パスワードを忘れた? アカウント作成
Close
3854200 story
インターネット

JPCERT/CC よりメールアカウント不正使用に関する情報提供のお願い 17

ストーリー by reo
手法不明なところにわくわく 部門より

ある Anonymous Coward 曰く、

JPCERT/CC, Telecom-ISAC Japan によると、手法不明なメールアカウント情報の窃取が複数 ISP で確認されている模様 (JPCERT/CC からのお知らせ、昨年 12 月の Telecom-ISAC Japan のニュースリリースより) 。

両者によると、2011 年 8 月以降、ボットネットと思われる海外ノードから有効な SMTP 認証による ISP のメールサーバを経由した大量の SPAM 送信が急増しており、その際のアカウント情報の入手方法が不明であるため、広く情報提供を呼びかけたもののようだ。これまでもマルウェア、フィッシング、ブルートフォースアタックなどによりアカウント情報を窃取されたり、それによる被害などはあったわけだが、今回の急増に関しては入手経路が特定できていないらしい。そこで、

  • 大量のエラーメールを受信するようになった。
  • メールをそれほど利用していないのに、「メールサーバの送信通数上限を超過した」とのメッセージを受信した。
  • プロバイダから「迷惑メールの送信元になっている」との通知を受けた。

といった項目に身に覚えのある方は速やかな対策と共に JPCERT/CC への情報提供を、とのこと。

LinkedIn の一件ではないが (/.J 記事) 、アカウント情報流出、ID=メールアドレス、パスワード同じ、見たいなのもありえるかなとか思いつつ、皆さんのまわりではこういった話などありましたか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JPCERT/CC よりメールアカウント不正使用に関する情報提供のお願い More

  • スマホ+無線LAN (スコア:2, 興味深い)

    by Anonymous Coward on 2012年06月08日 14時21分 (#2169678)

    自分の使っているISPだと、POP3+SSLが利用可能なことがサポートページの片隅にこっそり書かれているものの、
    あまり積極的に広報されているとはいえず、危ういなぁと常々思っています。
    また、SMTP認証とPOP3認証のID/パスワードは共有です。
    (APOPは以前は分かりにくいウェブサイトの奥底で設定しないと使えなかったのですが、一度メールシステムをリニューアルして以降どうだったかな…)

    特に最近はキャリア主導で無線LANへのオフロードが積極的に推進されてもいますし、
    オープンなAP(Wi2系であったはず)で傍受したり、SSIDとPSKを一致させた偽APを作ればモリモリ集めることが可能なのでは。

  • 最近、私の管理してる POP3サーバーへの辞書攻撃が頻繁に行われています。
    もしかすると、世界中のPOP3サーバーへの辞書攻撃で ID パスワードを蒐集して、
    それをSMTP 認証に使って 迷惑メールを送信するという、闇のシステムを開発したやつがいるのでは?

    • Re: (スコア:0)

      by Anonymous Coward

      そんな昔から普通に行われていることを言われても・・・
      #本文を読んでいない???

      • Re: (スコア:0)

        by Anonymous Coward

        ヒントっていうか解答: reininn

  • 忘れ物ですよー (スコア:1)

    by Anonymous Coward on 2012年06月08日 14時29分 (#2169685)

    id:stealthinu氏による
    「サブミッションスパム」による5/15~16のメール障害の解説と対策 [hatena.ne.jp]
    もお忘れなく。

  • 発信元は同時に複数 (スコア:1)

    by Anonymous Coward on 2012年06月09日 0時18分 (#2170044)
    ISPの中の人です。
    実際にIDとパスワードが割れている例が月に数件出てきます。
    しかも、同時に複数の地域から同一IDでSMTP認証を通してくることが多いので
    SMTP認証を無効化するほかに止める有効な手段がありません。
    おそらくbotとかで抜かれたIDとパスワードのデータベースが
    裏で出回っているのではないかと思います。

  • ISPの意識も低い (スコア:0)

    by Anonymous Coward on 2012年06月08日 15時21分 (#2169756)

    周知するのが面倒、突然つながらなくなったという苦情を処理するのが面倒という理由で古い認証方法を切り捨てられないISPにも問題がると思います。
    いまだに平文パスワードでも認証が通るPOPサーバーが多すぎですよ、SMTP認証と同一のパスワードになっていることが多いですし。
    一時的にでもDNSが汚染されれば偽のPOPサーバーもどきにパスワードが知られてしまうんじゃないでしょうか。

    • Re:ISPの意識も低い (スコア:2)

      by hoihoi-p (5571) on 2012年06月08日 17時10分 (#2169836) 日記

      いまだに平文パスワードでも認証が通るPOPサーバーが多すぎですよ、

      確かに。 ISP次第では、SSLの使用は別料金だったりしますし。(gmail ですら SSL OK なのに)

      --
      hoihoi-p  得意淡然、失意泰然。
      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        平文以外のパスワード認証は、サーバ側に平文パスワードが無いと認証できません。
        一度ユーザがパスワード変更してくれれば平文パスワードの保存可能ですが、おそらく10年来パスワード変えてないユーザが五万と居るのでしょう。

        • Re: (スコア:0)

          by Anonymous Coward

          > 10年来パスワード変えてないユーザ

          呼んだ?

          #俺が変えたら残り49,999だ(違

      • Re: (スコア:0)

        by Anonymous Coward

        overSSLが有料オプションって@niftyとかですか?
        古参のISPなのにボッたくっているなぁと思ってしまいますねぇ。

  • エラーメール送信先 (スコア:0)

    by Anonymous Coward on 2012年06月08日 19時07分 (#2169910)

    Fromを詐称されるだけでエラーメールはこっちに飛んでくるんじゃないの?

    • Re:エラーメール送信先 (スコア:1)

      by Anonymous Coward on 2012年06月09日 2時07分 (#2170082)

      若干オフトピですが、それを利用して、メールアドレスの有効性チェックは行われているようです。
      (メールアドレスが無効なら、相手にエラーメールが返る仕組みを応用)

      以下、実例(スパム送信元晒しとも言う)

      Return-Path: <return-(任意の数字)@oritnagua.net>
      Delivered-To: ひ・み・つ♪
      Received: (qmail 17513 invoked by uid 89); 26 May 2012 23:16:35 +0900
      Received: from am-k513.mail-bam.net (202.231.253.141)
          by メール鯖 with SMTP; 26 May 2012 23:16:35 +0900
      Received-SPF: pass (メール鯖: SPF record at spf01.mail-b.net designates 202.231.253.141 as permitted sender)
      Received: by am-k513.mail-bam.net (Postfix, from userid 1002)
              id 8BE61E9E9C; Sat, 26 May 2012 23:15:14 +0900 (JST)
      Received: from rfr001.mail-bam.net (rfr001.mail-bam.net [202.231.254.68])
              by am-k513.mail-bam.net (Postfix) with ESMTP id 4F118E801C
              for <ひ・み・つ♪>; Sat, 26 May 2012 23:13:38 +0900 (JST)
      Received: by rfr001.mail-bam.net (Postfix, from userid 1002)
              id 091B6B8E43; Sat, 26 May 2012 23:11:37 +0900 (JST)
      Received: from dc28 (unknown [10.140.108.55])
              by rfr001.mail-bam.net (Postfix) with ESMTP id 8A46EB8536
              for <ひ・み・つ♪>; Sat, 26 May 2012 23:09:45 +0900 (JST)
      Received: from dc28 (unknown [10.222.36.187])
              by rfr001.mail-bam.net (Postfix) with ESMTP id 8A46EB8536
              for <ひ・み・つ♪>; Sat, 26 May 2012 23:09:45 +0900 (JST)
      Received: from dc28 (unknown [103.3.18.200])
              by rfr001.mail-bam.net (Postfix) with ESMTP id 8A46EB8536
              for <ひ・み・つ♪>; Sat, 26 May 2012 23:09:45 +0900 (JST)
      Date: Sat, 26 May 2012 23:09:45 +0900 (JST)
      From: MAILER-DAEMON@oritnagua.net
      To: ひ・み・つ♪
      Message-ID: <41518781.9906420.1338041385573.JavaMail.return-182205001@oritnagua.net>
      Subject: failure notice
      MIME-Version: 1.0
      Status: U
      Content-Type: text/plain; charset=Shift_JIS
      Content-Transfer-Encoding: 7bit

      Remote host said: 550 : User unknown

      このメールを受信してからは、mail-bam.netを経由したスパムがたくさん…orz

      頻繁に送信元が変わるので、対策はReceivedにmail-bam.netかReceived-SPFにmail-b.netがあったらゴミ箱行きにしてます。

      シェア
      親コメント

  • あのあと、うちにもえらくSPAMが来るようになったし、クレジットカードに変な請求もあってカード変える羽目になったし。
    単に流失した情報を買った輩が居るんじゃないかと。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー