていた。
漏えいした情報の有無
対象被害の有無具体的な状況
顧客情報の漏えい有り宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
転送されたファイルの漏えい調査中(1/25時点)
クレジットカード情報の漏えい無し別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

次の情報 約480万件が漏えいした、あるいはその恐れがある。

漏えいが確定メールアドレス
ログインパスワード
生年月日
漏えいの恐れあり氏名
性別
業種・職種
居住地(都道府県名のみ)
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 約480万件の内訳は公表していない。
  • ログインパスワードが平文かどうかについて発表での言及はない。

不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*2
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*3

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。

更新履歴

  • 2019年1月26日 AM 新規作成

宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2019年1月13日 送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日9時38分頃 オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日 11時頃 不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃 関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃 オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
同日 19字45分頃 攻撃元のIPアドレスからの接続を遮断。
2019年1月23日 10時50分頃 情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月23日 14時44分頃 外部セキュリティ専門事業者による調査を開始
2019年1月24日 20時10分頃 オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時30分頃頃 オージス総研が情報漏えいの事実を確認。
同日 19時頃 オージス総研が記者会見で情報漏えいについて説明。*1
2019年1月26日 2時50分頃 オージス総研がよくある質問集を掲載。
2019年1月26日 3時22分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを送付
2019年1月26日 9時頃 電話、メールによる顧客対応を開始
2019年1月28日 13時頃 漏えいした対象に特定期間に取得をしていた情報を追加したと発表。
2019年1月28日 15時58分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを再度送付
2019年1月29日 18時30分頃 ビジネスプラスのユーザーに対して利用料請求停止のお知らせメールを送付
2019年3月14日 当面の休止と詳細調査の結果など第4報を発表。

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • FAQで別システムとして運用しているため被害はないと説明。
    • オフィス宅ふぁいる便のパスワードはハッシュ化が行われている。
漏えいした情報の有無
対象 被害の有無 具体的な状況
顧客情報の漏えい 有り 宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
過去に退会した利用者も対象となっている可能性がある。
転送されたファイルの漏えい 調査中(1/29時点) 流出は現時点で確認されていない。
ファイルは暗号化されていない。
被害発生箇所と別の場所に保管されている。
漏えいした情報を使ってログインして取得することは可能。*2
クレジットカード情報の漏えい 無し 別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

漏えいが確定したのは次の481万5,399件の情報。

ビジネスプラス会員(有料会員) 2万2,569件※
プレミアム会員(無料会員) 475万329件※
退会者 4万2,501件
合計 481万5,399件

※連絡が届かなかった件数134万8,361件を含む

流出した項目は次の通り。

第一報で漏えい確定 メールアドレス
ログインパスワード(平文)
生年月日
第二報で漏えい確定 氏名
性別
業種・職種
居住地(都道府県のみ)
第三報で漏えい確定 氏名(ふりがな)
メールアドレス2
メールアドレス3
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者
子供
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 「居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供」は2005年〜2012年の間に収集していた。
  • 退会済利用者の情報が残っていたのは問い合わせに備えるため。
  • ログインパスワードを平文で保持しており、それが漏えいした。
  • 暗号化していなかった理由はサービス規模と資源に起因。計画はあったとオージス総研は取材に回答。((「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた,FNN PRIME,2019年1月29日))

Q15. パスワードは暗号化されていなかったのか?
A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。

その他漏えい対象か調査中とみられる情報


ビジネスプラスの画面、2019年1月のアーカイブより。

  • ファイルダウンロード用URL
  • 300件登録可能なアドレスブック
  • 過去1年分の送信履歴
    • 送信先アドレス
    • 預かり期限
    • 送信ファイル名
    • ダウンロード時間


不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*3
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*4
  • オージス総研はセキュリティ対策上、類似の被害を防止という名目で詳細な手口を開示しない方針とした。*5

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。
  • 2016年当時の掲載情報では脆弱性診断を外部の審査機関を通じて定期的に実施していた。

更新履歴

  • 2019年1月26日 AM 新規作成
  • 2019年1月27日 AM 続報追記
  • 2019年1月28日 PM 続報追記
  • 2019年1月31日 AM 続報追記
  • 2019年3月15日 PM 続報追記

[インシデントまとめ] ZOZO社長になりすましたBitcoin詐欺についてまとめてみた

2019年1月21日、ZOZOの前澤社長になりすましたTwitterアカウントがBitcoin詐欺のツイートを投稿していました。ここでは関連する情報をまとめます。

Bitcoin詐欺ツイート

f:id:Kango:20190122062343p:image:w500

  • 詐欺ツイートを行っていたアカウントは前澤社長の正規アカウント(@yousuck2020)に似せた@yousujk2020が使われていた。
  • 2019年1月21日 10時半頃にBitcoin詐欺ツイートが行われた。
  • 詐欺ツイート拡散のためかプロモーション機能が用いられていたとの報告がある。*1
  • 既存のアカウントが乗っ取られ、その後IDが変更された可能性がある。
  • アカウントは既に停止措置が取られた模様。

f:id:Kango:20190122062341p:image:w500

投稿されたWebサイト

f:id:Kango:20190122062337p:image:w500

  • 投稿に用いられたWebサイトは以下のもの。
  • IPアドレスは昨年11月に確認されたものと同じ193.233.15.187。
yusaku-giveaway.club
  • このIPアドレスに対し、2019年に入ってからもテスラ社などに似たドメインが確認されている。

f:id:Kango:20190122062328p:image:w500

今回ものっとられたアカウントが宣伝ツイートか

  • Bitcoin詐欺ツイートに対してJ Sports公式アカウント(@jsports)が「どうもありがとうございました!」と宣伝するリプライを送っていたという報告がある。
  • 既に削除などの対応が取られたのか当該ツイートは確認できない。また関連する報告は22日5時時点で確認できない。

送金が行われた?

  • 以下の2件のウォレットへ送金するように指示が行われていた模様。(途中変更されたとの報告有り*2 )
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2
131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQ
  • この2つのアドレス宛に21日送金された総額は約 3BTC。(1月21日の価格で日本円約1,164,900円相当)
  • 約8時間後に送金されたBTC全額が別のウォレットへ送金されていた。
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2の送金履歴

f:id:Kango:20190122062331p:image:w500

131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQの送金履歴

f:id:Kango:20190122062334p:image:w500

更新履歴

  • 2019年1月22日 AM 新規作成

ZOZO社長になりすましたBitcoin詐欺についてまとめてみた

2019年1月21日、ZOZOの前澤社長になりすましたTwitterアカウントがBitcoin詐欺のツイートを投稿していました。ここでは関連する情報をまとめます。

Bitcoin詐欺ツイート

  • 詐欺ツイートを行っていたアカウントは前澤社長の正規アカウント(@yousuck2020)に似せた@yousujk2020が使われていた。
  • 2019年1月21日 10時半頃にBitcoin詐欺ツイートが行われた。
  • 詐欺ツイート拡散のためかプロモーション機能が用いられていたとの報告がある。*1
  • アカウントは既に停止措置が取られた模様。


投稿されたWebサイト

  • 投稿に用いられたWebサイトは以下のもの。
  • IPアドレスは昨年11月に確認されたものと同じ193.233.15.187。
yusaku-giveaway.club


  • 1月22日8時現在、サイトにアクセスしても接続が拒否される。


今回ものっとられたアカウントが宣伝ツイートか

  • Bitcoin詐欺ツイートに対してJ Sports公式アカウント(@jsports)が「どうもありがとうございました!」と宣伝するリプライを送っていたという報告がある。
  • 既に削除などの対応が取られたのか当該ツイートは確認できない。また関連する報告は22日5時時点で確認できない。

送金が行われた?

  • 以下のウォレットへ送金するように指示が行われていた模様。(途中変更されたとの報告有り*2 )
12WA9uyFtUMuTh8jbraTedVddknu3uAhB2
131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQ
1Ku8Ade77LPKA2ShqxrfJbPmy75sz5K2wv
  • この内、2つのアドレス宛に21日送金された総額は約 3BTC。(1月21日の価格で日本円約1,164,900円相当)
  • 約8時間後に送金されたBTC全額が別のウォレットへ送金されていた。
  • 詐欺に引っかかってしまったと被害(0.5 BTCを送金)を報告する人がいた。

12WA9uyFtUMuTh8jbraTedVddknu3uAhB2の送金履歴

131xPY2ZtMVtGgKnaTXGLsRV1KBZUksWCQの送金履歴


更新履歴

  • 2019年1月22日 AM 新規作成
  • 2019年1月22日 AM ウォレットアドレス追記

[インシデントまとめ] 新潟県警察公式サイトなどの改ざん(画像設置)についてまとめてみた

2018年12月、2019年1月と掲示板に画像参照させるURLやそのアーカイブが投稿されています。画像は対象のWebサイトとの関係がないものとみられ、何者かが設置した可能性があります。ここでは関連する情報をまとめます。

掲示板への投稿

  • 掲示板には2018年12月、2019年1月にそれぞれ投稿が行われているがこれらが同一人物によるものかは不明。

f:id:Kango:20190119070856p:image

f:id:Kango:20190119070853p:image:w500

投稿されたWebサイト

No掲示板への投稿日時投稿されたWebサイト
12018年12月31日 21時54分LPlus (lumin.jp)
2No.1と同じ投稿日本ハッカー協会 (mail.hacker.or.jp)
32019年1月18日 11時48分新潟県警察 (www.police.pref.niigata.jp)
  • 対応が行われたのか2019年1月18日時点でアクセスはできない。(いずれもアーカイブが残されている。)

f:id:Kango:20190119072308p:image

  • 2件について発表や報道は確認していない。
  • No.2は日本ハッカー協会のドメインだがLPLUS社のIPアドレスが割当られている。(www.hacker.or.jpは別のIPアドレス)
  • No.1,2のアーカイブは2018年12月9日より残されていた。

f:id:Kango:20190119071205p:image:w500

新潟県警察のドメインが書き込まれた投稿

  • 新潟県警察の画像設置の投稿前後に当該サイトのドメインが投降者名に記載された書き込みが複数存在した。
  • この投稿がfusianasanによるものかは不明。
  • 一部の投稿では爆破予告が書き込まれていた。

f:id:Kango:20190119070851p:image

設置されていた画像は2018年8月の事案と同様

更新履歴

  • 2019年1月19日 AM 新規作成

新潟県警察公式サイトなどの改ざん(画像設置)についてまとめてみた

2018年12月、2019年1月と掲示板に画像参照させるURLやそのアーカイブが投稿されています。画像は対象のWebサイトとの関係がないものとみられ、何者かが設置した可能性があります。また新潟県警察のサーバーが何者かによりのっとられ、掲示板へ荒し投稿をする事案も発生しました。ここでは関連する情報をまとめます。

掲示板への投稿

  • 掲示板には2018年12月、2019年1月にそれぞれ投稿が行われているがこれらが同一人物によるものかは不明。*1



投稿されたWebサイト

No 掲示板への投稿日時 投稿されたWebサイト
1 2018年12月31日 21時54分 LPlus (lumin.jp)
2 No.1と同じ投稿 日本ハッカー協会 (mail.hacker.or.jp)
3 2019年1月18日 11時48分 新潟県警察 (www.police.pref.niigata.jp)
  • 対応が行われたのか2019年1月18日時点でアクセスはできない。(いずれもアーカイブが残されている。)


設置されていた画像は2018年8月の事案と同様

新潟県警察公式サイトのっとり事案タイムライン

日時 出来事
2019年1月17日 新潟県警察サイトに画像設置されたアーカイブが取られる
2019年1月18日まで 何者かにより設置された画像が削除される。
同日 1時半頃 新潟県警察サイトのサーバーが不正操作され、掲示板へ爆破予告の投稿が行われる。
同日 11時48分頃 掲示板へ新潟県警察サイト改ざん時のアーカイブのリンクが投稿される。
2019年1月19日 20時7分頃 掲示板へ新潟県警察サイトの脆弱性の検証コードとみられる投稿が行われる。
同日 22時以降 新潟県警察サイトサーバーが不正操作され、掲示板への荒し行為が行われる。
同日 サイトに問題がある可能性を指摘する新潟県警察へ複数の問い合わせが寄せられる。*2
2019年1月20日 新潟県警察がフォームプログラム類の運用停止を案内。

新潟県警察サイトを不正操作により行われた投稿

(1) 1月18日 1時半頃 爆破予告の投稿


  • ホスト名を直接名前に書き込むと太字表記となる。


(2) 1月19日 20時過ぎ 新潟県警サイトで稼働するCGI脆弱性
  • 取材に対して意見投稿フォームに問題があり、何者かが不正に操作した可能性があると回答。*3
  • 掲示板に新潟県警察サイトで稼働するCGIのURLを書き込む投稿が19日20時頃に行われている。
  • CGIの不具合との関連は不明だが、OSコマンドインジェクションの脆弱性の実証コードがあわせて投稿されていた。
  • 実行時はRefererを県警サイトに設定しておく必要があった模様。
  • 実証コード投稿以降、検証する動きがみられアーカイブサイトに投稿されていた。
  • 投稿されたCGI(photo.cgi)は20日未明以降、サーバー上からは見つからない措置が取られた模様。


(3) 1月19日 22時過ぎ 特定スレッドに荒し投稿


Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     211.120.107.208/29 (マスク範囲)
b. [ネットワーク名]             I-TOKINET
f. [組織名]                     新潟県警察本部
g. [Organization]               Niigata prefectural police
m. [管理者連絡窓口]             MI4657JP
n. [技術連絡担当者]             MI4657JP
p. [ネームサーバ]
[割当年月日]                    2001/12/25
[返却年月日]                    
[最終更新]                      2001/12/25 16:51:40(JST)

更新履歴

  • 2019年1月19日 AM 新規作成
  • 2019年1月20日 AM 続報反映
  • 2019年1月20日 PM 続報反映、構成修正
  • 2019年1月21日 AM 爆破予告の箇所を修正

*1:その後の書き込みで新潟県警察の投稿は直接関与したものではないといった投稿もある

*2:新潟県警HP システムに不正アクセスか,新潟日報モア,2019年1月20日

*3:県警サーバー 外部から不正操作,NHK,2019年1月20日

2019年1月のデータリーク「Collection #1」をまとめてみた

2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。

関連タイムライン

日時 出来事
2018年10月頃 Alex Holden氏(Hold Security CTO)がデータセットの存在をアンダーグラウンドフォーラムで確認。
2018年11月頃 Sanixer氏がクラウドストレージ(Mega)にCollection #1〜5等をアップロード。
2018年12月頃 Sanixer氏がハッキングフォーラムにデータ販売の書き込み。
2019年1月7日 ハッキングフォーラムにデータセット「Collection #1」の存在が投稿される。
2019年1月7日の週 複数人がTroy Hunt氏に「Collection #1」の情報を提供。
2019年1月17日 Troy Hunt氏が「Colletion #1」の分析記事を公開。
同日 BrianKrebs氏が同様のパッケージの存在を含めた取材記事を公開。

#時差があると思います。

発端となったTroy Hunt氏の分析記事

記事の要点

記事の要点をまとめると次の通り。

  • このデータセットの呼称は「Collection #1」と呼ばれるもの。
  • 2019年1月7日の週に複数人からこのデータについて連絡受けた。
  • データは人気のあるハッキングフォーラムに掲載され、クラウドサービス(MEGA)で公開されていた。(その後削除された)
  • このデータには数年前にTroy Hunt氏自身が利用していたメールアドレス、パスワードが含まれていた。
  • 解析したデータはHaveIBeenPwnedPwned Passwordsに追加が済んでおり、自分の情報が対象となっているかは確認可能な状態となっている。
  • 固有メールアドレスで確認された件数(約7億7300万件)としてはこれまでTroy氏が確認したもので最大の件数。
  • サイトから取得したとみられる時期はものによりけりで古い物では2008年頃とみられるものがある。

2019年1月7日のフォーラムへの投稿

「Collection #1」に関連する数字

今回の件に関連する数字をまとめると次の通り。

(1) データに含まれるファイル数 12,000個以上
(2) データのサイズ 87.18 GB
(3) (1)に含まれる全てのデータ件数 2,692,818,238件
(4) (3)の内、一意なメールアドレス、パスワード組み合わせ件数 1,160,253,228件
(5) (3)の内、HIBPに追加された固有のメールアドレスの件数 772,904,991件
(6) (3)の内、一意なパスワードの件数 21,222,975件

「Collection #1」に含まれるJPドメインの件数

  • Troy Hunt氏はフォーラムに掲載されていたファイルリストをPastebin上で公開した。
  • ファイル名が次の命名規則でつけられている模様。
侵害が疑われるドメイン {取得したとみられるデータの件数} [パスワードハッシュ化の有無].txt

この「侵害が疑われるドメイン」の文字列箇所について、.jpドメインが含まれる数を確認してみたところ次の結果となった。

.jpドメインの文字列が含まれる件数 38個
2018年2月に確認されたものと重複しない件数 18個

(参考)2018年2月に確認されたデータリークをまとめた記事

確認した.jpドメイン18個は次の通り。

easyriders.jp
itms.jp
medicalview.sakura.ne.jp
mensworker.jp
npb.scforum.jp
oshiete.petst.jp
ota-fair.jp
shizuoka-jinjacho.or.jp
sp.acrovision.jp
tech-t.co.jp
t.tfn.ne.jp
vch.jp
water-net.co.jp
www.aib-a.jp
www.nabeya.co.jp
www.okayama-international-circuit.jp
www.porsche.co.jp
www.shizu-toku.jp
  • この内2個は2019年1月時点でアクセスが出来なかった。
  • 大半は1000〜1万件程度のデータが含まれていたとみられる。1個だけ10万超のファイルが存在する。
  • ポルシェジャパン(www.porsche.co.jp)は2018年4月に不正アクセスについて発表しているがこの件との関連は不明。

「Collection #2〜5」の存在が報告される

  • その後続報として、同系のセットがまだ複数存在することをセキュリティジャーナリストのBrian Krebs氏が報告。
  • 元々の販売スレッドのスクリーンショットが掲載されており、ファイルサイズは以下の数字が掲載されていた。
  • ファイルの詳細(侵害されたサイト等)は明らかにされていないが、合計サイズが約1TB(993.36 GB)となる。
データセット サイズ
Collection #1 87.17 GB
Collection #2 526.11 GB
Collection #3 37.18 GB
Collection #4 178.58 GB
Collection #5 42.79 GB
AP MYR&ZABUGOR #2 24.53 GB
ANTIPUBLIC 102.04 GB
  • 掲載されている情報は「メールアドレス・パスワード」「ユーザーID・パスワード」「電話番号・パスワード」のいずれか対にしているものとみられる。
  • 販売者(Telegramユーザー名:Sanixer)に取材したKrebs氏の記事による関連情報は以下のもの。
    • 2,3年程度前のデータであるとKrebs氏に対して説明している。
    • これ以外にも複数のパッケージが存在し、合計は4TB以上、かつ確認されたものは1年以内。
  • ハッキングフォーラムでも同様のデータセットの存在を報告する投稿が行われている。


2018年12月のSanixer氏のデータ販売投稿

  • 2018年12月にハッキングフォーラムでSanixer氏が「CLOUD WITH COMBOS AMOUNT 993.36 GB」として販売していたとみられる。(確認した掲示板では販売投稿はルールに振れたためアカウントはBanされていた)
  • Mega上に2018年11月頃にアップロードされたスクリーンショットを掲載しており、入金確認後にこれを連絡する手順とされていた。


  • 45ドルで販売すると書き込まれていた。またプロモコードを入力すれば10%オフだとして40ドルで販売すると書き込まれていた。


  • 販売サイトは「selly[.]gg」を利用していたが、利用規約に抵触したとしてページは既に削除されている。


更新履歴

  • 2019年1月18日 AM 新規作成
  • 2019年1月18日 PM 続報を掲載(jpドメインの重複していない件数が誤っていたため修正 20⇒18)
  • 2019年1月19日 AM 追加情報を掲載

[インシデントまとめ] 2019年1月のデータリーク「Collection #1」をまとめてみた

2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。

Troy Hunt氏の記事

要点

記事の要点をまとめると次の通り。

  • データリークセットの呼称は「Collection #1」と呼ばれるもの。
  • 2019年1月7日の週に複数人からこのデータリークについて連絡受けた。
  • データは人気のあるハッキングフォーラムに掲載され、クラウドサービス(MEGA)で公開されていた。(その後削除された)
  • このデータには数年前にTroy Hunt氏自身が利用していたメールアドレス、パスワードが含まれていた。
  • 解析したデータはHaveIBeenPwnedPwned Passwordsに追加が済んでおり、自分の情報が対象となっているかは確認可能な状態となっている。
  • 固有メールアドレスで確認された件数(約7億7300万件)としてはこれまでTroy氏が確認したもので最大の件数。
  • サイトの侵害時期はファイルによりけりで2008年頃とみられるものもある。

2019年1月7日にフォーラムへ投稿されたMega上での公開を確認したと報告

f:id:Kango:20190118061751p:image:w640

関連する数字

今回の件に関連する数字をまとめると次の通り。

(1)データリークに含まれるファイル数12,000個以上
(2)データのサイズ87.18 GB
(3)(1)に含まれる全てのデータ件数2,692,818,238件
(4)(3)の内、一意なメールアドレス、パスワード組み合わせ件数1,160,253,228件
(5)(3)の内、HIBPに追加された固有のメールアドレスの件数772,904,991件
(6)(3)の内、一意なパスワードの件数21,222,975件

Collection #1に含まれるJPドメインの件数

  • Troy Hunt氏はフォーラムに掲載されていたファイルリストをPastebin上で公開した。
  • ファイル名が次の命名規則でつけられている模様。
侵害が疑われるドメイン {取得したとみられるデータの件数} [パスワードハッシュ化の有無].txt

この「侵害が疑われるドメイン」の文字列箇所について、.jpドメインが含まれる数を確認してみたところ次の結果となった。

.jpドメインの文字列が含まれる件数38個
2018年2月に確認されたものと重複しない件数20個

(参考)2018年2月に確認されたデータリークをまとめた記事

更新履歴

  • 2019年1月18日 AM 新規作成

南紀白浜観光局のWebサイト改ざんについてまとめてみた

2019年1月10日、和歌山県南紀白浜観光局はWebサイトが改ざんされていたことを発表しました。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2018年12月31日 17時35分 南紀白浜観光局のWebサイトが改ざんされる。
同日 19時3分頃 掲示板へ南紀白浜観光局のURLとID/PWらしき文字列を記載したものが投稿。
同日 22時46分頃 掲示板へ南紀白浜観光局のWebサイトにプログラム(掲示板)を設置したと投稿。
2019年1月1日 総務省南紀白浜観光局へ通報。事態発覚。*1
2019年1月2日 11時頃 南紀白浜観光局がWebサイトを一時閉鎖。
2019年1月4日 11時27分頃 南紀白浜観光局が公式アカウントからWebサイトがメンテナンス中と報告。*2
2019年1月10日 南紀白浜観光局がWebサイトの改ざんがされていたとお詫び。*3

被害

  • コンテンツ管理システム(CMS)が何者かにID、パスワードを入力され不正アクセスを受けた。
  • 一部コンテンツが改ざんされた。弁護士や児童ポルノなどの画像が掲載されていたとみられる。
  • 外部からCMSの管理画面にアクセスが可能な状態となっていた。
  • 改ざん時に閲覧した利用者への直接的な被害はない。
  • 改ざんされていた当時とみられるWebサイト(アーカイブサイトより)



対応

  • Webサイト上から改ざんされたコンテンツの削除
  • CMSのID、パスワードの変更
  • 外部から管理画面へのアクセスを遮断

掲示板に書き込まれたID/PWらしき文字列

  • 2018年12月31日 19時過ぎに「法律事務所Steadiness掲示板」に次の投稿が行われていた。
  • 投稿が行われていたことに対し南紀白浜観光局の公式発表では触れられていない。
368 :無名弁護士:2018/12/31(月) 19:03:13.26 ID:vpB3RxUJ0
http://www.nankishirahama.jp/admin/index.php 
ログインID : nanki 
パスワード : shirahama 

その他

  • 改ざんされた時期はCMSに残っていた更新履歴から判断したと南紀白浜観光局は取材に答えている。

更新履歴

  • 2019年1月16日 AM 新規作成

[インシデントまとめ] 南紀白浜観光局のWebサイト改ざんについてまとめてみた

2019年1月10日、和歌山県南紀白浜観光局はWebサイトが改ざんされていたことを発表しました。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2018年12月31日 17時35分南紀白浜観光局のWebサイトが改ざんされる。
同日 19時3分頃掲示板へ南紀白浜観光局のURLとID/PWらしき文字列を記載したものが投稿。
同日 22時46分頃掲示板へ南紀白浜観光局のWebサイトにプログラム(掲示板)を設置したと投稿。
2019年1月1日総務省が南紀白浜観光局へ通報。事態発覚。*1
2019年1月2日 11時頃南紀白浜観光局がWebサイトを一時閉鎖。
2019年1月4日 11時27分頃南紀白浜観光局が公式アカウントからWebサイトがメンテナンス中と報告。*2
2019年1月10日南紀白浜観光局がWebサイトの改ざんがされていたとお詫び。*3

被害

  • コンテンツ管理システム(CMS)が何者かにID、パスワードを入力され不正アクセスを受けた。
  • 一部コンテンツが改ざんされた。弁護士や児童ポルノなどの画像が掲載されていたとみられる。
  • 外部からCMSの管理画面にアクセスが可能な状態となっていた。
  • 改ざん時に閲覧した利用者への直接的な被害はない。
  • 改ざんされていた当時とみられるWebサイト(アーカイブサイトより)

f:id:Kango:20190116060718j:image:w450

  • 何者かに設置されていたとみられる掲示板(アーカイブサイトより)

f:id:Kango:20190116061342j:image:w450

対応

  • Webサイト上から改ざんされたコンテンツの削除
  • CMSのID、パスワードの変更
  • 外部から管理画面へのアクセスを遮断

掲示板に書き込まれたID/PWらしき文字列

  • 2018年12月31日 19時過ぎに「法律事務所Steadiness掲示板」に次の投稿が行われていた。
  • 投稿が行われていたことに対し南紀白浜観光局の公式発表では触れられていない。
368 :無名弁護士:2018/12/31(月) 19:03:13.26 ID:vpB3RxUJ0
http://www.nankishirahama.jp/admin/index.php 
ログインID : nanki 
パスワード : shirahama 

その他

  • 改ざんされた時期はCMSに残っていた更新履歴から判断したと南紀白浜観光局は取材に答えている。

更新履歴

  • 2019年1月16日 AM 新規作成

[インシデントまとめ] ロシア外務省が発表した公式サイトへサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

ロシア外務省 1月11日の公式記者会見

この件について、外務省の会見内容は以下から確認ができる。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

  • 攻撃送信元としてロシアが公表したのは次の14か国。
  • ロシア外務省の発表順に沿って掲載。(発表順位の説明はなし)
    • 日本
    • アメリカ
    • ウクライナ
    • ルーマニア
    • ドイツ
    • デンマーク
    • イタリア
    • イギリス
    • カナダ
    • オランダ
    • サウジアラビア
    • ポーランド
    • トルコ
    • 中国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

日本国内の報道

更新履歴

  • 2019年1月13日 AM 新規作成

[インシデントまとめ] ロシア外務省が発表した公式サイトへのサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

ロシア外務省 1月11日の公式記者会見

この件について、外務省の会見内容は以下から確認ができる。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

  • 攻撃送信元としてロシアが公表したのは次の14か国。
  • ロシア外務省の発表順に沿って掲載。(発表順位の説明はなし)
    • 日本
    • アメリカ
    • ウクライナ
    • ルーマニア
    • ドイツ
    • デンマーク
    • イタリア
    • イギリス
    • カナダ
    • オランダ
    • サウジアラビア
    • ポーランド
    • トルコ
    • 中国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

日本国内の報道

更新履歴

  • 2019年1月13日 AM 新規作成
  • 2019年1月14日 AM タイトルを微修正

ロシア外務省が発表した公式サイトへのサイバー攻撃についてまとめてみた

ロシア外務省は1月11日、記者会見にて外務省ウェブサイトがサイバー攻撃を受けていたと発表しました。ここでは関連する情報をまとめます。

記者会見の概要

  • 2019年1月11日の記者会見で外務省ザハロワ報道官が明らかにしたもの。
  • 定期的に外務省サイト(http://www.mid.ru/)が攻撃を受けていること示すため今回サマリーを発表したもの。
  • 対象の期間は2018年1月1日〜9月30日までの9か月間。
  • 当該期間中において、海外14か国から7,700万件を超える影響を記録した。
  • いずれの攻撃も対策を講じ、公式サイト及び外国機関の完全性に対し直接的な影響は確認されていない。
  • 2018年4月に大規模なDDoS攻撃を受けた。

攻撃送信元の国

2018年4月に起きた大規模なDDoS攻撃

  • 説明の中でトピックとして大規模なDDoS攻撃が発生したことを説明。
  • この他の7700万件がすべてDDoS攻撃であったかは説明されていない。
  • 攻撃の状況は次の通り。
    • 2018年4月20日に大規模なDDoS攻撃を受けた。
    • 攻撃トラフィックの総量はピーク時秒間150GBを超えた。
    • ロシア外務省サイト、及びロシア外務省のドメイン(mid.ru)配下の外国機関のサイトが影響を受けた。
    • 攻撃により、短時間だが接続障害とみられる影響が生じた。

更新履歴

  • 2019年1月13日 AM 新規作成
  • 2019年1月14日 AM タイトルを微修正

艦隊これくしょんへのDoS攻撃についてまとめみた

2019年1月10日頃から、DMMが運営するゲーム「艦隊これくしょん」に対してDoS攻撃とみられる影響(Twitter公式では「飽和接続攻撃」と表現)により、接続障害が発生しています。ここでは関連情報をまとめます。

艦これ運営側が報告する攻撃の状況

  • 段階的に攻撃対象のサーバーへ集中攻撃を仕掛けている。
  • データベースを含めた攻撃を受けている可能性がある。
  • 対象はプラットフォームではなく、艦これが稼働するサーバーに対して行われている。
  • 攻撃送信元は海外を起点とするもの。
  • 詳細は報告を避けるが通常のDDoS攻撃ではない攻撃も含む。

艦これ運営側の対応

  • 上流回線業者の協力を得て対策に当たっている。
  • ユーザーへ通信状況に応じた対応(サービス利用や課金の一時的な見合わせ)を呼びかけ。
  • イベント開催期間を5日間延長。
  • 関係当局への届け出等、業務妨害行為に対する必要な措置を取る。

DDosMonでのDoSトラフィックの状況

2019年1月18日 12時頃に公開されているデータでは以下の通り。サーバーのIPアドレスはこちらの記事を参考にさせていただきました。
「★公式報告有」はTwitterで具体的にサーバー名の掲載があったもののみ掲載しています。全サーバー、広範囲など具体的な記載がないものについては記載していません。

艦これサーバー群
No サーバー名
1 横須賀鎮守府
2 新呉鎮守府
3 佐世保鎮守府
4 舞鶴鎮守府
5 大湊警備府
6 トラック泊地
7 リンガ泊地
8 ラバウル基地
9 ショートランド泊地
10 ブイン基地
11 タウイタウイ泊地
12 パラオ泊地
13 ブルネイ泊地
14 単冠湾泊地
15 幌筵泊地
16 宿毛湾泊地
17 鹿屋基地
18 岩川基地
19 佐伯湾泊地
20 柱島泊地
  • 1月18日頃にラバウル基地のIPアドレスが変更されていたことを確認した。(203.104.209.199 ⇒ 203.104.248.135)
1月8日~1月15日
No 1月8日 1月9日 1月10日 1月11日 1月12日 1月13日 1月14日 1月15日
1 ★公式報告有 ★公式報告有(3回)
02:57:30
14:24:56
00:08:59
22:38:58
16:40:11
20:57:00
00:26:33
18:51:56
2 19:52:52 16:22:59 ★公式報告有(2回)
01:49:54
★公式報告有 01:21:16
19:55:04
3 ★公式報告有 02:43:10
15:22:35
20:56:05
★公式報告有(2回)
4 09:02:53 ★公式報告有
01:13:54
15:47:45
★公式報告有
23:48:33
21:44:40
5 17:26:59
18:36:50
★公式報告有(2回) ★公式報告有 01:05:53
03:00:12
00:15:26
19:12:41
6 20:50:51 ★公式報告有 ★公式報告有
16:24:30
★公式報告有 01:41:06
04:26:03
7 12:07:36
20:10:24
12:55:08
19:56:43
★公式報告有 ★公式報告有 03:46:12
8 15:11:33 ★公式報告有
17:29:21
★公式報告有
00:39:53
07:41:47
20:25:29
9 12:32:31 15:35:14
18:08:27
★公式報告有
14:30:39
★公式報告有 19:01:30
10 13:35:20
16:47:39
19:20:09
22:00:27
★公式報告有(2回)
00:01:36
17:59:38
21:05:21
22:15:41
★公式報告有 17:19:58 01:33:56
20:05:18
11 ★公式報告有(2回)
00:52:55
18:08:55
★公式報告有 00:36:56
01:49:20
06:49:25
21:21:19
19:07:55
12 15:59:30
17:51:21
18:24:28 00:19:46 01:48:09
13 21:40:12 12:46:15
13:51:03
18:33:57 08:04:47 19:14:19
14 19:44:28 18:40:26 04:21:01
16:17:21
18:01:51
00:42:22
19:19:06
15 14:07:07
16:39:47
21:27:09
18:57:57 17:12:28
22:53:58
19:19:33
16 01:17:47 ★公式報告有(2回)
19:19:48
23:11:14 05:14:36 19:04:40
17 12:00:29 19:02:18 ★公式報告有
19:29:32
23:25:44 01:04:54
18:56:40
18 00:59:23
21:01:56
★公式報告有
19:45:35
17:04:57 19:03:08
19 17:42:50 ★公式報告有
20:00:22
23:24:21 02:14:53
07:15:43
19:36:38
18:48:47
20 12:58:34 22:09:55 ★公式報告有
20:09:33
19:10:13
1月16日~29日
No 1月16日 1月17日 1月18日 1月22日 1月24日 1月25日 1月26日 1月27日 1月28日 1月29日
1 16:16:40 21:36:23 14:56:45 11:00:46
2 10:46:28 11:45:27
17:46:15
04:39:15 15:42:34
16:45:32
19:50:14
21:18:19
3 06:04:33 18:50:19 16:41:35 10:59:58
4 07:49:42 11:12:28 06:59:48 01:02:30
18:14:02
5 08:46:07 03:34:02 23:34:32 22:36:54
6 23:02:20 20:25:57
21:30:23
7 09:19:36 14:01:25 12:37:57 05:49:30
11:15:44
02:26:04
8 16:02:34 22:31:51 06:51:01 22:40:26
9 05:28:58 14:41:01 05:10:45 04:09:08
15:09:32
10 03:09:02 20:02:21
11 09:59:13 16:01:19
17:06:01
13:45:38
23:36:15
12 11:19:39 02:04:05
13 16:07:20 07:25:22
15:54:30
02:39:28
14:52:03
14 04:44:25 18:17:27 18:16:58 07:30:05
08:44:30
15 03:59:00 06:00:59 22:20:44
16 20:57:36 13:22:27
23:33:32
17 02:28:51 20:21:26 20:14:27 05:08:07
07:14:10
10:03:39
21:56:48
18 16:03:47 02:36:12 12:20:52 12:27:33
16:04:34
17:16:58
03:58:51
19 16:32:35 12:41:57 01:15:39
15:03:02
13:25:12
14:29:15
20
2月5日~8日
No 2月5日 2月6日 2月8日
1 08:19:25
18:36:45
2
3 07:39:28 01:41:10
4 19:57:03
21:40:54
5 10:44:34
23:46:56
6
7
8 12:43:29
21:01:34
9 01:32:49
10 23:40:44
11 09:09:19
12 16:29:12
17:32:42
13 12:13:13
14 14:04:36
21:49:24
22:51:35
15 10:04:30
16 06:29:20
17 13:24:30 19:42:16
18 05:39:28
15:47:31
19 14:51:52
20 11:24:39
DDoSmonが検出している攻撃タイプ

以下の攻撃タイプを検出している。

  • cc_flood_target
  • syn_flood_target-mix_RST
  • amp_flood_target-NTP
  • amp_flood_target-CLDAP
  • amp_flood_target-DNS

公式アカウントの障害報告

2019年1月9日夜頃から攻撃による障害が発生していると報告が行われている。

2019年1月10日(木)
No Twitter 投稿時間 概要/障害が発生している対象
1 2時頃 1月9日夜以降「艦これ」ログインサーバ群障害発生
2 10時7分頃 1月9日以降の障害復旧報告
3 18時21分頃 1月10日で「佐世保鎮守府サーバ」などの複数の「艦これ」サーバ群障害発生
4 23時33分頃 1月10日夜以降「艦これ」稼働各サーバ群のほぼ全領域で障害発生
5 9時59分頃 今週以降海外からの攻撃が発生し対策中との報告。
2019年1月11日(金)
No Twitter 投稿時間 概要/障害が発生している対象
6 16時4分頃 1月1日午後以降「横須賀鎮守府サーバ」をはじめとした「艦これ」稼働各サーバ群で障害発生
7 18時21分頃 「艦これ」稼働各サーバ群に対して攻撃が継続中と報告
8 19時38分頃 「トラック泊地サーバ」で障害発生したが復旧したと報告
2019年1月12日(土)
No Twitter 投稿時間 概要/障害が発生している対象
9 0時34分頃 「大湊警備府」及び「ブイン基地」に対して攻撃による障害発生。「大湊警備府」は復旧。
10 1時16分頃 「タウイタウイ泊地サーバ」で障害発生、現在復旧したと報告
11 1時27分頃 「舞鶴鎮守府サーバ」で障害発生
12 1時59分頃 「呉鎮守府(新呉鎮守府)サーバ」で障害発生
13 11時11分頃 今週に入り攻撃が発生していること、現在全サーバー稼働中であることを報告
14 14時40分頃 「横須賀鎮守府サーバ」をはじめとする広範囲な稼働サーバ群で攻撃による障害発生
15 16時51分頃 「大湊警備府サーバ」及び「トラック泊地サーバ」に大規模な攻撃が発生、対策と復旧を報告
16 17時8分頃 艦これが受けている攻撃の概況を報告
17 17時36分頃 「ラバウル基地サーバ」及び「リンガ泊地サーバ」で障害発生
18 17時53分頃 「ショートランド泊地サーバ」が攻撃を受け対策を行ったと報告
19 18時26分頃 「パラオ泊地」「ブルネイ泊地」「単冠湾泊地」「幌筵泊地」が攻撃を受ける可能性を報告
20 18時28分頃 「ブイン基地サーバ」及び「タウイタウイ泊地サーバ」が攻撃を受けたが稼働中と報告
21 18時43分頃 「宿毛湾泊地」、その後「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が攻撃を受ける可能性を報告
22 19時25分頃 「宿毛湾泊地」が攻撃を受けていること、「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が段階的に攻撃を受ける可能性を報告。
23 19時28分頃 攻撃後もサーバーが障害を起こすことはないと報告
24 20時29分頃 「宿毛湾泊地」「鹿屋基地」「岩川基地」「佐伯湾泊地」「柱島泊地」が攻撃を受け障害発生と報告
25 20時41分頃 「横須賀鎮守府サーバ」が攻撃を受けていると報告。
26 20時48分頃 「横鎮」「呉鎮」が攻撃を受けて対策中。「佐鎮」「舞鎮」「大湊警備府」が段階的に攻撃を受ける可能性を報告
2019年1月13日(日)
No Twitter 投稿時間 概要/障害が発生している対象
27 12時15分頃 「艦これ」稼働各サーバ群に対する攻撃が発生したが接続影響はほぼ影響なしと報告
28 21時59分頃 「横須賀」「呉」「佐世保」「舞鶴」に対して攻撃が発生したが影響なしと報告
29 22時4分頃 「大湊警備府」「トラック泊地「リンガ泊地」に対して攻撃が発生したがほぼ影響なしと報告
30 22時10分頃 「艦これ」稼働各サーバに対して攻撃継続中と報告
31 22時33分頃 「佐伯湾泊地」「タウイタウイ」「ショートランド」「ブイン」に対して攻撃が発生したが影響なしと報告
32 22時38分頃 攻撃継続中だがサービス影響なしと報告
33 23時32分頃 攻撃パターンを変えて継続中と報告。
2019年1月14日(月)
No Twitter 投稿時間 概要/障害が発生している対象
34 0時31分頃 日付けが変わっても攻撃が全サーバーに対して継続中であると報告
35 1時32分頃 「ラバウル基地」に対して集中的に攻撃が発生し障害が起きていると報告
36 9時24分頃 朝以降、広範囲な「艦これ」サーバ群に対して攻撃が継続中と報告
37 9時43分頃 攻撃対象はプラットフォームではなく、艦これサーバー群に対して行われており、攻撃中に通信障害がおこる可能性を報告
38 9時48分頃 接続障害の可能性が考えられる場合は利用や課金の一時的な見合わせをするように利用者へ呼びかけ
39 10時頃 ゲーム中のイベント期間を延長することを検討中と報告
40 17時16分頃 夕方以降、「艦これ」各サーバ群に対して攻撃が行われ始めたと報告
41 23時50分頃 攻撃により一時的な接続障害が発生している可能性を報告。
42 23時58分頃 関係当局への届出、業務妨害行為への必要な措置を取ると報告
2019年1月15日(火)
No Twitter 投稿時間 概要/障害が発生している対象
43 9時41分頃 「艦これ」稼働サーバ群が攻撃を受けていること、関係者と必要な措置を取ることを報告
44 10時3分頃 開催中のイベントを22日朝まで延長すると発表
45 23時10分頃 艦これサーバーに対して攻撃が発生中、追加の対策を検討していると報告
46 23時10分頃 DoS攻撃が発生と対策の準備をしていると報告
2019年1月16日(水)
No Twitter 投稿時間 概要/障害が発生している対象
47 9時43分頃 断続的に攻撃が発生し接続が不安定になる可能性があると報告
2019年1月17日(木)
No Twitter 投稿時間 概要/障害が発生している対象
48 9時43分頃 断続的に攻撃が発生し接続が不安定になる可能性があると報告
2019年1月19日(土)
No Twitter 投稿時間 概要/障害が発生している対象
49 9時47分頃 これまでよりも広範囲をターゲットとした攻撃が発生していると報告

更新履歴

  • 2019年1月12日 AM 新規作成
  • 2019年1月13日 AM 最新の情報を反映、一部サーバーのIPアドレスの情報が古かったため修正。
  • 2019年1月14日 AM 最新の情報を反映、掲載内容の順序を変更(公式報告が伸びてきたため後ろに移動)
  • 2019年1月15日 AM 最新の情報を反映
  • 2019年1月16日 AM 最新の情報を反映
  • 2019年1月18日 PM 最新の情報を反映
  • 2019年1月20日 AM 最新の情報を反映
  • 2019年1月25日 AM 最新の情報を反映
  • 2019年1月28日 PM 最新の情報を反映
  • 2019年1月31日 PM 最新の情報を反映
  • 2019年2月12日 PM 最新の情報を反映

[インシデントまとめ] 艦隊これくしょんへのDoS攻撃についてまとめみた

2019年1月10日頃から、DMMが運営するゲーム「艦隊これくしょん」に対してDoS攻撃とみられる影響(Twitter公式では「飽和接続攻撃」と表現)により、接続障害が発生しています。ここでは関連情報をまとめます。

公式アカウントの障害報告

2019年1月9日夜頃から攻撃による障害が発生していると報告が行われている。

NoTwitter 投稿日時概要/障害が発生している対象
12019年1月10日 2時頃1月9日夜以降「艦これ」ログインサーバ群障害発生
22019年1月10日 10時7分頃1月9日以降の障害復旧報告
32019年1月10日 18時21分頃1月10日で「佐世保鎮守府サーバ」などの複数の「艦これ」サーバ群障害発生
42019年1月10日 23時33分頃1月10日夜以降「艦これ」稼働各サーバ群のほぼ全領域で障害発生
52019年1月11日9時59分頃今週以降海外からの攻撃が発生し対策中との報告。
62019年1月11日 16時4分頃1月1日午後以降「横須賀鎮守府サーバ」をはじめとした「艦これ」稼働各サーバ群で障害発生
72019年1月11日 18時21分頃「艦これ」稼働各サーバ群に対して攻撃が継続中と報告
82019年1月11日 19時38分頃「トラック泊地サーバ」で障害発生したが復旧したと報告
92019年1月12日 0時34分頃「大湊警備府」及び「ブイン基地」に対して攻撃による障害発生。「大湊警備府」は復旧。
102019年1月12日 1時16分頃「タウイタウイ泊地サーバ」で障害発生、現在復旧したと報告
112019年1月12日 1時27分頃「舞鶴鎮守府サーバ」で障害発生
122019年1月12日 1時59分頃「呉鎮守府(新呉鎮守府)サーバ」で障害発生

DDosMonでのDoSトラフィックの状況

2019年1月12日 6時頃に公開されているデータでは以下の通り。サーバーのIPアドレスはこちらの記事を参考にさせていただきました。

Noサーバー名DoSトラフィックの検出回数種別
1横須賀鎮守府無し
2呉鎮守府無し
3新呉鎮守府有り3回syn_flood_target-mix_RST
amp_flood_target-CLDAP
4佐世保鎮守府無し
5舞鶴鎮守府無し
6大湊警備府無し
7トラック泊地無し
8リンガ泊地無し
9ラバウル基地無し
10ショートランド泊地無し
11ブイン基地無し
12タウイタウイ泊地有り3回amp_flood_target-NTP
amp_flood_target-CLDAP
13パラオ泊地有り2回amp_flood_target-CLDAP
14ブルネイ泊地有り4回cc_flood_target
amp_flood_target-DNS
amp_flood_target-CLDAP
15単冠湾泊地有り1回amp_flood_target-CLDAP
16幌筵泊地有り3回amp_flood_target-CLDAP
syn_flood_target-mix_RST
17宿毛湾泊地有り1回amp_flood_target-CLDAP
18鹿屋基地有り2回amp_flood_target-CLDAP
19岩川基地有り3回cc_flood_target
amp_flood_target-CLDAP
20佐伯湾泊地有り1回amp_flood_target-CLDAP
21柱島泊地有り2回amp_flood_target-NTP
amp_flood_target-CLDAP

更新履歴

  • 2019年1月12日 AM 新規作成

フォロー&リツイート当選詐欺についてまとめてみた

Twitterでフォロー、リツイートを行った人を対象に抽選を行うといった方法を悪用して詐欺が発生していると複数の報告されています。
ここでは関連する情報をまとめます。また同様の手口が今後も続く可能性があります。ご注意ください。

詐欺として報告が相次ぐツイート

  • これまでDROPAIRDROPといった社名を用いている。
  • 懸賞やプレゼントキャンペーン、福袋と名乗って、Playstation4iPhoneなど高額な商品が当たると誘導するもの。
  • 応募方法はフォローと抽選ツイートをリツイートすること。
  • 過去に当選した人物がいるとしてWebサイト上で該当ツイートを紹介。


詐欺とみられるツイートの一例(アカウント凍結済)

詐欺ツイートを行っていたとみられるアカウント

確認している範囲では次のアカウントが一連の投稿を行っている。

当選連絡を受けた人の報告

被害を受けたと報告されている方によれば次の手口が行われていた模様。*1

  • (1) 該当アカウントから当選後に送料負担の連絡が届く。
  • (2) クレジットカード情報の入力が求められる。
  • (3) ホテルから当選者の名義で荷物が届いていると連絡。
  • (4) クレジットカードが不正利用されていた。

過去の当選報告例はサクラの可能性

以下のような状況から当選報告の写真などを掲載しているアカウントは何らかの理由によりサクラの可能性がある。

  • いくつものアカウントが一言一句同じのツイートを行っている。
  • 本当に届いたのか確認を当選報告アカウントへ行うと「同業者のネガキャン」などと当選連絡を受けた人を信じさせる内容を送信してくる。*2
  • 当選後に海外のアカウントから急にお祝いのメンションが飛んでくる。*3

誘導先のWebサイト

  • 確認している範囲では以下のWebサイトが個人情報やクレジットカード情報の入力に利用されている模様。(現在も稼働中)
www.jp-drop.com
twitter-mobile.com
twitter-shops.com
www.cyberdynejp.com

被害報告を行った人への対応

  • 該当アカウントからブロックが行われる。
  • 脅迫や誹謗中傷する内容が送られてきていたとの報告がある。
  • 脅迫は入力した個人情報をばらまくなどとするもの。
  • 実際にサクラとみられるアカウントを用いて氏名や電話番号など投稿が行われていた模様。

抽選投稿を拡散させるためメールでリツイート依頼

  • 抽選ツイートをリツイートすれば謝金(2万円)を支払うといったメールが届いていた。
  • 届いた人はフォロワー数が多く、インターネット上にメールアドレスを公開していた模様。

更新履歴

  • 2019年1月10日 PM 新規作成
  • 2019年1月11日 AM 見出し修正、WebサイトのURLを修正
  • 2019年1月15日 PM 最新の情報を反映

[インシデントまとめ] フォロー&リツイート当選詐欺についてまとめてみた

Twitterでフォロー、リツイートを行った人を対象に抽選を行うといった方法を悪用して詐欺が発生していると複数の報告されています。

ここでは関連する情報をまとめます。また同様の手口が今後も続く可能性があります。ご注意ください。

詐欺として報告が相次ぐツイート

  • これまでDROP、AIRDROPといった社名を用いている。
  • 懸賞やプレゼントキャンペーン、福袋と名乗って、Playstation4やiPhoneなど高額な商品が当たると誘導するもの。
  • 応募方法はフォローと抽選ツイートをリツイートすること。
  • 過去に当選した人物がいるとしてWebサイト上で該当ツイートを紹介。

f:id:Kango:20190110172715p:image:w450

詐欺とみられるツイートの一例

詐欺ツイートを行っていたとみられるアカウント

確認している範囲では次のアカウント。現在はいずれも削除、または凍結されている。

  • 0FFCIAL_DROP
  • official__Drop
  • OfficiaI_Drop

当選連絡を受けた人の報告

被害を受けたと報告されている方によれば次の手口が行われていた模様。*1

  • (1) 該当アカウントから当選後に送料負担の連絡が届く。
  • (2) クレジットカード情報の入力が求められる。
  • (3) ホテルから当選者の名義で荷物が届いていると連絡。
  • (4) クレジットカードが不正利用されていた。

当選報告はサクラの可能性

以下のような状況から当選報告の写真などを掲載しているアカウントは何らかの理由によりサクラの可能性がある。

  • いくつものアカウントが一言一句同じのツイートを行っている。
  • 本当に届いたのか確認を当選報告アカウントへ行うと「同業者のネガキャン」などと当選連絡を受けた人を信じさせる内容を送信してくる。*2
  • 当選後に海外のアカウントから急にお祝いのメンションが飛んでくる。*3

誘導先のWebサイト

  • 確認している範囲では以下のWebサイトが個人情報やクレジットカード情報の入力に利用されている模様。(現在も稼働中)
www.jp-drop.com
twitter-mobile.com
twitter-shop.com

被害報告を行った人への対応

  • 該当アカウントからブロックが行われる。
  • 脅迫や誹謗中傷する内容が送られてきていたとの報告がある。
  • 脅迫は入力した個人情報をばらまくなどとするもの。
  • 実際にサクラとみられるアカウントを用いて氏名や電話番号など投稿が行われていた模様。

抽選投稿を拡散させるためメールでリツイート依頼

  • 抽選ツイートをリツイートすれば謝金(2万円)を支払うといったメールが届いていた。
  • 届いた人はフォロワー数が多く、インターネット上にメールアドレスを公開していた模様。

関連情報

更新履歴

  • 2019年1月10日 PM 新規作成

オーストラリアの気象情報サービスの不正アクセスについてまとめてみた

オーストラリアで気象情報の通知サービスを提供する「Early Warning Network」で、1月5日夜に何者かにより勝手に通知メッセージ(スパム)が送信される被害が発生しました。ここでは関連情報をまとめます。

公式発表

*** Update 11am EDT 7th January*** 
The unauthorized alert sent on Saturday night was undertaken by an unauthorized person using illicitly gained credentials to login and post a nuisance spam-notification to some of our customers.
The link used in this alert were non-harmful and your personal information was not compromised in this event. Investigations are continuing with the Police and Australian Cyber Security Centre.

Original Information
At around 930pm EDT 5th January, the EWN Alerting system was illegally accessed with a nuisance message sent to a part of EWNs database.
This was sent out via email, text message and landline.
EWN staff at the time were able to quickly identify the attack and shut off the system limiting the number of messages sent out. Unfortunately, a small proportion of our database received this alert.
Our systems are back up and running providing ongoing alerts for severe weather and natural hazard events. Investigations are continuing with police involvement.

発表内容(意訳)は以下の通り。

  • 2019年1月5日 21時30分頃(米東部標準時)に一部の利用者へスパム通知が送信される事態が発生。
  • 何者かが不正に取得された認証情報を用いてEWNのシステムへログインした。
  • 個人情報は今回の不正アクセスによる侵害を確認していない。(取材では個人情報を保持していないとコメント)
  • 早めに異常を検知したため、システムを停止し、送信されるメッセージ数を制限することが出来た。
  • システムはバックアップされており、気象警告のサービスも継続して提供されている。

被害状況・対応等

  • 気象情報の通知サービスに不正アクセスし、利用者へスパムメッセージが送信された。
  • 地方自治体、州、連邦政府の警告システムが影響を受けた。
  • EWNは今回の通知を受け取った具体的な人数は明らかにしていない。
  • EWNはオーストラリア国内から被害を受けたものとみている。*1
  • クイーンズランド州警察、豪サイバーセキュリティセンターと共同で調査を行っている。

送信されたスパムメッセージ

  • EWNによれば電子メール、テキストメッセージ、固定電話を介して送信された
  • サービスがハッキングされたこと、そしてサービスの購読中止を呼び掛ける内容となっている。
  • リンクは有害なものではないと発表している。
SMS

EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.
ewn.com.au ASX AER

Email
Fromアドレス alert@ewn.com.au
件名 EWN Hacked - Privacy Alert
本文 EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ASX AER WEN ewn.com.au

更新履歴

  • 2019年1月8日 PM 新規作成

[インシデントまとめ] オーストラリアの気象情報サービスの不正アクセスについてまとめてみた

オーストラリアで気象情報の通知サービスを提供する「Early Warning Network」で、1月5日夜に何者かにより勝手に通知メッセージ(スパム)が送信される被害が発生しました。ここでは関連情報をまとめます。

公式発表

*** Update 11am EDT 7th January*** 
The unauthorized alert sent on Saturday night was undertaken by an unauthorized person using illicitly gained credentials to login and post a nuisance spam-notification to some of our customers.
The link used in this alert were non-harmful and your personal information was not compromised in this event. Investigations are continuing with the Police and Australian Cyber Security Centre.

Original Information
At around 930pm EDT 5th January, the EWN Alerting system was illegally accessed with a nuisance message sent to a part of EWNs database.
This was sent out via email, text message and landline.
EWN staff at the time were able to quickly identify the attack and shut off the system limiting the number of messages sent out. Unfortunately, a small proportion of our database received this alert.
Our systems are back up and running providing ongoing alerts for severe weather and natural hazard events. Investigations are continuing with police involvement.

発表内容(意訳)は以下の通り。

  • 2019年1月5日 21時30分頃(米東部標準時)に一部の利用者へスパム通知が送信される事態が発生。
  • 何者かが不正に取得された認証情報を用いてEWNのシステムへログインした。
  • 個人情報は今回の不正アクセスによる侵害を確認していない。(取材では個人情報を保持していないとコメント)
  • 早めに異常を検知したため、システムを停止し、送信されるメッセージ数を制限することが出来た。
  • システムはバックアップされており、気象警告のサービスも継続して提供されている。

被害状況・対応等

  • 気象情報の通知サービスに不正アクセスし、利用者へスパムメッセージが送信された。
  • 地方自治体、州、連邦政府の警告システムが影響を受けた。
  • EWNは今回の通知を受け取った具体的な人数は明らかにしていない。
  • EWNはオーストラリア国内から被害を受けたものとみている。*1
  • クイーンズランド州警察、豪サイバーセキュリティセンターと共同で調査を行っている。

送信されたスパムメッセージ

  • EWNによれば電子メール、テキストメッセージ、固定電話を介して送信された
  • サービスがハッキングされたこと、そしてサービスの購読中止を呼び掛ける内容となっている。
  • リンクは有害なものではないと発表している。
SMS

EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ewn.com.au ASX AER

Email
Fromアドレスalert@ewn.com.au
件名EWN Hacked - Privacy Alert
本文EWN has been hacked.Your personal data is not safe.Trying to fix the security issues.Email support@ewn.com.au if you wish to unscribe.

ASX AER WEN ewn.com.au

更新履歴

  • 2019年1月8日 PM 新規作成

[インシデントまとめ] 米国新聞社で発生したサイバー攻撃についてまとめてみた

2018年12月29日、米国大手新聞社がマルウェアに感染し、複数の新聞紙の印刷や配送などに影響が出たと報じられています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時出来事
2018年12月27日真夜中米国ロサンゼルス他全米の印刷工場内でマルウェア感染が発生。
2018年12月28日技術担当者らが感染したサーバーを隔離し復旧。
同日ネットワークを通じて制作や印刷関連のシステムで再感染発生。
2018年12月29日影響を受けた新聞社で新聞内容が縮小されたり、配送が遅延、または翌日になる被害が発生。
同日米国土安全保障省が新聞社の状況について調査をしているとコメント。*1

影響を受けた新聞社

  • 「Tribune Publishing」のシステム(記事、写真、管理情報を保存するシステムなど)を利用する新聞社が影響を受けたとみられる。

マルウェア感染による影響

  • Tribune版の新聞紙の85〜90%の購読者へ土曜日29日付の新聞紙が届かなかった可能性がある。
  • Sandiego Union-Tribuneによればこれは数十年で最大の発行中断としている。
  • 本来3,4時ころ到着するはずの朝刊紙が当日は7,8時頃に遅配された。
  • カスタマーサポートなど電話回線が妨害されていたと報じている新聞社もある。*2
  • 障害発生の最中、タイムカードシステムがしばらくオフラインの状態となっていたと報じられている。

マルウェアの詳細

  • Tribuneの状況を知る関係者によれば、「Ryuk」ランサムウェアの可能性があると報じられている。*3
  • ファイルの拡張子に「.ryk」が含まれていたため。
  • Tribune Publishingは加入者、広告主など個人情報は侵害されていないとコメント。
  • 配送遅延などが生じた新聞社のWebサイトは影響を受けていなかった。
  • 攻撃元についてTribune Publishingは「確認ができない」と取材に対しコメント。
  • Los Angeles Timesは「米国外から発生したようだ」と報道。
  • その後断定はまだ早すぎるとTribune Publishing広報担当者からコメントが出された。*4

更新履歴

  • 2018年12月31日 AM 新規作成