ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-02-28

Mixiの不正ログインでつぶやかれたURLについて調べてみた。

| 22:51 | Mixiの不正ログインでつぶやかれたURLについて調べてみた。を含むブックマーク

Mixiが2月28日に不正ログインの発生について重要なお知らせを掲載しました。ここでは2月28日に発生したと思われるMixiの不正ログインに関する情報について調べた内容についてまとめます。

Mixiで不正ログインが立て続けに発生

Mixiの不正ログインは2月上旬(2月5日〜10日)にも発生していたようで最初お知らせを見たときは先日報じられていたに関する続報なのかと思っていたのですが、内容を確認すると今日確認された不正ログインについてのお知らせでした。

f:id:Kango:20140228220030p:image

興味深いことに2月上旬は370件(報道ベース)だったのですが、今回の不正ログイン被害を受けたユーザーは2月28日17時時点で16,972件となっており、さらに不正ログインを受けた期間も2時45分〜14時と半日に満たない短時間の間に行われたものとなっていました。

今までとは異なる不正ログイン後の行動

今まで不正ログインを受けた場合に見られた被害事象として報告されているものは、

といったものが主だったものでしたが、今回のMixi側の発表によれば不正ログイン後に「Mixiボイス」に身に覚えのない投稿が行われるというもので今までとは異なるタイプの様に思います。

Mixiの不正ログインはまだ落ち着いていない?

自分自身もアカウントを持っているので念のためMixiログインして少し確認してみたところ、まだそれらしい投稿が残っていました。検索にかかった件数だけ見ると17,412件が引っ掛かりました。また投稿時間を見ると2時間前となっていたので、2月28日19時ぐらいに行われた投稿のようです。

f:id:Kango:20140228220031p:image

追記:Mixiの公式アカウントから返事をもらいましたよ。

やはりこれらのつぶやきも不正ログイン関係だそうです。

張り付けられていたURLの検証

投稿されている内容は典型的なスパムとも思える内容です。FC2の動画を見たい人を狙っているのかもしれません。このURLにアクセスすると次のような画面が表示されます。(以降URLが出てきますがアクセスはしないようにしてください。)

f:id:Kango:20140228220032p:image

一応このURLスキャナーにかけてみましたが、現時点ではドライブバイダウンロードを試行する等の目立った反応はありませんでした。

ダウンロードして実行してみる

画面中に「ダウンロード」とあったのでさらにこれをクリックします。すると「Fc2SoftJa2014.zip」というのが落ちてきました。これを展開すると次のようなファイルが展開されました。ちなみに何故かこのZIPにはChromeも入っていました。

f:id:Kango:20140228220033p:image

ファイル名とかテキストとかが文字化けしていますね。というわけで簡体中国語 (GBK)にしてテキストを開きなおしてみました。

f:id:Kango:20140228220034p:image

何となくどこを母国語としているのか見えてきましたが、「使用説明書」の通りすすめます。

FC2有料会員共有.bat」を実行すると中にある「Main.exe」が呼ばれます。ちなみにMain.exeをVTにかけてみましたが、特に反応するAVはありませんでした。

このような画面が開きます。

f:id:Kango:20140228220035p:image:w500

最初の画面に新規登録をしろと書いてあったので「新規登録」ボタンを押すと次の画面に代わります。

f:id:Kango:20140228220036p:image:w500

適当に入力してみたところメールが飛んできました。

f:id:Kango:20140228220037p:image:w500

パスワードまで平文で送ってきてくれました。親切ですね!

f:id:Kango:20140228220038p:image:w500

リンクをクリックしたら「〜は正常にアクティブ」というよく分からない表示が出て登録できたようなので、先ほどのアプリログインしてみたところ次の画面がブラウザで開きました。

f:id:Kango:20140228220039p:image:w500

このログインボタンを押してもFc2に遷移するだけで特に有料会員メニューが開くことはありませんでした。

もしかしてお金をチャージしていないからなのかもしれないということで、先ほどのアプリの「会費の支払い」をクリックしてみます。すると次のログイン画面が出てきました。

f:id:Kango:20140228220040p:image:w500

先ほど登録した情報を入力してみたところログインが出来ました。

f:id:Kango:20140228220043p:image:w500

FC2ソフトウェアを支払う」をクリックしてみると、次のような画面が出てきます。iTunesカードやクレジットカード情報を入力させるようです。それらしい項目もありますが、実際に入力するとどうなるかまでは検証していません。

f:id:Kango:20140228220044p:image:w500

恐らくこの金銭情報を盗ることが目的なのでしょう。日本語を始め、全体的に怪しい雰囲気が漂っているので騙される人はいないと思いたいですが、参照したURLの内容が変わることも考えられますし面白半分にクリックすることは控えた方がよさそうです。