piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Mixiの不正ログインでつぶやかれたURLについて調べてみた。

Mixiが2月28日に不正ログインの発生について重要なお知らせを掲載しました。ここでは2月28日に発生したと思われるMixiの不正ログインに関する情報について調べた内容についてまとめます。

Mixiで不正ログインが立て続けに発生

Mixiの不正ログインは2月上旬(2月5日〜10日)にも発生していたようで最初お知らせを見たときは先日報じられていたに関する続報なのかと思っていたのですが、内容を確認すると今日確認された不正ログインについてのお知らせでした。

  • 外部からの不正ログインについて(Mixi内告知)

興味深いことに2月上旬は370件(報道ベース)だったのですが、今回の不正ログイン被害を受けたユーザーは2月28日17時時点で16,972件となっており、さらに不正ログインを受けた期間も2時45分〜14時と半日に満たない短時間の間に行われたものとなっていました。

今までとは異なる不正ログイン後の行動

今まで不正ログインを受けた場合に見られた被害事象として報告されているものは、

  • ログインが成功するか試行する
  • (ログイン後に)個人情報を盗み見る
  • (ログイン後に)クレジットカード情報等の金銭的価値になる情報を盗み見る

といったものが主だったものでしたが、今回のMixi側の発表によれば不正ログイン後に「Mixiボイス」に身に覚えのない投稿が行われるというもので今までとは異なるタイプの様に思います。

Mixiの不正ログインはまだ落ち着いていない?

自分自身もアカウントを持っているので念のためMixiにログインして少し確認してみたところ、まだそれらしい投稿が残っていました。検索にかかった件数だけ見ると17,412件が引っ掛かりました。また投稿時間を見ると2時間前となっていたので、2月28日19時ぐらいに行われた投稿のようです。

追記:Mixiの公式アカウントから返事をもらいましたよ。

やはりこれらのつぶやきも不正ログイン関係だそうです。

張り付けられていたURLの検証

投稿されている内容は典型的なスパムとも思える内容です。FC2の動画を見たい人を狙っているのかもしれません。このURLにアクセスすると次のような画面が表示されます。(以降URLが出てきますがアクセスはしないようにしてください。)

一応このURLをスキャナーにかけてみましたが、現時点ではドライブバイダウンロードを試行する等の目立った反応はありませんでした。

ダウンロードして実行してみる

画面中に「ダウンロード」とあったのでさらにこれをクリックします。すると「Fc2SoftJa2014.zip」というのが落ちてきました。これを展開すると次のようなファイルが展開されました。ちなみに何故かこのZIPにはChromeも入っていました。

ファイル名とかテキストとかが文字化けしていますね。というわけで簡体中国語 (GBK)にしてテキストを開きなおしてみました。

何となくどこを母国語としているのか見えてきましたが、「使用説明書」の通りすすめます。

「FC2有料会員共有.bat」を実行すると中にある「Main.exe」が呼ばれます。ちなみにMain.exeをVTにかけてみましたが、特に反応するAVはありませんでした。

このような画面が開きます。

最初の画面に新規登録をしろと書いてあったので「新規登録」ボタンを押すと次の画面に代わります。

適当に入力してみたところメールが飛んできました。

パスワードまで平文で送ってきてくれました。親切ですね!

リンクをクリックしたら「〜は正常にアクティブ」というよく分からない表示が出て登録できたようなので、先ほどのアプリでログインしてみたところ次の画面がブラウザで開きました。

このログインボタンを押してもFc2に遷移するだけで特に有料会員メニューが開くことはありませんでした。

もしかしてお金をチャージしていないからなのかもしれないということで、先ほどのアプリの「会費の支払い」をクリックしてみます。すると次のログイン画面が出てきました。

先ほど登録した情報を入力してみたところログインが出来ました。

「FC2ソフトウェアを支払う」をクリックしてみると、次のような画面が出てきます。iTunesカードやクレジットカード情報を入力させるようです。それらしい項目もありますが、実際に入力するとどうなるかまでは検証していません。

恐らくこの金銭情報を盗ることが目的なのでしょう。日本語を始め、全体的に怪しい雰囲気が漂っているので騙される人はいないと思いたいですが、参照したURLの内容が変わることも考えられますし面白半分にクリックすることは控えた方がよさそうです。