するめを食べながら覚え書き

(一応)PCと園芸の話題がメインな、雑記系ブログです。くコ:彡
Home > ブログ > ゲーム - ゲーム紹介・プレイ他 > ニコニコ運営『Fooさん』のTwitterアカウントが乗っ取り被害にあっていた話

[1193]  [1192]  [1191]  [1190]  [1189]  [1188]  [1187]  [1186]  [1185]  [1184]  [1183
2015年1月12日、ニコ動で「(削除動画の)笛のお兄さん」として知られるニコニコ運営『Fooさん』のTwitterアカウントが、何者かに乗っ取られるという事件がありました。
Twitterも、ここ数年で乗っ取り被害が急増した印象があるので、取り上げておきたいと思います。

Fooさん(@Foo_san)さん | Twitter

赤枠の2つのツイートが乗っ取られた所で、ニセ通販サイト(詐欺サイト)への誘導リンクが貼られています。
リンクの後の文字「N」と「8」が謎で気になる所ですが、1つ目の乗っ取りツイートでスグに乗っ取りに気付いた様で、対処も出来た様です。

関連ツイートから察するに、原因は『連携アプリによる乗っ取り』だと推察されます。
この乗っ取りへの対処は、「連携アプリを外してパスワードを変える」事で完了するので、乗っ取られた本人へ実害が出る事は少ないですが、フォロワー数が多い著名人や企業の公式アカウントが乗っ取られた場合に迷惑が広がるのが厄介な所です。


こちらは料理愛好家の平野レミさんが、2014年9月に乗っ取られたケース。
Fooさんの件と同じく、誘導リンクに飛ばすパターンです。
これらのツイートは、機械的或いは事務的に行われているらしく、文面から別人だと気付きやすいのがまだ助かる所ではあります。

乗っ取りに使われやすいのは、興味を利用した懸賞系連携アプリとの連携、信用を利用した友人知人からのDMなどとなっています。

注意点や対処は、以下のまとめが分かりやすいと思います。
twitterを悪用されない為に知っておきたい3つのこと - NAVER まとめ
手口を知る事で被害と拡散は防げるので、一読の価値ありです。


◆ ニセ通販サイト(フィッシング詐欺サイト)の調査


続いて、誘導リンクの先がどんなサイトなのか気になったので、調査してみました。

※今回、調査の為にリンクを踏みましたが、取得したIPからセキュリティの穴を探られる可能性や、未知のウイルスを仕込まれる可能性もあるので、怪しいリンクは踏まない方が良いです。


■ Yahoo!検索による分析グラフ


取り敢えず、Yahoo!検索で調べてみると、1月10日から乗っ取りツイートが始まった様が判明。
「saleonlines.net」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

"saleonlines.net" - Google 検索
saleonlines.net というスパムツイートに注意! - Togetterまとめ
最近始まった乗っ取りツイートだけあって、まだ引っかかる情報は少ない感じでした。

※追記
後日、同じ宣伝ワードを使いながら「saleonlines.net」を別なドメインに変えて宣伝するツイートがあると聞いたので、検索ワードを変えて検索してみました。
「家電人気アウトレットなどが格安価格」のYahoo!検索(リアルタイム) - Twitter(ツイッター)、Facebookをリアルタイム検索

結果、被害が拡大した1月13日以降もいくつか波が出来ていました。

1月13日以降は「http://saleonlines.net/」では無く
http://www.salebrands.net/」、「http://brandonlines.net/
のドメインで誘導するツイートに変化した様です。
但し、ドメインが違っていも詐欺サイト名は「salebrands.net」で同じという手抜き加減でした。


■ 詐欺サイト分析


続いては、詐欺サイト自体の分析です。



原寸大TOPページのスクリーンショット魚拓は以下。
  - Download (※2.77MBあります)


▼ ページタイトルに店名を入れない謎


通常、通販サイトのページタイトルには看板として店名が入っているものですが、こちらの詐欺サイトには「人気 家電量販店,家電 アウトレット【専門店】!」とだけしか入っていません。

もしかすると、検索でヒットした時に店名で詐欺サイトだとバレ無いようにしているのかもしれません。


▼ Favicon(ファビコン)が謎


ブラウザのタブに使われるFaviconは、通常、そのサイトに関連したFaviconにするものですが、サイトとは関係の無い謎の「Y」モチーフが入っています。

可能性としては、Yahoo!ショッピングをイメージさせるようなFaviconにしている事などが考えられます。

追記:ヨドバシ.comのFaviconを使っている事が分かりました。(※以下参考画像)

捻りは全く無く、そのままパクってますね・・・。


▼ サーバーの所在地が海外


Firefoxアドオンの『Flagfox』で、サーバー所在を表示してみました。
Flagfox :: Add-ons for Firefox
GoogleChromeでは、『Yet another flags』で表示できます。
Yet another flags - Chrome ウェブストア


Amazonなど海外資本の企業を除き、日本の大多数の通販サイトのサーバー所在地は「日本」です。
しかし、このサイトはサーバー所在地が「オランダ」になっています。
理由としては、日本人 or 外国人が、日本の法律に縛られない海外にサーバーを建てている可能性や偽装IPなどが考えられます。


▼ 「歓迎」、「初めての訪問者?」に違和感


一般的に「ようこそ」、「いらっしゃいませ」などが使われるログイン部分に、無愛想というか不躾に感じる「歓迎」という言葉が使われている事に違和感を感じました。


また、「初めての方」、「ゲスト様」などと書かれるべき所も「初めての訪問者?」となっていて、何だか変です。
サイトを制作したのが日本語に疎い外国人の可能性が高まりました。


▼ 商品へのリンクが無い


トップの画像に商品リンクが貼られておらず、クリックするとTOPページに飛ぶだけの雑なページ構成です。
フィッシング詐欺サイトにありがちなハリボテ仕様なので、目的は個人情報を入力させる為だけだと思われます。


▼ 商品がおかしい


掲載されている商品も色々とおかしい事が分かりました。

こちら、「2014最新シャープ」と書いてありますが、実際は2010年発売の旧モデルです。
商品ページに飛ぶと説明には2010の文字があり、食い違っている事が分かります。


こちら、2007年に販売されて話題になったものの、とうの昔に販売が終了したハズのソニーの有機ELテレビが「新着商品」として掲載されています。
価格もおかしく、どうみても嘘です。

新しい商品もありますが、商品のうたい文句が酷いです。


\ 超チープ/


商品を売る為の言葉では無いですね(^^;)
隣の「品質保証書」や「毎回完売」も、違和感を感じるうたい文句です。

これら商品の情報から、少なくとも2010年から構成を変えて詐欺を繰り返している可能性が出てきました。


▼ 何故かコジマ


思わず笑ってしまった所ですが、ページをスクロールしていくと日本の有名企業「コジマ」の名前が唐突に出てきます。

もしかすると、サイトに使われている画像全てが、コジマの通販サイトから転載されたものなのかもしれません。


▼ 1枚画像を使っている


サイト作成が面倒だったのか、ページの下側は更に雑さが目立ちます。

支払い方法、送料、問い合わせについてなど、この1枚の画像が貼られているだけなので、「詳細を見る」などのリンクは踏めません。


▼ コピーライト表記、テンプレート提供者名がおかしい


 
Copyright (c) 2015 家電製品. Powered by 花子」とありますが、「Copyright (c) 2015 saleonlines.net」と、店名が入るべき所が、「Copyright (c) 2015 家電製品.」になっていておかしいです。
また、「Powered by 花子」は、販売サイトのテンプレートを提供した人の名前 or 企業なハズですが、クリックしても同じページに飛ぶだけなのが変です。
検索オプションで""を付けてGoogle検索してみましたが、関連しそうな類似のサイトは発見出来ませんでした。
"Powered by 花子" - Google 検索

まだおかしな所はあるのですが、取り敢えずこんな感じで調査は終了です。


◆ 怪しくてもウイルス対策ソフトや、Webサイトスキャンで診断すれば安心?


結論としては、危険なままです。
2年前にTVニュースにもなった、「スクウェア・エニックスを装ったフィッシング詐欺」の時もそうでしたが、新規で作られた詐欺サイトが危険と判断されるまで数日~数週間の時間が必要です。

試しに、ノートンで知られるシマンテックのWebサイトスキャン、ウイルスバスターで知られるトレンドマイクロのWebサイトスキャン、Avast!内蔵のWebサイトスキャンで調べてみました。

■ テスト1:Norton Safe Search
この Web サイトは安全? | Web サイトのセキュリティ | ノートン セーフウェブ

結果:未評価

■ テスト2:Trend Micro Site Safety Center
Trend Micro Site Safety Center

結果:安全

■テスト3:Avast Online Security

結果:安全

この通りで、ノートンの「未評価」が一番マシな結果となっています。

今後も様々なパターンのネット詐欺が横行すると思われるので、ウイルス対策ソフトなどには頼りきらず、ネット詐欺に関する情報収集力と、危険に対する『野生の感』を高める事で対応した方が良いでしょう。


※2015/01/19追記

■ 再診断


日にちが経ったので再診断してみました。


■ テスト1:Norton Safe Search
この Web サイトは安全? | Web サイトのセキュリティ | ノートン セーフウェブ

結果:注意

■ テスト2:Trend Micro Site Safety Center
Trend Micro Site Safety Center

結果:危険

■テスト3:Avast Online Security

結果:安全

シマンテックとトレンドマイクロのWebサイトスキャンでは脅威判定が更新されており、それぞれ「注意」と「危険」のメッセージが出る様になりました。
一方、Avastの方は変わりが無く、詳細に切り替えると「フィッシング詐欺は見つかりませんでした」との評価も入っている状態です。

尚、トレンドマイクロからは、この偽サイトと類似手口に関連しての記事が1月15日付けのセキュリティブログに掲載されています。
 → Twitter、ネット広告、新年から偽サイトへの誘導事例を複数確認 | トレンドマイクロ セキュリティブログ

Twitterから今回の詐欺サイトに飛ぶ時も以下のページが表示される様になり、事態はほぼ収束に向かいました。



※2015/01/20:最終更新

◆ この記事にコメントする
お名前
タイトル
文字色
コメント
パスワード ※修正用  Vodafone絵文字 i-mode絵文字 Ezweb絵文字
ブログ内検索
プロフィール
HN:
ryuun
趣味:
PC全般、園芸、ゲーム、etc
自己紹介:
栃木在住。興味・趣味の範囲が広いので、ブログ内容はカオス気味です。
もし、記事に間違った部分があればコメントでツッコミを入れて下さい。
後、ゲームでは別なHNでプレイしているので、何処かでryuunさんを見かけても別人です。
カテゴリー
メインPCスペック
Windows10 Pro 64bit,
Intel Corei7-870(2.93GHz),
ASUS P7H55-M, Scythe 夜叉,
Patriot DDR3-1333(4GBx4),
PowerColor RADEON HD5850,
Scythe 超力2プラグイン 650W,
SS Temjin SST-TJ08B-E,
SoundBlaster Audigy Platinum,
Crucial m4(128GB),WD10EADS,
LG E2370V-BF,EIZO FG2421
Logicool MX-1000VX-R,
SteelSeries Qck(x2枚),
AppleKeybord MB869J/A,
KAZEMaster, NB-ELOOP B12-1
サブPCスペック
Windows10 Pro 64bit,
Intel Core i7 3770K(3.5 GHz),
GIGABYTE GA-B75M-D3H,
DDR3-1600(4GBx2),
ENERMAX LIBERTY ELT400AWT,
Cooler Master Silencio550,
CFD CSSD-S6T128NHG5Q,
WD20EFRX, PLEX PX-W3PE,
EarthSoft PT1PT2,
風マスター2,NB-ELOOP B12-1
所有スマホ
HTC J butterfly (HTL23)
HTC EVO 3D (ISW12HT)
GALAXY S4 (SC-04E)
メインでプレイ中のゲーム
・黒猫のウィズ (Android)
・白猫プロジェクト (Android)
・スプラトゥーン (Wii U)
・ゼルダの伝説BotW (NS)
不定期ぼやき枠
花粉からの解放完了
楽天市場(レビューするかも)
最新コメント
[03/03 ryuun@管理人]
[03/02 クロ]
[02/15 ryuun@管理人]
[02/10 lin]
[02/09 ryuun@管理人]
カレンダー
04 2017/05 06
S M T W T F S
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31
PCゲーム販売サイト(メモ用)
▼Steam (cc=jp)
Steam
▼GreenmanGaming(GMG)
GreenmanGaming(GMG)
▼GAMERSGATE(GG) (米国)
GAMERSGATE(GG)
▼GAMERSGATE(GG) (英国)
GAMERSGATE(GG)
▼YUplay(ロシア)
YUplay
▼GameStop
GameStop
▼Origin(日本)
Origin
▼Amazon(日本)
Amazon(日本)
IndieBundleセール開催サイト
▼The Humble Bundle(THB)
blogimg_gamebundle_thmb2.png
▼The Humble Bundle(THWS)
The Humble Bundle(THWS)
▼Indie Royale
Indie Royale
▼The Indie gala
The Indie gala
▼BUNDLE STARS.COM
BUNDLE STARS.COM
▼groupees
groupees
このブログのQRコード
カウンター
アクセス解析

Template by decoboko.jp