ども。こんばんは。

不名誉なシリーズですが・・・。

おらのTwitterのアカウントが乗っ取られただよorz

おらのFacebookのカウントが乗っ取られただよorz

に続いてmixiが乗っ取られました。

見事にレイバン・・・ではなく、オークリーしました。オークリーってなんだ?有名なのかな?

やられた内容としては恐らく以下の2つ

・つぶやきへのスパム投稿
・マイミクへのスパムメッセージ送信

と思われます。久々に自分のmixiの糞痛ぇ自己紹介やアイタタな日記をみて萎え萎えですが、ちょっと調査しました。

しっかしアイコンも懐かしいですね。大阪日本橋のキャラクター?だったかな・・・。

そしてマイミクの皆さんごめんなさいm(_ _ m)

【つぶやき】

つぶやいちゃった内容はこんな感じ。(2018/5/11 18:22につぶやきました。)
※原文も途中で切れています。

オークリー サングラス 今日限り活動特価2499円 三つを買うなら、配達無料 hxxp://www[.]oakosuns[.]com 利用期限は本日23時59分まで!お見逃しな
2018年5月11日 18:22 全体に公開 削除

【メッセージ】

件名

オークリー サングラス 今日限り活動特価2499円

本文

Oakleyのサングラスが好きですか? 
オークリー サングラス – 世界最高峰の眼部保護 
今日限り活動特価2499円!80%の割引 
三つを買うなら、配達無料 
hxxps://bit[.]ly/2It6Qwe
利用期限は本日23時59分まで!

URLは短縮URLサービスのbitly使われており、bitlyは後ろに「+」をつけると短縮URLの情報が見れるらしいので試してみました。

展開後はこんな感じです。

hxxp://www[.]oakosuns[.]com/?gocmkwht

「www[.]oakosuns[.]com」についてはオークリーの偽サイトみたいですね。

whois的には最近登録されたようで、中国系のようです。

日本語がちょっと怪しいけど、まぁまぁよくできてますね。
画像とかのソースとかまでは見ていません。
あと、メッセージ側のにはつぶやきと違って短縮URLの展開後に上記URLにパラメータが付与されていましたが、このパラメータの有り無しの違いは良くわかりません。出て来る商品が変わってる?気もしますね。そこまでは調査してません。

本物(http://jp.oakley.com/)?はこんな感じみたいです。

で、mixi上にもちょうとこの日お知らせが出ていました。

・スパム投稿にご注意ください。

まぁもうここ数年多方面からも言われてますが、結局これ使い回しが原因なんですよね。。

ブログには書いてませんでしたが、過去Yahooも同じパスワードでやられています笑
Yahooは2011年5月にやられてますね。まだその情報を使いまわしたリスト型攻撃がされてるんですかねー。

で、今回はどんな感じでやられたかを確認してみます。

mixiでの、セキュリティ関連の情報(ログイン履歴など)は、

設定変更→アカウントアクティビティから見ることができます。

こんな感じになっています。(黒塗りは自分です。

ログイン失敗は試した感じ記録されないようです。まぁ一発で入られたんだろうな。

)

ログイン元IPアドレス(2種類ありました)

2018/5/11 11:24
60[.]154[.]180[.]74  (softbank060154180074[.]bbtec[.]net)

2018/5/11 18:22←おそらくつぶやいた方
126[.]73[.]109[.]228 (softbank126073109228[.]bbtec[.]net)

まぁ、多分普通のPPPoE用のIPアドレスでしょうねぇ。

とりあえず、パスワードは変更しました。

ちなみに今回やられたメールアドレスで、パスワードの流出が調べられる「Have I Been Pwned」でチェックしてみると・・・

オーノーorz

皆さんも使いまわしはやめましょうね。

ではでは。またの機会に。

ーー追記ーー

今回は友人からの指摘で気づきましたが、こんなメールがちゃんと届いていました。

あと、そこそこ被害が報告されてますね。

mixiにリスト型攻撃: 独房の中