ども。こんばんは。
不名誉なシリーズですが・・・。
に続いてmixiが乗っ取られました。
見事にレイバン・・・ではなく、オークリーしました。オークリーってなんだ?有名なのかな?
やられた内容としては恐らく以下の2つ
・つぶやきへのスパム投稿
・マイミクへのスパムメッセージ送信
と思われます。久々に自分のmixiの糞痛ぇ自己紹介やアイタタな日記をみて萎え萎えですが、ちょっと調査しました。
しっかしアイコンも懐かしいですね。大阪日本橋のキャラクター?だったかな・・・。
そしてマイミクの皆さんごめんなさいm(_ _ m)
【つぶやき】
つぶやいちゃった内容はこんな感じ。(2018/5/11 18:22につぶやきました。)
※原文も途中で切れています。
オークリー サングラス 今日限り活動特価2499円 三つを買うなら、配達無料 hxxp://www[.]oakosuns[.]com 利用期限は本日23時59分まで!お見逃しな
2018年5月11日 18:22 全体に公開 削除
【メッセージ】
件名
オークリー サングラス 今日限り活動特価2499円
本文
Oakleyのサングラスが好きですか?
オークリー サングラス – 世界最高峰の眼部保護
今日限り活動特価2499円!80%の割引
三つを買うなら、配達無料
hxxps://bit[.]ly/2It6Qwe
利用期限は本日23時59分まで!
URLは短縮URLサービスのbitly使われており、bitlyは後ろに「+」をつけると短縮URLの情報が見れるらしいので試してみました。
展開後はこんな感じです。
hxxp://www[.]oakosuns[.]com/?gocmkwht
「www[.]oakosuns[.]com」についてはオークリーの偽サイトみたいですね。
whois的には最近登録されたようで、中国系のようです。
日本語がちょっと怪しいけど、まぁまぁよくできてますね。
画像とかのソースとかまでは見ていません。
あと、メッセージ側のにはつぶやきと違って短縮URLの展開後に上記URLにパラメータが付与されていましたが、このパラメータの有り無しの違いは良くわかりません。出て来る商品が変わってる?気もしますね。そこまでは調査してません。
本物(http://jp.oakley.com/)?はこんな感じみたいです。
で、mixi上にもちょうとこの日お知らせが出ていました。
・スパム投稿にご注意ください。
まぁもうここ数年多方面からも言われてますが、結局これ使い回しが原因なんですよね。。
ブログには書いてませんでしたが、過去Yahooも同じパスワードでやられています笑
Yahooは2011年5月にやられてますね。まだその情報を使いまわしたリスト型攻撃がされてるんですかねー。
で、今回はどんな感じでやられたかを確認してみます。
mixiでの、セキュリティ関連の情報(ログイン履歴など)は、
設定変更→アカウントアクティビティから見ることができます。
こんな感じになっています。(黒塗りは自分です。
ログイン失敗は試した感じ記録されないようです。まぁ一発で入られたんだろうな。
)
ログイン元IPアドレス(2種類ありました)
2018/5/11 11:24
60[.]154[.]180[.]74 (softbank060154180074[.]bbtec[.]net)2018/5/11 18:22←おそらくつぶやいた方
126[.]73[.]109[.]228 (softbank126073109228[.]bbtec[.]net)
まぁ、多分普通のPPPoE用のIPアドレスでしょうねぇ。
とりあえず、パスワードは変更しました。
ちなみに今回やられたメールアドレスで、パスワードの流出が調べられる「Have I Been Pwned」でチェックしてみると・・・
オーノーorz
皆さんも使いまわしはやめましょうね。
ではでは。またの機会に。
ーー追記ーー
今回は友人からの指摘で気づきましたが、こんなメールがちゃんと届いていました。
あと、そこそこ被害が報告されてますね。