title
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:



2013年12月25日(水) [晴れ]

[Security][SPAM] 特価COM に登録したアドレスに、フィッシングメールが届いた

2006年2月に、APC製UPSを購入した際に、特価COMに登録したアドレスに、フィッシングメールが届いた。
登録したメールアカウントは、xxxxx-tokka@example.jp といった感じで、登録先をすべて区別しており、ほぼ使い捨てというか、他には利用していない。

そのアドレスに、次のような、フィッシングメールが届いた。
すなわち、特価COMから、何かしらの理由で、このメールアドレスが流出したと考えられる。
特価COMにも問い合わせ及び、ABUSEを送信しちゃおう。

お客様
株式会社管団社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうか
ご確認お願いします。

ログイン地点 ログインIP ログイン時間
大阪 61.204.255.255 2013-12-24 03:06

ご本人によるログインでなければ、アカウントの安全に問題があると考えら
れます。
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行って
アカウントを保護してください。

<http:// secure.square-enix.com.b.f-cll.com/account/app/svc/Login.htm?cont=account>
https://secure.square-enix.com/account/app/svc/Login?cont=account
(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用
のウェブブラウザーのアドレス入力欄に貼り付けてお試しください)
もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願
いいたします。

ご意見やご要望
スクウェア・エニックス会社
2013年12月25日

株式会社管団社サービスシステムの管団は、旧字体?中国漢字?だったということで、置き換えているのと、URLのフィッシング側は、ドメインの'.'を全角に置き換えています。

メールのヘッダは下記の通り。

Received: from account.square-enix.com (unknown [175.146.66.70])
 by mx0.example.jp (Postfix)
 with ESMTP id C09F57280ED for <xxxxx-tokka@example.jp>;
 Wed, 25 Dec 2013 11:53:40 +0900 (JST)
From: "DQ10" <autoinfo_jp[at]account.square-enix.com>
Subject: スクウェア・エニックスアカウントーー安全確認

※ 自ドメインはexampleに置換しています

IPアドレスは下記の通り。

$ host secure.square-enix.com.b.f-cll.com
secure.square-enix.com.b.f-cll.com has address 126.71.85.152

$ dig f-cll.com ns

;; QUESTION SECTION:
;f-cll.com.                     IN      NS

;; ANSWER SECTION:
f-cll.com.              533     IN      NS      ns7.cnmsn.net.
f-cll.com.              533     IN      NS      ns8.cnmsn.net.

;; ADDITIONAL SECTION:
ns7.cnmsn.net.          53      IN      A       222.187.224.122
ns7.cnmsn.net.          53      IN      A       218.85.136.43
ns8.cnmsn.net.          536     IN      A       222.76.210.41
ns8.cnmsn.net.          536     IN      A       222.187.224.123

126.71.85.152 は SoftbankBB配下のネットワークなので、abuseを出しちゃおう。

にしても、内容が良くできている。

大阪 61.204.255.255 2013-12-24 03:06

上記IPは、日本国内に割当がされており、パワードコムのサブアロケーション
株式会社ファミリーネット・ジャパンのIPアドレスのようだ。

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     61.204.255.128/25
b. [ネットワーク名]             FNJ-S00568-2
f. [組織名]                     株式会社ファミリーネット・ジャパン
g. [Organization]               FAMILYNET.JAPAN CORPORATION

上記の本社は東京。おそらく、tracerouteの結果及びRTTから東京エリア。しかも、新宿あたりにあるのではないかと考えられる。
IPのひろばで調べてみると、光で、その他不明。

株式会社ファミリーネット・ジャパンのIPを勝手に悪用して名乗り、その上で、フィッシングに使用されているという被害者。ご愁傷様です。

ただ、知らない人からみると、ドメインがおかしいと気づかない限り、うっかりとクリックしそうだ。
ちなみに、メールの文字コードは、下記の通りだった。

Content-Type: text/html;charset="GB2312"

詰めが甘いね。


 (追記):

どうやら、特価.COMからリリース情報が1月31日付けででたようです。
2014.01.31 お客様へのお詫びと重要なお知らせ [http://www.tokka.com/press/tk_press.pdf]
電凸して、そのときの反応はあったが、メールに対して一切反応もなく、調査しますの一言の反応もなく、完全に無視したずさんな対応。明らかにひどい状態で、しかも漏洩していて、1ヶ月以上だんまりしていたこの体質。しかも、その間ずっと、通常運転で、Webサイトはオープンしていたというこの対応について、いかがなモノだろうか?



やりとりの経緯はこんな感じ。

表の番号(WEBに掲載がある番号)に電話したら、全然繋がらなくて、自動音声でお急ぎの場合はメールでとアナウンス。
だが、メールでも反応がないので、裏番号を調べて電話をしたら、社名などを名乗らなかったので、

「特価.COMですか?」

ときいたら、

「ハイ、そうです。」

といわれ、

「そちらのサーバ、メールアドレスなど、流出していません?2006年にそちらに登録した専用のアドレスにフィッシングメールが届きました。この件について、詳細はメールでも送ってありますので、確認してください。」

といったら、

「確認します。」

との一言で、メールに対しても返事が一切ないという状況でした。

  『私のところにも同様のメールが届いてました。(2013/12/28の16時頃) ただ、URLのドメインが「secure.square-enix.com.c.f-cll.com」だったのと、コメントを書いてる時点(2014/1/1時点)で、正引きが118.244.216.127だったのが違いますね。 私の所に届いた送信元IPは175.147.80.110でしたが、whoisを見ると同じネットワークでした。 あと、私も特価COMに登録したアドレスに届いていたので、流出元は確定でしょうか?』
k  『私のところにも該当のメールが届いておりますね。(特価comには登録していないアドレスですが)現在のsecure.square-enix.com.e.f-cll.comの正引きは118.244.216.127ですね。cnc-noc.netにabuse送ろうかと思ったのですが宛先が不明でした。あんまり詳しくないのですが、secure.square-enix.com.a.f-cll.com 〜 secure.square-enix.com.e.f-cll.com で正引きできますね。f-cll.comって何者なんでしょう…もしかしてDDNSなんですかね?』
すば  『特価.com と親会社が同じ(所在地も同じ)の ECカレント からも漏洩したようです。』
[ コメントを読む(3) | コメントする ]

Diary for 1 day(s)
Powered by hns HyperNikkiSystem Project




(c) Copyright 1998-2014 tomocha. All rights reserved.