|
| 1 | +自分のメアドから、「メアドがハックされたよ!」詐欺をうけた話 |
| 2 | +hacked mail 詐欺 |
| 3 | + |
| 4 | +# TL;DR; |
| 5 | + - "<メアド> has been hacked, change your password ASAP"という題で、bitcoinを投げないとwebcamや画面録画ばら撒くぞという脅迫メールが来た |
| 6 | + - 実際のところ、メールのヘッダーを書き換えて、あたかもメアドがハックされているかのように装っていただけだった |
| 7 | + - `From:`は容易に書き換えられる。本当の送り元を見るには`Return-path`を見ると良いらしい。 |
| 8 | + - メアドはGithubのスクレイピングをした第三者からの流出だったらしい |
| 9 | + |
| 10 | +--- |
| 11 | + |
| 12 | +# 概要 |
| 13 | + |
| 14 | +つい先ほど迷惑メールフォルダを確認していた時、以下のようなメールを見つけました( `[email protected]`は私のアカウント) |
| 15 | + |
| 16 | +[!pic] |
| 17 | + |
| 18 | +中身を読んだところ、 |
| 19 | + |
| 20 | +> 君のPCはクラッキングされたよ! |
| 21 | +> webカメラで撮った映像とか画面の録画とかを知り合いに流されたくなかったら下記のアドレスにbitcoin送ってね(=´∀`) |
| 22 | +
|
| 23 | +といった内容でした(もっと堅い英語だったけど) |
| 24 | +まぁちょっと動揺したのですがとりあえず、このドメインを管理している知り合いと、技術者である父親に相談しました |
| 25 | + |
| 26 | + |
| 27 | +# 現状の分析 |
| 28 | + |
| 29 | +とりあえず現状がわからないのでPCをオフラインに。 |
| 30 | +現状わかっているのは |
| 31 | + |
| 32 | +- 自分のメアドからメールが来た |
| 33 | +- そのメールサーバーには度々繋がらなくなるor繋がるけどエラーが出る |
| 34 | + |
| 35 | + |
| 36 | +メールの内容を考えてみます。 |
| 37 | + |
| 38 | +## メール本文と会話する(会話なのでタメ口です) |
| 39 | + |
| 40 | +> 君のメアドから送られてるでしょ?クラックしたんだよ |
| 41 | +
|
| 42 | +うんなるほど?そうっぽいね |
| 43 | +しかしどうやったのだろうか |
| 44 | + |
| 45 | +> PCをクラックしてパスワードを盗んだよ(\*・ω・)ノ) |
| 46 | +
|
| 47 | +らしいのだが **PCからそのメアドにログインした覚えはない** (重要) |
| 48 | + |
| 49 | +> Webcamで撮った映像とか画面録画とか、バラされたくなかったらbitcoin送ってね(ノ≧ڡ≦)☆ |
| 50 | +
|
| 51 | +うん。嫌だね。でも送るのも嫌だ。 |
| 52 | + |
| 53 | +> 君のPCクラックングしてるから、このメール読んだのも気づいてるよ。48時間以内に払ってね、それじゃ☆(ゝω・)v |
| 54 | +
|
| 55 | +...にゅ〜...私の操作監視してるなんて暇かな...??(実際は ~~ちょっと~~ 焦った) |
| 56 | + |
| 57 | +## 本文からの考察 |
| 58 | + |
| 59 | +とりあえず、たとえクラッキングされていたとして、 **PCからメアドにログインした覚えはない**のです。 |
| 60 | +昔はログインしていたものの、現在はエラーで見れなくなっています。 |
| 61 | +なので、 **少なくともクラッキングされてパスワードを盗まれたわけではない**だろうと考えました。 |
| 62 | + |
| 63 | +## 他の人に意見を聞いてみる |
| 64 | + |
| 65 | +身近にいたので技術者な父に聞いてみました |
| 66 | + |
| 67 | +> そもそも鯖に繋がりにくい状況なら、鯖側(y-modify.org側)がクラッキングされてたりしないか? |
| 68 | +> とりあえず管理者に聞くしかないが、PCのクラッキングではないだろう |
| 69 | +
|
| 70 | +とのこと。鯖の管理は私ではないので、とりあえず管理している友人に報告&相談することにしました。 |
| 71 | +同じ団体の人に情報共有したところ、 |
| 72 | + |
| 73 | +> メアドが漏洩しているかどうか[haveibeenpwned](https://haveibeenpwned.com/)で調べてはどうか |
| 74 | +
|
| 75 | +との助言をもらったので調べたところ、`GeekedIn`からの流出が確認できました |
| 76 | + |
| 77 | +[!pic] |
| 78 | + |
| 79 | +どうやら、昔`GeekedIn`がスクレイピングしたGithubの公開プロフィールが流出し、そのメアドを使われたようです。 |
| 80 | +多分2016年のその流出の際にGithub登録していた人はそれなりの確率で当てはまっているのではないかと思います。 |
| 81 | +これでメアド流出についてはわかりました。が、それだけではまだログインできないはず。パスワードはリスト攻撃でも受けたのだろうか... |
| 82 | + |
| 83 | +ここで、鯖管理者に聞いてみました。 |
| 84 | + |
| 85 | +> (メールの)生のヘッダを見て |
| 86 | +> 多分真の送信元は違うところ |
| 87 | +
|
| 88 | +## メールのヘッダを読む |
| 89 | + |
| 90 | +スマホでは確認方法がわからなかったのでPCから確認してみます。 |
| 91 | +そしてこの時**宛先(To)と実際に受け取ったメアドが違う**ことに気がつきました。確かに偽造されていそうだな...? |
| 92 | +そして実際に見たヘッダがこちら |
| 93 | + |
| 94 | +[!pic] |
| 95 | + |
| 96 | +注目するのは以下 |
| 97 | + |
| 98 | + |
| 99 | + |
| 100 | + |
| 101 | +
|
| 102 | +ここでの違和感は: |
| 103 | + |
| 104 | + - `From:`と`Return-Path:`の値が違う |
| 105 | + |
| 106 | +前者は現状謎なので置いておきます。 |
| 107 | +`Return-Path`について調べると、これは受信側でSMTPエンベロープから作成されるようで、本当の送信元を見分けるのに適しているようです。 |
| 108 | + |
| 109 | +- [エンベロープ From と Return-Path と Errors-To と](http://blog.smtps.jp/entry/2018/04/18/112026) |
| 110 | +- [IA japan 本当の差出人のメールアドレスを知ることはできますか?](https://salt.iajapan.org/wpmu/anti_spam/universal/measure/return-path/) |
| 111 | + |
| 112 | +これにより、「別のメアドから送信元を偽造して送られていた」ということがわかりました。 |
| 113 | + |
| 114 | +# 結論とまとめ |
| 115 | + |
| 116 | +- 実際にはメアドを乗っ取られたわけでもなく、送信元を偽造されていただけだった |
| 117 | +- メアドはGithubスクレイピングしていた企業から漏れていた |
| 118 | +- メールの送信元を確認するには**ヘッダーの`Real-Path`を確認すると良い** |
| 119 | + |
| 120 | +--- |
| 121 | + |
| 122 | +# あとがき |
| 123 | + |
| 124 | +自分のメアドから、「ハックされたよ!!」というタイトルのメールが来るのでITに疎い人は騙されそうだなと思い他の家族に話したところ、「そもそも送信元を見ないから大丈夫」「少しでも面倒と感じたら見ないから大丈夫」などと力強い言葉をいただきました。 |
| 125 | + |
| 126 | + |
0 commit comments