カテゴリー
技術メモ

サイトへの攻撃を検知してCloudflareのUnder Attackモードを自動的に有効化する

ここ数週間の間、国内のいくつかのウェブサイトがDDoS攻撃(サイトに多大な負荷をかけることでサービスを停止させる行為)の被害を受けています。私のDomainWatchも攻撃を受け、短い時間のダウンタイムが発生し対策を余儀なくされました。他にもニコニコ生放送などのサイトが攻撃を受けていることを公表しています。

これらの攻撃が同一犯によるものを示す証拠は現在のところありませんが、攻撃時期などから私は同一犯と考えています。

今回は、私がこれらの攻撃の対策をCloudflareの機能を用いて自動化したことについて書いていきます。同様の被害を受けて困っているウェブマスターの方の参考になれば幸いです。

カテゴリー
ニュース

仮想通貨Moneroの公式クライアントにマルウェアが混入、俺も感染したが金は盗まれなかった

プライバシー保護を重視した仮想通貨「Monero」の公式サイトがハッキングを受け、公式クライアントがマルウェアに置き換えられていたことが判明しました。このマルウェアはMoneroのシード(ウォレットを構成するパスフレーズ。ウォレットを復元できる)を窃取するもので、シードを盗まれると攻撃者はそのMoneroのウォレットを復元し、盗むことができます。私もこのマルウェアに感染していましたが、幸いなことに被害はありませんでした。

カテゴリー
コラム 日記

コインチェックをハッキングしたのは本当に北朝鮮なんですか?

日本の仮想通貨取引所大手のコインチェックが、昨年1月26日に外部からサイバー攻撃を受け、同社が保有する仮想通貨(当時で580億円分)を盗まれた事件から1年が経過しました。この事件の実行犯は今も逮捕されていません。

当時はこの犯人について様々な説が流れました。例えば、韓国の情報機関の国家情報院は早い段階で「北朝鮮の犯行が疑われる」と話しました(ロイター)。しかし、その根拠については明らかにしていません。ほかにも内部犯行説などが流れましたが、結局のところ現在まで真相は闇の中です。

1年ぶりにこの話題が再燃しているのは、何も1周年だからというだけではありません。今月5日に国連安全保障理事会が公表した北朝鮮に関する報告書では、北朝鮮が経済制裁を逃れサイバー攻撃によって巨額の外貨獲得を行っていることを明らかにしました。このうち、2017年〜18年にかけてアジアの仮想通貨交換業者に対して行われた5回のサイバー攻撃では5億7100万ドル(約630億円)を盗んだとしています。

この「アジアの交換業者」にはコインチェックも含まれており、その被害額のほとんどを占めています(約580億円)。つまりコインチェック事件は北朝鮮によって行われたということです。しかし、果たしてこの発表を鵜呑みにしていいものなのでしょうか?情報の出処を詳しく確認してみましょう。

カテゴリー
ニュース リサーチ

100万円をゲットする方法:ZOZO前澤社長のTwitterお年玉企画には参加せず、なりすまして詐欺広告を出稿する

Twitterには、企業の公式アカウントなどが開催するキャンペーン企画があります。応募条件がアカウントのフォローや特定ツイートのリツイートなど、簡単に参加できることから人気を集めています。懸賞企画に参加するために専用のアカウントを作成する人々もいます。

最近では、ZOZOの前澤友作社長がTwitterで「100万円を100人にプレゼントする」という企画を開催し、そのリツイート数は500万件と世界記録を達成しています。

ZOZO前澤社長、Twitterで「100万円を100人にプレゼント」 340万以上の応募、「RT日本記録更新」 – ITmedia NEWS
http://www.itmedia.co.jp/news/articles/1901/07/news048.html

しかしながら、Twitterで開催される懸賞企画はときに危険をはらむものもあります。以下の記事で解説されている詐欺組織は、Twitter上で偽の懸賞企画を開催し、応募者にクレジットカードで送料の支払いを要求するメッセージをフィッシングサイトのURLとともに送信し、クレジットカード情報を詐取します。

フォロー&リツイート当選詐欺についてまとめてみた – piyolog
http://d.hatena.ne.jp/Kango/20190110/1547110790

そして今月21日、別の詐欺師は、前出の前澤友作社長のキャンペーンに便乗し、前澤氏になりすましてTwitter広告(プロモーションツイート)に現れました。

ZOZO前澤社長をかたるプロモツイート
ZOZO前澤社長をかたるプロモツイート

https://twitter.com/yousujk2020/status/1087158192642105344 (アーカイブ

カテゴリー
コラム リサーチ

ダークウェブの住人たちを襲う次世代の「プロキシ型」フィッシング詐欺

匿名通信ソフトの「Tor(トーア)」には、利用者のインターネット通信の発信元を特定しづらくさせるだけでなく、サーバーのIPアドレスも隠蔽することでサイトの物理的な所在地を不明にさせる「Hidden Service(秘匿サービス)」という機能が備わっています。

その機能を用いて構築されたウェブサイトには、2004年から存在する日本語では最古の「Onionちゃんねる」のような一般的な掲示板もあれば、かつて存在した「Silk Road」「AlphaBay」のような世界最大の闇市場まで、Torの高い匿名性によって法の制限を受けない違法なウェブサイトが今でも数多く存在しています。

現在、その闇市場の中でも最大の勢力を誇っているのが「Dream」という闇市場です。Dreamは2013年から存在する老舗の闇市場で、本ブログでも過去に当局の捜査をかく乱させようとする動きを取り上げています。

Dream Market
Dream Market

Dreamのみならず、ダークウェブの闇市場のほぼすべては会員制のサイトになっています。ユーザーがサイトを利用するためには従来のサイトと同じように会員登録を行い(だいたいの場合無料)、アカウントにひもづく「ウォレット」に仮想通貨でチャージし、出品されている違法薬物などの商品を購入します。メルカリやヤフオクで古本を買うのと流れは大して変わりません。

逆に出品したい場合は、一定額を支払うことで出品者となる権利を得ます。これはマーケット内での詐欺や低品質な商品の出品などを防ぐためと考えられます。

ここでポイントになるのが、ウォレットにチャージするという手続きです。ユーザーがほしい商品があるたびに所定額をウォレットにチャージし、購入するといった手続きが煩わしい場合には、一度に数万〜数十万をチャージすることもあるでしょう。また、購入者ではなく販売者の場合には、商品が売れた場合にはウォレットに売り上げ額が振り込まれます(このあたりはサイトによって違いがあるかもしれません)。

要するに、たいていのユーザーのウォレットにはある程度の資金が残っていることがあるということです。そしてダークウェブ上で活動する詐欺師たちはこれに目をつけ、これまでとは少し違ったやり方で仮想通貨を奪い取っていきます。