サイバー犯罪

GMOコインからのお知らせ メールアドレスなどのアカウント情報が流出した可能性大

GMOコインからメールがやってきた

なにげなく、iPhoneでメールを確認していると、

Eメールアドレス及びパスワードの不正利用被害のおそれのあるお客さまへお送りしています

GMOコイン?

あっ暗号通貨(仮想通貨)の販売所か。

ずいぶん前につくって、入金等もせず放置したままだ。

ん、不正利用被害のおそれのあるお客さまへお送りしますってなんだろ。

物騒なことが書いてある。

とうとう僕も、サイバー犯罪に巻き込まれ元年が始まったということか。

でも、最近じゃまったく珍しくもなんともないほどサイバー犯罪は日常の光景になってしまった。

使っていないとはいえ、不正送金の踏み台に使われるのはたまったもんじゃない

対応せねば。

JVCEAってなんだろ?

■目的

当協会は、資金決済法第2条第8項に規定する仮想通貨交換業者が行う同条第7項に規定する仮想通貨交換業の適正な実施を確保し、並びに仮想通貨交換業の健全な発展及び仮想通貨交換業の利用者の保護に資することを目的としています。

要は仮想通貨業者の業界団体。

仮想通貨の事件も地味にまとめてみた。

僕自身あまり詳しいわけではないが。

やっぱりMTGOX(マウントゴックス)インパクトは強い。

Binance(バイナンス)ってのも聞いたことある。

発生年月 交換所 被害額概算(単位:円) 対象通貨
2011年7月 MTGOX 日本 約330万円 ビットコイン(BTC)
2011年10月_ Bitcoin7 アメリカ 約550万円 ビットコイン(BTC)
2012年9月_ bitfloor アメリカ 約2750万円 ビットコイン(BTC)
2012年11月_ BitMarket ポーランド 約2860万円 ビットコイン(BTC)
2013年5月_ Vircurex 中国 約5.5億 ビットコイン(BTC)/テラコイン(TRC)/ライトコイン(LTC)
2013年11月 nputs.io オーストラリア 約1.3億円 ビットコイン(BTC)
2013年11月 BIPS デンマーク 約1.1億円 ビットコイン(BTC)
2013年11月 PicoStocks.com デンマーク 約6.6億円 ビットコイン(BTC)
2014年2月 MT.GOX 日本 約114億円 ビットコイン(BTC)
2014年10月 poloniex アメリカ 約5500万円 ビットコイン(BTC)
2014年10月 Cryptsy アメリカ 約9.9億円 ビットコイン(BTC)
2014年10月 mintpal イギリス 約2.2億円 ヴェリコイン(VRC)
2014年10月 bitpay アメリカ 約2億円 ビットコイン(BTC)
2014年10月 mintpal イギリス 約1.7億円 ビットコイン(BTC)
2015年1月 Bitstamp イギリス 約48億円 ビットコイン(BTC)
2015年2月 796Exchange.com 中国 約2,500万円 ビットコイン(BTC)
2015年2月 BTer.com 中国 約1.9億円 ビットコイン(BTC)
2016年8月 Bitfinex 香港 約77億円 ビットコイン(BTC)
2017年4月 YAPIZON 韓国 約5.8億円 ビットコイン(BTC)
2017年4月 YouBit 韓国 保有額のおよそ2% ビットコイン(BTC)
2017年12月 nicehash スロベニア 約76億円 ビットコイン(BTC)
2018年1月 CoinCheck 日本 約580億円 ネムNEM(XEM)
2018年2月 BitGrail イタリア 約210億円 ナノコイン(Nano(XRB))
2018年4月 Coinsecure インド 約3.6億円 ビットコイン(BTC)
2018年6月 Coinrail 韓国 約44億円 プンディ(NPXS)、アトミックコイン
(ATC)、エヌパー(NPER)
2018年6月 Bithumb 韓国 約35億円 ビットコイン(BTC)イーサリアム(ETH)あわせて11通貨
2018年9月 Zaif 日本 約70億円 ビットコイン(BTC)ビットコインキャッシュ(BCH)(MONA)
2019年1月 Cryptopia ニュージーランド 約17億円 イーサリアム(ETH)
2019年3月 DragonEX シンガポール 約6.6億円 ビットコイン(BTC)を含む19種類の通貨
2019年3月 Biki.com シンガポール 約1,350万円     詳細不明
2019年5月 Binance マルタ共和国 約44億円 ビットコイン(BTC)
2019年7月 BITPoint 日本 約35億円 ビットコイン(BTC)、ビットコインキャッシュ(BCH)、イーサリアム(ETH)、ライトコイン(LTC)、リップル(XRP)

GMOコインから来たメールはフィッシング?

送信先のメールアドレスもなりすましではないようだ。

リンクはふまずにソースでリンク先を確認したところ、GMOコインのURLだった。

国内捜査機関?

警察庁とか、公安警察とかそういうことなのだろうか。

あえて遠回しな表現になっているが。

日本国内では、マネーロンダリングについては犯罪収益移転防止法という法律に基づいて目を光らせている。

決算手段のPaypalについても、日本で「寄付」機能を使うことができないのも

できないのもこの手の規制が絡んでいるからだろう。

決算手段のPaypalについても、日本が「寄付」機能を使うことができないのも

できないのもこの手の規制が絡んでいるからだろう。

仮想通貨は完全に匿名にはならないが、ロンダリングにいっちょ噛まされるケースが

増えている。

攻撃ツール?

別のサイトのサービスで使っているメールアドレスとパスワードの組み合わせを使って

組み合わせが有効かどうか、というようなことをありとあらゆるサイトでできるソフトウェアや暗黒サーバアプリがあると聞いたことがある。

ブルートフォースアタック、リバースブルートフォースアタックとか聞いたことないだろうか。あれを実現できるようだ。

フレームワークやデータベースの脆弱性をついて、情報を搾取されるのも多い。

ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策
ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策

ブルートフォースアタックはどれほど危険なのか?ブルートフォースアタックの有効な対策は?安全を確保するために今すぐできることは?この3つの疑問にお答えするためのブルートフォースアタックに関する情報をまと ...

続きを見る

セキュリティアナリストのつぶやき
セキュリティアナリストのつぶやき

続きを見る

Webアプリケーションフレームワーク - Wikipedia
Webアプリケーションフレームワーク - Wikipedia

続きを見る

日本の場合は脆弱性はこのあたりで情報公開される。

https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-001008.html
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-001008.html

続きを見る

アカウントの流出元はどこなのだろう

セキュリティの甘いECサイトからの流出が多いと思う。

とはいえ、有名所のサービスからも流出している。

有名所のサービスであろうとなんだろうと、あなたの大切な情報漏れているかどうか、

それを知ることができるサイトを紹介しよう。

HaveIBeenPwnedの紹介

自分のつかっているメールアドレスから、あなたのアカウント情報が

悪い奴らに漏れている可能性があるかどうかを確かめることができるサイトである。

HaveIBeenPwnd(意訳:私はやられちゃったの?)だ。

これってメールアドレス収集しているサイトじゃないか! と思う方注意喚起

そのように判断される場合、サイトにアクセスしてメールアドレスを入力しないこと。

忠告はしましたよ。

ちなみ、僕の場合は、メインのメールアドレスで流出したものは

  • Adobe (2010年代?流出)
  • Dropbox(2012年ごろ流出)

そして、最大規模の流出

要約:

"Breach"は、意図せず公衆にデータを晒してしまった事件事故を意味する。

(注:だいたいBreachを使う場合はだれかから攻撃を受けて情報漏洩したような事件)

2019年1月のCollection #1というパスワード流出キャンペーン。

ハッキングフォーラムで確認。

流出したものは27億のレコード、

そのレコード中にはユニークなメールアドレス7.73億件が含まれている。

漏れた情報はメールアドレスとパスワード


どのサービスか漏れたかというのはわからない。

ちなみにCollection#1って名前の由来は、MEGAっていうアップローダのフォルダ名。

このアップローダ自体はまっクロということではないが悪用されることは多いらしい。

そのCollection#1って名前のフォルダに、ファイルサイズ87GB超のデータが入っていた。

その後、#2〜#5までの続編つき。

トロイハントってマイクロソフトの人はCollection#1について説明を加えている。

Troy Hunt: The 773 Million Record "Collection #1" Data Breach
Troy Hunt: The 773 Million Record "Collection #1" Data Breach

Many people will land on this page after learning that their email address has appeared in a data br ...

続きを見る

Troy Hunt - Microsoft Regional Director | Microsoft Regional Directors
Troy Hunt - Microsoft Regional Director | Microsoft Regional Directors

Security Trainer, Web Developer, and Microsoft Regional Director in the Gold Coast, Australia

続きを見る

https://haveibeenpwned.com/
https://haveibeenpwned.com/

続きを見る

国内のセキュリティインシデントに詳しいpiyokango氏も記事にしている。

2019年1月のデータリーク「Collection #1」をまとめてみた - piyolog
2019年1月のデータリーク「Collection #1」をまとめてみた - piyolog

2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここ ...

続きを見る

僕が暇があればチェックしているセキュリティジャーナリストBrianKrebs氏も記事として紹介している。

ブライアンクレブス氏は、悪い奴らから"SWATting"という嘘の凶悪犯罪(銃器で立てこもり、爆弾を仕掛けたとか)を警察へ通報するという、

超危険ないたずら(というか相手の生命を奪いかねないほどの行為)で実際、警察官に自宅訪問されている。

場合によっては、SWATの名のとおり重武装した警察官が突撃してくるのだ。

クレブス氏は、事前に地元の警察に相談していたので事なきをえたようだが。

773M Password ‘Megabreach’ is Years Old —  Krebs on Security
773M Password ‘Megabreach’ is Years Old — Krebs on Security

My inbox and Twitter messages positively lit up today with people forwarding stories from Wired and ...

続きを見る

パスワードを変更してみる

ログインしてパスワード変更するだけ。

定期的に変更するのは僕は意味がないと思っている。

二段階認証はどうするか

GMOコインの場合、二段階認証は

  • アプリ(Google Authenticator)
  • SMS
  • 電話

Google Authenticatorはアプリを間違えて消してしまうと、

面倒なことになるので僕はSMSを使うことにした。

これを機にパスワードの使いまわしのリスクを考える

パスワードマネージャーの導入

エクセルとかメモ帳とかに書いておけばいいじゃないかと僕もはじめは思っていた。

お察しの通りパスワードなんて覚えてられない状況になっていったのだった。

  • ネットを使ったサービスが爆発的に増加
  • ネットサービスでIDとパスワードが求められるようになってくる
  • IDはメールアドレスであることが多く、面倒くさいのでパスワードを使いまわしてしまう
  • サービスによっては、一定の期日が立つとパスワード変更を強制される。変更の際、またパスワードを考えなくてはならない
  • 使いまわしをやめようとするも、パスワードをメモ帳やらエクセルでまとめていくと膨大な量になっていく
  • しかもスマートフォンの発展で、スマートフォン対応のネットサービスも当然増える
  • 先につくったパスワードメモどうしよう スマホで使うとしても面倒だ クラウドストレージで共有とか考えたけど、そのストレージが…本末転倒

トロイハント氏が紹介していた1PasswordとかLastPassとか、シマンテックとかのパスワードマネージャーとかいろいろある。

僕は、たまたまお得キャンペーンか何かをやっていたパスワード管理ツール

Dashlane』を使っている。

以来、かれこれ2年ばかり使い続けている。

ダッシュレーンの特徴は

  • 登録しているサイトのログインページにたどり着くと、自動でログインIDとパスワードを入力してくれる
  • Dashlaneのアプリから、ログインページを呼び出してログインすることもできる
  • 自動で新しくパスワードを生成することができる(文字数、使う記号なども好きなものを設定可)
  • クレジットカード・銀行口座情報を支払い情報として保存できる
  • セキュリティ危険なパスワードの変更を提案してくれる
  • IDやパスワードがダークネットで流出しているとお知らせしてくれる
  • パソコンとスマホ(iOS/Android)とパスワードの共有が可能なこと
  • VPNがつかえる(公衆Wifiで便利)

『Dashlane』を利用する方法

パソコンは公式サイトで「Dashlaneを無料で取得」というボタンをクリックすればソフトウェアをダウンロードでき、インストールする。

スマホの場合は、アプリストアでDashlaneと検索窓に入力すれば、アプリをダウンロードできる。

アカウントを作成するのだが、メールアドレスの入力と

マスターパスワードというものを作成する。

マスターパスワードは鍵束箱の鍵の役割だ。

つまりマスターパスワードが漏れてしまうと…

いうまでもなく全部のIDパスワードが流出する。

とはいえないところがパスワードマネージャソフトのいいところ。

Dashlaneには2段階認証がついていたりする

マスターパスワードが漏れた場合であっても、

普段とは異なる環境でアクセスしようとした場合、二段階認証が発動するようだ。

自動入力・自動保存

先に書いてしまったが、自動入力はログイン対象のページにあるID欄パスワード欄に

自動的に登録している内容を転記して、ログインまで行ってくれるすぐれものだ。

パソコンの場合はブラウザの拡張機能をONにしておくとパスワード生成と自動保存機能が働く。

Dashlaneにはブラウザの拡張機能がある。

たまに、自動保存機能がうまくいかないことがある。

その場合はDashlaneのアプリケーションから新規登録を行わなければならない。

FaceIDに対応

iPhoneのDashlaneアプリはFaceIDに対応していたりする。

マスターパスワードを入力しなくていいのは便利ではあるが、

やっぱり使う側の好み次第。

『Dashlane(ダッシュレーン)』の料金体系

個人プランと法人(ビジネス)プランがある。

Dashlaneの個人プラン

無料とプレミアムプランの大きな違いとしては、保存できるパスワードと使用可能なデバイス数だ。

パスワード総数が多い場合は、プレミアムプラン(月額3.33ドル)一択だ。

『Dashlane(ダッシュレーン)』を使ってよかったこと

無料でも十分使える機能がある

LastPassもいいが、Dashlaneのいいところは無料でもそこそこ機能が充実している。

他のパスワード管理ツールは始めから機能が制限されすぎている。

Dashlaneの場合は無料の場合、パスワード保存数と使用デバイス数の制限ぐらいだ。

アラートで情報漏えいに事前に気付くことができる

ダークウェブ(Torでしか見れることができないネットのこと)などの

自分が知らないところでパスワードが侵害されている場合は

警告の通知があらわれる。

そして、すぐにパスワード変更をすることができる。

今回のGMOはお知らせなし。

『Dashlane(ダッシュレーン)』を使って不満な点

  • 自動入力でログインIDとパスワードを入力すると、見当違いの欄にIDやパスワードが入る 
  • IDが入らない パスワードだけしか入らないサイトがある
  • サイト登録が重複する場合がある(だいたい自分の操作間違い)

登録サイトのログインページでは、IDやパスワード欄にカーソル移動すると、

入力するパスワードがポップアップして現れる。

重複登録で困るのは、候補となるパスワードがどちらかわからなくなることだ。

Dashlaneに限ったことではないかもしれない。

まとめ パスワードマネージャーと二段階認証で身を守ろう

パスワードの使いまわしをやめるだけでも違うが、

二段階認証だとさらに防御力アップは間違いない。

-サイバー犯罪

© 2020 トキドキ