Twitterでレイバンアタックされた後輩がいたんですYO！&Twitterの二段階認証（ログイン認証）を設定してみよう！

どもどもにゃんたくです。

　 　○⌒＼
　　(二二二)
（⌒(　･∀･) ﾔｱ!
(　　ｏ　　つ
(＿＿し―Ｊ

いよいよ今年も残りわずかとなってきましたね！

さて、今回は僕が卒業した大学に通っている愛すべき後輩（DJ・♂）が、Twitterで流行の（？）レイバンアタックされてしまい、レイバンツイートしてしまうという事件が発生してしまいました。。。。。

ほんとかわいそうだな、ブログのネタになるなって思って3時間くらい泣いてしまいましたよ（真顔）

そんな事件を踏まえ、レイバンアタックとはなんなのか、偽レイバンサイトは本物のレイバンサイトとどうちがうのか、レイバンアタックにあわないための対策はどんなものがあるのか、をまとめてみました。

レイバンアタックとはなんぞや。 

さて、レイバンアタックとはなんなんでしょうか。

毎回楽しみに観ている #セキュリティのアレ の第一回放送がそういえばレイバンアタックについてでしたね。

www.atmarkit.co.jp

で、それをまとめていたことも思い出しました。

mkt-eva.hateblo.jp

まぁ要するに、「Twitter（やその他SNS）などのアカウントが乗っ取られて、レイバンサングラスの内容を勝手につぶやかれてしまう」ということです。

なぜ、のっとられてしまうのか？

答えは「のっとられてしまったサービスで使っているIDとパスワードを他のサービスでも使いまわしていた」ということです。

図にするとこんな感じですね。こういうのは「リスト型攻撃」とも呼ばれます。

今回、攻撃されてしまった後輩にいくつか質問をしてみました。

にゃんたく：「他のサービスでも同じアカウント情報を使っていたりした？」

後輩　　　：「していたYO！」

にゃんたく：「パスワードはどんなものを使っていたか教えて？」

後輩　　　：「パスワードは小文字1文字＋数字8桁でしたYO！」

にゃんたく：「乗っ取られたことがわかったあとはなにをした？」

後輩　　　：「パスワードを変更して他サービスのアカウント情報も変更したYO！」

にゃんたく：「しのびねぇな」

後輩　　　：「かまわんYO！」

（※一部誇張してます）

今回の問題は、「他のサービスでもアカウント情報が使いまわされている」ということ、そして「パスワードが弱かった」ということも要因のひとつだったのではないかと感じました。

ちなみに僕はパスワードを作成するときはこちらのサイトを使ってパスワードを生成したりしています。→パスワード作成（文字をランダムに抽出）

そうそう、「強固なパスワードをつくる」ということについてはいろいろな観点があると思います。『コレだから絶対安心』というパスワードは無いと僕は思っていますが、英語大文字、小文字、数字、（と記号も）を組み合わせて、８文字以上に設定することをオススメします。

偽レイバンサイトにアクセスしてみよう。

実際にレイバンアタックされるとどうなるかを見てみましょう。

まず偽レイバンサイトのＵＲＬをつぶやきます。

その後複数回に分けて、フォロワーへ偽レイバンサイトのＵＲＬをリプとして送りつけます。

今回のレイバンアタックの場合の流れとしてはこんな感じですね。

ツイートの中身でおかしいな？と気づくとは思いますが、彼はいつもツイートを「The World(Twitterクライアント)」でつぶやいているのに、今回は違うクライアントでつぶやいているところもおかしいな？と気づけるポイントかと。

さて、せっかくなんでレイバンアタックされた後輩のツイートに載っていたURLにアクセスしてみることにしました。

※偽レイバンサイトへの直接のリンクは載せていませんが、スクリーンショットには載っております。繋ぐ際はご自身の責任において接続するようにしてくださいね。

まずはレイバンの正規サイトを見てみましょう。

Ray-Ban公式サイト 日本

クリスマス仕様になっていてオサレですなぁ～～～

では、偽レイバンサイトを見てみましょう。

まぁそんな変なトコは無いよなぁ・・・

URLもレイバンっぽいなぁ・・・

ということで他のページを見てみたんですが、怪しすぎる（というかおかしい）トコがいくつかありました。。。。おかしいポイントをまとめてみましょう。

①カラーフィルター、フレームコレクション、フレーム材料、モデル別ショップ（なんで２つあるの）のタグの中身が全て同じでした。

そしてこのカテゴリの列を見てください。「ジャッキーおお」ってなんだよ…

もう既にアレですね。そして気になったのはページ下部のこの部分でした。

 ②「私たちは、ほとんどの主要なクレジットカードを受け入れます。」

うん、もう日本語がおかしい。

ちなみにCopyroghtの右にある「RayBan公式サイト」と「Powerd by Ray Ban」のリンクをクリックすると結局偽レイバンサイトのトップページに飛ぶだけでした。

せっかくだから、ここにある「利用条件」「配送と返品について」「個人情報保護方針」も一気に見てみましょう。

③利用条件なのにアクセス先のページには「ご利用規約」。そしておかしい日本語内容。

④「配送と返品について」「個人情報保護方針」の内容もやっぱり日本語がおかしい。

なんかもう言うことないですよね。（白目）

僕がこれを載せて、みなさんに何を伝えたかったのか。

それは少しでもおかしいなと思ったサイトのこういう細かい部分を読んでみると、グレーという判断から真っ黒に変わるよ、ということです。

偽レイバンサイトのトップページのURLだけを見ると、なんらおかしいとは思わないかもしれません。でも中をじっくり見ると、わかるもんですよね。

このようなレイバンアタック以外にも似た事例は沢山あると思いますので、皆さんもこんな観点であやしいサイトを見て、偽サイトだと見抜いてみてください。

Twitterで二段階認証（ログイン認証）の設定をしてみよう。

今回話題にした、レイバンアタックはアカウントを乗っ取られてしまうという事が一番の原因でした。

乗っ取られないようにするには、IDやパスワードを使いまわさないということ、はもうわかりましたよね？

ただ、正直な話、使いまわしてる人のほうが多いと僕は思っています。

使いまわしていても、対策はできないのでしょうか？

対策の１つとして「二段階認証」というものがあります。

まず一段階認証（通常の認証）はこんなイメージですよね。

第三者にIDとパスワードが漏れてしまうとログインされてしまいます。

では二段階認証ですが、イメージとしてはこんな感じです。

通常ログインしようとすると、サービス会社から、自分の携帯宛にSMSで認証コードが送られてきて、それを使って再度ログインする、という方式です。

簡単に言うと2回ログイン試行をして、サービスにログインするということです。

たとえ第三者にアカウント情報が漏れたとしても、認証コードは自分宛にしか来ないので、第三者はログインすることができません。

しかもこの二段階認証を自分が通常利用してる端末で1度設定してしまえば、その端末では2回もログイン試行する必要が無く利用することができるんです。

ちなみに以前僕のブログでもFacebookの二段階認証の方法についてまとめたことがあります。

mkt-eva.hateblo.jp

さて今回はTwitterでの二段階認証設定方法をまとめてみました。

PCのブラウザからの設定方法もあるのですが、スマホ利用者が多いと思うので、スマホ（iPhone）のTwitter公式アプリ「Twitter for iPhone（バージョン6.66.1）」での設定方法をまとめてみました。これなら手軽にやれそうですしね！

（※設定する前提として自分の電話番号を登録する必要があります）

では、設定していきましょー！！

 自分のプロフィールページの歯車をタップします。

 次に設定をタップします。

次にアカウントをタップします。

次にセキュリティをタップします。

 二段階認証（ログイン認証）を設定していないとこのようにOFF状態になっているので、設定をONにします。

ONにするとこのような表示が出てくるので、問題が無ければ確認をタップし、次に進みます。

問題が無ければ、始めるをタップします。

自分がアカウントで設定している既存のパスワードを入力します。

ここで自分の携帯電話番号11桁を入力し、「電話番号の照合と通知を許可する」にチェックをいれ、コードを送信をタップします。

認証コードを入力する画面に遷移しますので、SMSで送られてくる認証コードをそのまま入力します。

こんな感じでSMSに認証コードが送られてきます。

認証コードを入力すると、二段階認証（ログイン認証）の設定が完了になります。

お疲れ様でした！！

ちなみに設定がきちんと完了すると、アカウントに登録しているメールアドレス宛に登録完了のメールが届きます。

☆おまけ☆

今回はTwitter for iPhoneの設定方法でしたが、PCからでも設定する事ももちろん可能です。設定する流れは上記とあまり変わらないですよ。

設定するときの場所はこちらです↓

プロフィール＞設定＞セキュリティとプライバシー＞ログイン認証

さてさてさてさて！！！

実際に設定した後はどうなるんでしょうか。

第三者が僕のTwitterアカウントにログインしてこようとした、という設定で話を進めていきましょう。

まず、第三者が僕のアカウント情報（IDとパスワード）を知っているとします。

第三者「よーし、にゃんたくのアカウント情報を使ってログインしてみるぞ～～」

【第三者目線端末画像】

第三者「アカウント情報でログインでーき…ない！！！！」

第三者「ログイン認証コードなんてわかんないぞ！！！！」

【第三者目線端末画像】

にゃんたくスマホ『ぴろりーん♪』

にゃんたく「ん？？ログインコード？あー僕じゃないだれかがログインしようとしてるのかな。パスワード変えとくかー。」

【にゃんたく目線端末画像】

とまぁこんな感じになるわけです。

今回は「第三者にログインされかけた」という設定ですが、例えば本人がいつもと違う端末（ＰＣやスマホ）でログインしようとした場合（第三者→本人）もこのような感じになりますよね。

今回のブログ、画像も多く結構長くなってしまいました。

レイバンアタックされた！

二段階認証って聞いたことあるけどわからない！やってみたい！

って人の少しでも役に立てればと思っております。

ここまで読んでいただきありがとうございました。

ではでは～～～～！

　　○⌒＼
　　(二二二) ﾄﾞｿﾞ
（⌒(　･∀･)
(　　ｏ　　つ【にゃんたくの愛】
(＿＿し―Ｊ

2016年11月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

さて今年も残り1ヶ月を切りましたね！

そして12月はクリスマスや忘年会等で皆さん外出して呑みに行く機会も多いのではないでしょうか。

会社帰りに呑みに行き、注意散漫になって社用スマホやPC、社員証などなど落としてはいけないものを落とす時期でもありますので、皆さん気をつけてくださいね。

こういう物理的なセキュリティ対策も非常に大事ってコトですね。

さてさて、今月も書いてみました、「前月のセキュリティニュースのアレコレ」。

もちろん僕目線で集めているところはあしからず。

なにかの参考にしてくれたら幸いです。

というかコレまとめてる最中（12月入ってから）にも色々とニュースが増えてきてびっくりしています。まぁそれは12月のアレコレで。笑

☆脆弱性、注意喚起☆

▼BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864)

【概要】
DNAMEを含むDNS応答の処理に不具合があり、 再帰的な名前解決のための処理をしている途中でBIND 9が動作を停止する可能性がある。 

【対象】
9.9系列 9.9.9-P3 より以前のバージョン
9.10系列 9.10.4-P3 より以前のバージョン
9.11系列 9.11.0
※なお、既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受けるとのことです。

【対策】

修正済みのバージョンに更新する。
修正済みバージョンはこちら↓
BIND 9 version 9.9.9-P4
BIND 9 version 9.10.4-P4
BIND 9 version 9.11.0-P1

【参考情報】

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

DNAMEを含む応答の処理に関わるBIND 9の脆弱性について(2016年11月) - JPNIC

▼Web サイト改ざんに関する注意喚起

【概要】
攻撃者が、ウェブサーバーに不正なファイル「index_old.php」を設置し、これを読み込ませるスクリプト「<script type="text/javascript" src="./index_old.php"></script>」をウェブサイトのトップページに追加することにより、ウェブサイトの閲覧者のIPアドレスや閲覧日時などがログとして記録されてしまう。

【対策】
■サーバの点検等
①Web サイトのトップページに<script type=“text/javascript” src=“./index_old.php”></script>等の身に覚えの無い命令文が書き込まれていないかを確認する。
②サーバ内の点検やファイルの差分等の確認により、サーバ内に「index_old.php」等の不審なファイルが蔵置されてないかを確認する。
③上記の状況が確認された場合は、サーバが攻撃者の制御下にあると認められることから、保全した後に、サーバに係る全 ID 及びパスワードを変更し、警察に相談する。
④サーバの再構築を実施する。

■被害防止対策

①OS 及び IIS(Internet Information Service)、Apache 等のミドルウェアのバージョンアップ等によりぜい弱性を解消する。
②ウイルス対策ソフトによる検索を定期的に実施する。
③20 番(FTP データ)、21 番(FTP コントロール)及び 23 番(telnet)ポートを無効化する。
④管理者による Web サイトへのアクセスを SSH(Secure Shell)プロトコルにより実施する。
⑤不正通信の早期発見のため、プロキシサーバログの点検を定期的に実施する。
⑥Web サイトの差分確認を定期的に実施する。

【参考情報】

Web サイト改ざんに関する注意喚起

http://Web サイト改ざんに関する注意喚起について (PDF) https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

【セキュリティ ニュース】複数サイトで改ざん被害 - 身に覚えのない「index_old.php」に注意（1ページ目 / 全2ページ）：Security NEXT

JPCERT/CC、意図しないindex＿old.php設置への注意喚起 | マイナビニュース

▼NTPの脆弱性により、リモートからサービス拒否攻撃を実行可能な脆弱性（CVE-2016-7434）

【概要】

mrulistのクエリ要求を受け入れるよう設定している場合、外部からの細工された単一のUDPパケットにより、クラッシュしてしまう。

【対象】
NTP 4.2.7p22 から 4.2.8p8 までの全てのバージョン
NTP 4.3.0 から 4.3.93 までの全てのバージョン

【対策】
■修正済みのバージョンに更新する。
ntp 4.2.8p9
■mrulistクエリの要求を制限する
※MRU (Most Recently Used items) ：なんらかのファイルを開いたり操作したり等の行った操作の記録

【参考情報】

CVE-2016-7434 - 脆弱性調査レポート | ソフトバンク・テクノロジー

【セキュリティ ニュース】「ntp」脆弱性の実証コードが公開、単一パケットでサービス停止（1ページ目 / 全1ページ）：Security NEXT

☆フィッシングサイト増加☆

フィッシングサイト対策協議会の緊急情報で一ヶ月で5件も注意喚起が公開されるのは久々でしたので11月分をまとめました。

▼LINE

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | LINE をかたるフィッシング (2016/11/30)

▼セゾンNetアンサー

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2016/11/28)

▼NEXON

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | NEXON をかたるフィッシング (2016/11/21)

▼ハンゲーム

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ハンゲームをかたるフィッシング (2016/11/14)

▼Amazon

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2016/11/08)

特にセゾンNetアンサーのフィッシングサイトでは、
フィッシングサイトとして4件のURLが確認されており、ドメイン以下の文字列は正規サイトと同じ文字列を用いていたという点や正規サイトとそっくりであることから
注意が必要であると考えられます。

☆その他ニュース☆

▼日本経済新聞出版社の取引先約1200件の情報が流出

【概要】

日本経済新聞出版社の社内の端末が不審な外部のウェブサイトと通信し、約1200件の取引先の個人情報などが流出した

【参考情報】

日経出版社で個人情報流出 取引先など ：日本経済新聞

【セキュリティ ニュース】業務PCが外部と不正通信、個人情報など流出 - 日経出版社（1ページ目 / 全1ページ）：Security NEXT

▼「Ameba」の約58万件のアカウントに対してパスワードリスト攻撃が発生

【概要】

サイバーエージェントのSNSサービスである「Ameba（アメーバ）」が不正アクセスを受け、約58万件のアカウントに対して不正にログインされた

【参考情報】

「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント

【セキュリティ ニュース】「Ameba」にPWリスト攻撃 - 3754万回に及ぶ試行で59万IDに不正ログイン（1ページ目 / 全1ページ）：Security NEXT

▼防衛省と自衛隊が運用する防衛情報通信基盤における不正アクセス

【概要】
防衛省と自衛隊が共同で利用する通信ネットワーク「防衛情報通信基盤（ＤＩＩ）」接続する防衛大と防衛医大のパソコンが不正アクセスの被害に遭った

【参考情報】

陸自システムに侵入、情報流出か サイバー攻撃、高度な手法 - 共同通信 47NEWS

陸自ネット侵入許す 高度なサイバー攻撃、情報流出か - 西日本新聞

防衛情報通信基盤への不正アクセスについてまとめてみた - piyolog

▼経団連事務局コンピュータのマルウェア感染

【概要】
経団連事務局のコンピュータがマルウェア（PlugX(プラグエックス)、Elirks(エリクス)）に感染し外部との不審な通信を行っていた

【参考情報】

経団連事務局コンピュータのマルウェア感染 | お知らせ | 一般社団法人 日本経済団体連合会 / Keidanren

経団連事務局端末の不審な通信発生についてまとめてみた - piyolog

PlugX(プラグエックス)、Elirks(エリクス)というマルウェア名から今年6月におきたJTBの不正アクセス事件を思い出した人も多いのではないかなって思いましたよ。
→  JTBへの不正アクセスについてまとめてみた - piyolog

▼警視庁がスパムメール速報 ツイッターで注意喚起

警視庁がスパムメール速報 ツイッターで注意喚起 - 産経ニュース

【サイバー犯罪対策課】
多発するインターネット利用の不正送金被害。解析の結果、ウイルス付メールの配信を早期に認知し、件名や本文等を把握することが可能となったことから、早期警戒情報として同メールに関する情報を発信していきます。

— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2016年11月6日

【サイバー犯罪対策課】
多発するインターネット利用の不正送金被害。解析の結果、ウイルス付メールの配信を早期に認知し、件名や本文等を把握することが可能になったことから、早期警戒情報として同メールに関する情報を発信していきます。

— 警視庁広報課 (@MPD_koho) 2016年11月7日

 どうやらこの2つのアカウントがメインのようですね。

▼「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了

「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了：IPA 独立行政法人 情報処理推進機構

RED HAT | Enterprise Linux 4 End of Support

▼ 脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定

【セキュリティ ニュース】脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定（1ページ目 / 全1ページ）：Security NEXT

サポート終了予定のMSの脆弱性緩和ツール「EMET」、CERT/CCが重要性を説明 - ZDNet Japan

以上です！

今回もここまで読んでいただきありがとうございました。

ではではヾ(*´∀｀*)ﾉｷｬｯｷｬ

Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。

どもどもにゃんたくです。

関東も雪が降るそうで、いよいよ冬到来って感じですね！

さむいのヤダーーー(´；ω；｀)

さて、先月（2016年10月17日）に、IIJ-SECTがリリースした注意喚起が話題になっていましたよね。

IIJ Security Diary: Rig Exploit Kit への誘導サイト拡大に関する注意喚起

そして今月（2016年11月18日）には、IBMのTokyoSOCReportでこんなレポートが発表されていました。

 Rig Exploit Kitによるドライブ・バイ・ダウンロード攻撃の検知状況

Tokyo SOC Report

まず、

 「Rig Exploit Kit」とはなんぞや。

ってかエクスプロイトキットとはなんぞや。

と思った方もいるかもしれないのでこの辺はサラッと書きますね。

まず、エクスプロイトキットとは、簡単に言うと「サイバー犯罪に使えるツールを1つにまとめたお得パック」的なモノです。

アングラサイトなどで売買されていて、犯罪初心者でも使えちゃうってやつです。

そんなエクスプロイトキットには、様々な種類があります。

Angler Exploit Kit、Neutrino Exploit Kit、Sundown Exploit Kit…

いろんなお得パックがあるんですよね。

その中の1つが今回の「Rig Exploit Kit」ってなわけです。

そうそうこのRig Exploit Kit、ランサムウェア（CryptoWall、GOOPIC、Cerber、CrypMIC、Locky）にも利用されるエクスプロイトキットなんですよね。

さてここからは完全に僕の健忘録というかメモとなりますので、興味のある方は引き続き楽しんでってね！

今回の目的としては、両レポートに載ってるIPアドレスに通信しないように設定するため、もしくは過去通信してしまった端末を見つけるため、の両方に役立たせたいと思いまとめてみました。

まずIIJのレポートに載ってるIPアドレス（66IP）と、TokyoSOCReportに載ってるIPアドレス（34IP）をがっちゃんこさせて、重複のあるIPアドレスを排除した一覧はこちらになります。（※）このブログの最後にIPアドレス一覧をコピペできるように貼り付けてあります。

なお、黄色の部分は両レポートで重複していたIPアドレスです。

今度はそのIPアドレス全てをAPNICでWhoisしてみました。

各IPアドレスのIPアドレスの範囲、ネットワーク名、組織名、国名を一覧にまとめていました。

同じIPアドレス範囲だったIPアドレスを色分けしました。

黒で塗りつぶされていたところは確認ができなかったところです。

ホスティングサービスで管理されているものもあるため、具体的な情報を得ることは難しかったですが、なんとなくおそロシアな感じがしましたね。

ちなみにVirustotalでもIPアドレスのレピュテーションを調べたのですが、基本的には良いIPアドレスと言えるものはなかったですね。

まとめてみたこのIPリストや内容、皆さんの何かに役立ててくれればと思います。

今回もここまで読んでいただきありがとうございました。

ではでは(´ε｀ )

IIJのレポートとTokyoSOCReportに掲載されていたIPアドレス一覧まとめ

107.191.63.102
108.61.167.148
109.234.34.144
109.234.34.166
109.234.34.247
109.234.35.124
109.234.35.79
109.234.36.103
109.234.36.151
109.234.36.223
109.234.36.251
109.234.36.33
109.234.36.39
109.234.36.96
109.234.37.218
109.234.37.245
109.234.37.58
109.234.38.100
109.234.38.135
109.234.38.25
109.234.38.80
137.74.61.212
159.203.190.220
162.219.29.77
162.219.29.82
164.132.31.59
164.132.88.54
164.132.88.55
164.132.88.57
164.132.88.58
164.132.88.59
176.31.105.51
182.50.132.242
184.168.221.50
184.168.221.59
185.106.120.177
185.106.120.195
185.106.120.229
185.106.120.243
185.106.120.245
185.106.120.75
185.141.26.108
185.141.26.109
185.141.26.110
185.141.26.111
185.141.27.186
185.141.27.226
185.158.112.49
185.158.152.159
185.158.152.229
185.158.152.45
185.82.202.174
188.227.16.136
188.227.16.62
188.227.72.26
188.227.75.149
188.227.75.79
193.124.117.105
193.124.117.25
193.124.117.4
194.87.145.238
194.87.146.233
194.87.232.25
194.87.236.15
194.87.237.217
194.87.239.147
194.87.239.148
195.133.201.51
195.133.48.234
195.133.48.98
195.133.49.48
206.72.201.56
212.8.246.7
45.32.150.7
5.200.53.44
5.200.55.214
51.255.213.167
52.45.71.223
64.187.225.228
74.208.147.73
74.208.153.241
91.107.105.101
91.107.105.225
91.107.107.247
91.134.160.172
91.134.160.173
91.134.160.175
91.134.226.231
94.23.204.10

Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。

どもどもにゃんたくです。

今回は、「Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。」というほんとうにあったほんのちょっと怖い話をしていきたいと思います。

気になるところから読んでみてください＼(^o^)／

はじめに

SNSサービスを複数使用するなんて当たり前の時代になっていますよね。
僕もいくつかSNSサービスを利用しています。
もうSNSがリアル（現実世界）と切っては切れないものになっていますよね。

今回はそんなSNSでちょっとだけ怖いなって思った話をします。
これから書く内容は、非常にグレーな話です。
しかしながら、こういうことが実際にできてしまうという警告をしたいと思い、書いてみることにしました。
今回は主に「Twitter」を主軸にして話をしていきます。
※なお、今回特定したアカウントの方は僕の友人の知り合いの方でした。また今回ブログにこの内容を載せる旨も了承していただきました。協力していただきありがとうございました。

みなさんに聞きたいこと

まず、みなさんに聞きたいことがあります。

「あなたは自分の名前、経歴をインターネットで調べられて、特定されても大丈夫ですか」

大丈夫と思う方はここから先読む必要はありません。お疲れ様でした。
大丈夫じゃないと思う方はこの先お付き合いのほどよろしくお願いしますね。

というかそもそもインターネットで個人を特定されると何か悪いんでしょうか。
特定されたとしても名前や経歴を勝手に使われる、SNSに載せた写真を使われる、くらいですよね。
しかもそれは「可能性」の話ですので、使われないというパターンもあります。
別に気にするほどのことでもないかもしれませんが、自分の知らないところで使われるって良い気持ちはしませんよね。

また、自分が意図せずアカウントが炎上してしまうコトも多いのが現実です。
起因が自分だけじゃなく自分の友人が炎上して飛び火するというコトもあると思います。

SNSを使うことは悪いとはまったく思いません。
でも、SNSの危険性も知っておく必要があると僕は思います。

今回のお話

まずは今回のブログ題名についての経緯について書いていきましょう。
ある日のこと、知らない鍵アカウントの方にフォローをされました。
普段なら気にしないのですが（Bot系やアダルト系にフォローされることもあるので）、
プロフィール欄がわりと詳細だった（ハンドルネームは実名ではなかった）のと、
プロフィール内容をひと目見た瞬間に「あ、これ僕の友人の知り合いじゃないか」と感じたのがきっかけでした。
まず僕の友人にそのアカウントについて聞いてみたところ間違いなくその友人の知り合いの方だということがわかりましたが、ふと「これ実名わかるかもしれない」と思い友人にその知り合いの名前を聞かずに当ててみることにしました。

具体性を増すため、ある架空のアカウントを用いて説明していきます。
もしかしたら途中でみなさんだれかわかるかも知れませんよ。（もちろん架空ですが）

では、こんなアカウントがあったとしましょう。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ハンドルネーム：やがぬ
TwitterID：＠ihaveappooo(※2016年11月現在IDは存在しておりません)
プロフィール：神になりたいお年頃～＼(^o^)／/大国学園高卒/東応大3年/シスコン/
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

まず、自分がフォローしてない鍵アカウントのためツイート内容は見れません。
ですので、まず検索欄で「＠ihaveappooo」を含むツイートを調べてみました。
すると何人かの鍵のついてないツイッタラーとTwitter上で会話してることがわかりました。
その何人かの鍵のついてないツイッタラーの会話の内容を見ていていくつか気になるツイートを見つけることができました。

Aさん「＠ihaveappooo　大学の授業は大変だと思うけどがんばってね、やがみん！」
Bさん「＠ihaveappooo　らいとー、帰りにリンゴ買ってきてくれないー？よろしく。」
（※もちろんこれらは実際につぶやかれてた内容と同じではありません）

Aさん、Bさんのツイート内容で気になったのは、そうその「呼び方」です。
『やがぬ』というハンドルネームでは呼ばず、ちがう呼び方で呼んでいることがわかりましたか？
ではそれらから想定される名前、、、そう「やがみ　らいと」という氏名が想定できるはずです。
しかしながら、苗字は「矢上」「八神」「矢神」、、、名前「来人」「雷斗」、、、どれかわかりません。
そこでFacebookで「やがみ　らいと　大国学園高校　東応大学」と調べてみました。
すると1件自分の知り合いの知り合いというアカウントを見つけることができました。
その氏名は。。。。。。

「夜神　月」

勘の良いみなさんならこの人物の氏名が途中でなんとなくわかったのではないでしょうか。
今回はあえてキr…夜神月を例に挙げてみましたが、実際にFacebookでアカウントを見つけるまでの流れはこれとまったく同じです。
そしてこのFacebookのアカウントを見つけるまでだいたい10分くらいでした。

さてさてさて、今回のこのことからわかったこと。そして気づいたことをまとめてみました

こんなプロフィールは気をつけよう

Twitterのプロフィールについて、こんなプロフィールじゃいきなり悪用や特定されるよってトコロをまとめました。

□ハンドルネームが実名である
□プロフィールに所属してる（してた）ところが書いてある（例：会社名や学校名）
□アイコンが自分の写真である（自撮り、他撮り含め）

当たり前だろ！！！って思った人もいると思いますが、実際そうです。
ちなみにこの項目で実際に母校の中高の現役学生を探してみたところ、すぐに数人のアカウントが特定できました。

こんなツイート内容には気をつけよう

プロフィールに個人的な情報を載せなくても、特定されてしまう場合があります。こんなツイート内容は気をつけてみましょう。

□フォロワーを実名や実名が推測されそうな名前で呼ぶ
□所属している会社や学校が明らかに判明してしまう写真、もしくは会社や学校から撮った写真を載せる
□同じ場所からの写真を定期的に載せる

2番目や3番目に書いた内容は良く聞く話かと思います。
特に伝えたいのが1番目です。僕が今回アカウントを見つけることのできた方法のひとつでもあります。
実は結構盲点なんじゃないかと思っています。

その他ちょっとしたセキュリティ対策をやってみよう

今回の内容とは少し話が逸れますが、「アカウントを乗っ取られる、不正にログインされた」というニュースが報道されることがしばしばあります。
アカウントを乗っ取られて某メガネ会社の広告ツイートがフォロワーからいきなり飛んできたなんてことを経験した方もいるかと思います。
乗っ取られないようにしたい、アカウントが特定されにくくしたい等いくつか方法をまとめてみました。

①他のSNSやアカウントサービスで利用してるID、パスワードを同じものにしない

コレ、同じにしてしまうと芋づる式にどんどん自分のアカウントが乗っ取られてしまいます。
もちろん難しいパスワードを設定することもオススメしますが、なかなか難しいパスワードって考えるの大変じゃないですか？
なので、まずはパスワードを使いまわさないことをオススメします。

②パスワードは自分の生年月日等の第三者から推測されやすそうなものはやめよう

芸能人のSNSが乗っ取られた等のニュースを見ていると、パスワードが生年月日や名前を模した設定にしていたということが原因の場合がしばしばあります。

今回のようにFBのアカウントが特定された場合、アカウント設定で生年月日が外部公開されていて、かつ生年月日がパスワード等になっていた場合速攻でTwitterはログインされてしまいますよね。そういったことが起こらないように、外部から推測されにくいものを設定しておくことをオススメします。

③2段階認証を設定してみよう（Twitter、Facebookどちらも推奨）

アカウント登録に自分の電話番号を登録する必要がありますが、
自分以外の誰かがログインしようとした際に「ログインしようとしてる！」ということが一目瞭然でわかります。
ただ、このデメリットとしては自分が例えばいつもと違うブラウザや端末からログインしようとした時に、
手元に登録した電話番号のスマホがないとログインすることができません。
（※バックアップコードを使ったログインなど、スマホが無くてもログインする方法もありますが）

④公開範囲を決めよう

【Twitter】
正直Twitterの公開範囲は「鍵をつけるか、つけないか」しかないと思います。
そして大げさかもしれませんが、鍵をつけないということは「全世界の人に自分のツイートが見られている」と言っても過言ではありません。
自分のツイートはあまり知られなくない、友達だけに見せたいと思うのなら、鍵をつけることをオススメします。

【Facebook】
今回僕がFacebookのアカウントを見つけた原因の１つが、そのアカウントのFacebookプロフィールの設定が「外部公開」されていたという点です。
Facebookでは自分のプロフィールや投稿内容の閲覧設定を個々に設定することができます。
例えば、中高大の知り合いには見つけて欲しいから中高大の経歴は外部公開にしたいけど、今の勤務地は外部公開したくない、などという設定をする事もできます。
もちろん全て外部非公開にする事も可能です。
この設定のレベルは個々で違うと思いますので、今一度自分の情報をどこまでの人達に、どこまで公開するかを考えてみてください。

⑤メンションを飛ばそう

これはちょっとまた毛色が違う話ですが、Twitterでフォローしたり、Facebookで友達申請をすることってありますよね。
でも送った相手に気づかれない、怪しまれるなんてこともあるかと思います。
そのときは一言でいいので、
Twitterであればフォローしたというリプライを送る、
Facebookであればメッセンジャーで友達申請した旨を伝える、ということをするといいかもしれません。
ただし、逆にこういったメンションを送られたからといっていきなり「そうですか」と許可するのも危険な場合もあります。
ですのでまずは1往復くらいはやり取りしてみてから許可する、というのも良いかもしれませんね。

おわりに

まずはここまで読んでいただきありがとうございました。

今回の内容で少しでも自分のアカウント管理について考えてみてくれたなら幸いです。

そして1つでも何か対策をしてくれたなら、僕はこのブログを書いて良かったなと感じます。

一人ひとりの対策が、みんなを守る対策につながります。

ではでは(´ε｀ )

2016年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

日々Twitterやニュースサイト、ブログなどでセキュリティ情報を収集したりしているのですが、せっかくなので10月に起こったことを僕視点でまとめてみました。

10月のセキュリティニュースを知ったかぶりましょう。笑

「僕視点」なのであしからず。（大事なことなので2回言ってみた）

DNSサーバBINDの脆弱性について

【概要】
ISC BIND 9 にサービス運用妨害 (DoS) の原因となる脆弱性が存在するという問題。

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160037.html

【対象】

　9.9系列 9.9.9-P2 より以前のバージョン
　9.10系列 9.10.4-P2 より以前のバージョン
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】

修正バージョンの適用
　BIND 9 version 9.9.9-P3
　BIND 9 version 9.10.4-P3

【参考情報】
※JVNVU#90255292: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

※CVE-2016-2776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160044.html

【対象】

　9.9系列 9.9.9-P3 より以前のバージョン
　9.10系列 9.10.4-P3 より以前のバージョン
　9.11系列 9.11.0
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】
修正バージョンの適用
　BIND 9 version 9.9.9-P4
　BIND 9 version 9.10.4-P4
　BIND 9 version 9.11.0-P1

【参考情報】
※JVNDB-2016-005674 - JVN iPedia - 脆弱性対策情報データベース

Linuxカーネルの脆弱性『Dirty COW』について

【概要】
Linuxカーネルのメモリサブシステムに実装されているcopy-on-write機能存在する脆弱性を攻撃者に悪用され、
ローカルユーザからroot権限を取得される問題。

【対象】
Linux Kernel 2.6.22 および、それ以降の以下のバージョン
・Linux Kernel 4.8.3 より前のバージョン
・Linux Kernel 4.7.9 より前のバージョン
・Linux Kernel 4.4.26 より前のバージョン
なお、この脆弱性を利用するためには、システムにログインできることが前提条件とのこと。（※下記ソフトバンク・テクノロジー調査レポートより抜粋）

【対策】
パッチの適用
Linux カーネルでは、対策版として
・バージョン 4.8.3
・バージョン 4.7.9
・バージョン 4.4.26
がリリースされている。

【参考情報】
※JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性

※CVE-2016-5195 - 脆弱性調査レポート | ソフトバンク・テクノロジー

IoT機器を踏み台にするマルウェア「Mirai」によるDDoS攻撃が発生

【概要】
攻撃者によりマルウェア「Mirai」に感染したボットネットを使用され、DDoS攻撃が行われた問題。

【攻撃事例】
▼2016年9月20日夜（米国時間）、米セキュリティ情報サイトの「Krebs on Security」へのDDoS攻撃

▼2016年10月21日昼（米国時間）、米DNSサービスを提供するDynのManaged DNSインフラやManaged DNSのプラットフォームへのDDoS攻撃
　→TwitterやNetflix、Reddit、Spotify、Box、Pinterest、PayPal、PSN(PlayStation Network)にアクセスができなくなる状態が断続的に発生した

【Miraiボットネットとは】
・家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダといったIoT機器に感染してボットネットを形成するマルウェア
・ソースコードは公開されたため、亜種等は今後増加する可能性あり
・IoTデバイスのデフォルトのユーザー名とパスワードの組み合わせ62種類を利用し、デフォルト設定のIoT機器を見つけると感染させる仕組み
・感染した端末の挙動としては、2323/TCP および 23/TCPを使用しTelnet接続する。また48101番ポートを使用した定期的な通信あり

【対策】
▼Miraiに感染した場合
①機器をネットワークから切り離し、再起動する。（再起動することで削除されます）
②機器のパスワードを強固なパスワードに変更して、ネットワークに再接続する。（パスワードの変更を行わずに再接続すると、再感染します）

▼Miraiに感染しないようにする場合
・機器のパスワードを強固なものに設定する（初期設定のままには絶対にしない）
・最新のパッチを適用する
・UPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する
　※UPnPとは→http://e-words.jp/w/UPnP.html

【参考情報】
※JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

※インターネット観測結果等(平成28年９月期)（警察庁）
　http://www.npa.go.jp/cyberpolice/detect/pdf/20161020.pdf

※Linux IoTデバイスを狙う「Mirai」ボットネットの拡散とDDoS攻撃に注意 | マルウェア情報局

※ニュース - DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン：ITpro

Rig Exploit Kitを用いた攻撃が急増

【概要】
Internet Explorer および Adobe Flash の脆弱性を悪用するRig Exploit Kit（Rig 脆弱性攻撃キット）を用いた攻撃が急増

【Rig Exploit Kitとは】
・ Internet Explorer および Adobe Flash の脆弱性を悪用し、 ランサムウェア「Ursnif（別名：Locky、Gozi、Snifula、Papras）」 などのマルウェアをダウンロードさせる
・ Neutrino Exploit Kit やAngler Exploit Kit の誘導元として悪用されていた Web サイト等に誘導される
・誘導元のページではWordPress で運用されている Web サイトが観測されているとのこと

【対策】
・IEやJava、Adobe Flashを適宜アップデートする
・不審なメールに添付されている添付ファイルや添付されているURLを開かない
・アンチウイルスソフトの導入

【参考情報】
※IIJ Security Diary: Rig Exploit Kit への誘導サイト拡大に関する注意喚起

※【セキュリティ ニュース】エクスプロイトキット「RIG」が活発 - 国内サイト経由でランサム誘導（1ページ目 / 全2ページ）：Security NEXT

大学を狙ったサイバー攻撃（情報漏えい）が複数発生

【概要】
不審なメールから大学関係者へのサイバー攻撃（情報漏えい）が複数発生

【攻撃内容】

▼メールにファイル（マルウェア）が添付されており、その添付ファイルを開封したことによりPCがマルウェアに感染し、個人情報や研究情報が漏洩した

※富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について

https://www.u-toyama.ac.jp/news/2016/doc/1011.pdf

※富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた - piyolog

※富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ | (n)inja csirt

▼メールにフィッシングサイトへのURLが貼り付けてあり、そのURLにアクセスしID、パスワードを入力したことでログイン情報が盗まれ、個人情報が漏洩した

※【セキュリティ ニュース】フィッシング被害で個人情報が漏洩 - 関西学院大（1ページ目 / 全1ページ）：Security NEXT

※セキュリティのニュース報道を見て感じたコト～関西学院大情報漏洩ニュース～ - にゃんたくのひとりごと

国家資格「情報処理安全確保支援士制度（RISS）」がスタート

【概要】
新しいセキュリティ国家資格「情報処理安全確保支援士（Registered Information Security Specialist）」がスタート

【情報処理安全確保支援士とは】
組織における情報システムの企画、開発、運用のほか、調査や分析、評価など、セキュリティ面から支援し、指導や助言などを行う人
※通称は「登録情報セキュリティスペシャリスト」

【RISSの概要や登録方法】

サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました （METI/経済産業省）

登録方法はこちら→IPA 独立行政法人 情報処理推進機構

10月はこれくらいでしょうかね！みなさん知ったかぶれそうですか？( ^ω^ )

僕も書いていて、あんなことや、そんなことあったなぁって思い出しましたよ。

以上です。

ではでは～(・ω・)ノ