piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ドロップキャッチを悪用したTwitterのっとりについてまとめてみた

2019年8月10日、DIANNAプロジェクトは同社が運営する公式Twitterアカウントが不正ログインされたと発表しました。不正アクセスの詳細については発表されていませんが、SNS上の投稿等からドロップキャッチを悪用しアカウント奪取が行われた可能性があります。ここでは関連する情報をまとめます。

被害の状況

diannaproject.jp

DIANNAプロジェクトからの公式発表によれば次の被害を受けたとみられる。

  • 同社運営の公式Twitterアカウントが第三者により不正ログインされた。
  • アカウント名が勝手に変更され、本人と関係のない不適切な投稿が行われた。

不正ログインの手口

f:id:piyokango:20190814061633p:plain
ドロップキャッチを悪用した不正ログイン
関係者とみられるSNS上の投稿等*1から不正ログインは次の手口だったとみられる。

  1. SNS設定先のJPドメイン名が失効
  2. 第三者が失効したJPドメイン名を購入(ドロップキャッチ
  3. JPドメイン名の解決先を自身管理のホスティングに設定
  4. 第三者がSNSに対してパスワードリセットを要求
  5. 自身の環境でメールを受信しパスワードをリセット
  6. SNSにログインし設定変更や不適切な内容を投稿

過去問題となったホスティング先

  • meruchu.jpのIPアドレス157.112.187.13はラブライブ!公式サイト等で起きたJPドメイン名不正移管でもホストされていたもの。

piyolog.hatenadiary.jp
piyolog.hatenadiary.jp

  • 現在接続すると60秒後にyandex.ruへ飛ばされる。

f:id:piyokango:20190814064900p:plain

  • 当該IPアドレスに紐づくJPドメイン名を調査したところ類似事例を複数確認した。代表的なものをまとめると次のもの。

f:id:piyokango:20190814063938p:plain

  • kamisama-anime.jpでは、ドメイン競売に似せたページが表示。

f:id:piyokango:20190814064912p:plain

  • 「購入をこちら」をクリックするとアクセス状況のデータや連絡先が表示される。

f:id:piyokango:20190814064944p:plain

更新履歴

  • 2019年8月14日 AM 新規作成

*1: