不正アクセス記録解析
ヤフーのログイン履歴に残された乗っ取り犯の足跡を追ってみました。
↓最初の不正ログインと思われるものは、出品前日の夜で、一発で成功ログインでした。
1、08月27日(水曜日)23時45分48秒 オークション ログイン 成功 123.149.20.65 中国
HOST : (Can't resolved.)
↓次に、出品開始直前に3件の不正ログインがありましたが意外なことにそれは日本から。
2、08月28日(木曜日)19時39分04秒 Yahoo!JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
3、08月28日(木曜日)19時39分09秒 Yahoo!JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
4、08月28日(木曜日)19時39分27秒 Yahoo!JAPAN ログイン 成功 221.170.4.213 日本
HOST : FLH1Aar213.hyg.mesh.ad.jp(ビッグローブ・兵庫)
↓いよいよ出品のためのログインが次のものだと思われます(なぜか前のIPと違っていて今度は
中国から)。
出品は19時41分に始まり、1分あたり3~5点のペースで自動出品、出品終了は20時14分で
総出品数は114点でした。
不正出品監視グループの方の違反商品申告第一便が入ったのが20時11分。その後続々と
違反申告が入っていたのですが、Yahooはほったらかしで、結局乗っ取り犯の出品が最後まで
成立してしまいました。
5、08月28日(木曜日)19時40分03秒 オークション ログイン 成功 59.38.13.24 中国
HOST : 24.13.38.59.broad.zh.gd.dynamic.163data.com.cn
↓出品の最中、同じIPからヤフーのサイト内の別のページに2回アクセスが続きます。
パスワードが変更されたりしていないか、確認していたのでしょうか?
6、08月28日(木曜日)19時52分42秒 ポイント パスワード再確認 成功 59.38.13.24 中国
HOST : 24.13.38.59.broad.zh.gd.dynamic.163data.com.cn
7、08月28日(木曜日)19時54分37秒 トップページ パスワード再確認 成功 59.38.13.24 中国
HOST : 24.13.38.59.broad.zh.gd.dynamic.163data.com.cn
↓出品終了10分後、一度試しに(?)ログインしたようです。
8、08月28日(木曜日)20時21分11秒 オークション ログイン 成功 59.38.13.24 中国
HOST : 24.13.38.59.broad.zh.gd.dynamic.163data.com.cn
↓前回の大量出品終了からおよそ3時間後、どういうことか、違うIPからのログインで、再び不正出品開始。
今度の出品は23時25分に始まり、前回と同じようなペースで23時47分まで続きます。総出品数105点。
3時間前の大量出品で多数の違反申告がなされていたにもかかわらず、ID使用停止にならなかったため
2回目の出品をやられてしまったということになります。何やってんだよ! Yahoo!のアホ・・・ですね。
結局、Yahoo!がオークション取り消しの措置を取ったのは出品が終わり、日が変わった00時12分でした。
9、08月28日(木曜日)23時20分07秒 オークション ログイン 成功 222.161.2.27 中国
HOST : (Can't resolved.)
↓この第二回目の大量出品直前に、第一回出品の直前の不正アクセス(2・3)と同じIPからログインが3回。
10、08月28日(木曜日)23時20分54秒 Yahoo! JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
11、08月28日(木曜日)23時21分06秒 Yahoo! JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
12、08月28日(木曜日)23時23分31秒 Yahoo! JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
↓同じく出品直前に(4)と近いIP(HOSTはビッグローブ・兵庫)からのログインが1回。
13、08月28日(木曜日)23時23分35秒 Yahoo! JAPAN ログイン 成功 221.171.137.234 日本
HOST : FLH1Aau234.hyg.mesh.ad.jp(ビッグローブ・兵庫)
↓オークション取り消し直後、(2・3・10・11・12)と同じIPから。
14、08月29日(金曜日)00時12分48秒 Yahoo! JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
↓次の不正ログインは初めて出るIPだがHOSTはビッグローブ・兵庫だから同じか。
15、08月29日(金曜日)00時13分01秒 Yahoo! JAPAN ログイン 成功 60.237.153.49 日本
HOST : FLH1Ace049.hyg.mesh.ad.jp(ビッグローブ・兵庫)
↓そして翌日の昼、IDがまだ使えるかどうか確認するためか?(2・3・10・11・12・14)と同じIPから。
16、08月29日(金曜日)13時27分37秒 Yahoo! JAPAN ログイン 成功 121.80.4.165 日本
HOST : smart.e-conveni.net
この中に出てくるHOST名「smart.e-conveni.net」とは、ヤフーオークションなどへの一括出品ツール
を提供している、「eコンビニ」というドメインですが、うーん、どういうことなんでしょうか?
少なくとも、大量出品自体は中国からなされていますが、それを補助(?)するアクセスが日本国内からなされているらしいということはわかりました。
また、ログインの失敗無しに一発で不正ログインしていることから、いくつかのパスワードでログイン試行して、本当のパスワードを探り当てたということでないのは確実です(ちなみに自分のパスワードはIDとは違う文字列でした)。つまり、あらかじめIDとパスワードを手に入れていたということです。朝日新聞夕刊にYahoo!の見解として書かれていた”中国からIDやパスワードを当てずっぽうに打ち込まれ、解読されたとみられる手口が目立つ”というのは、全くのでたらめだということがわかりました。(被害者ネットワークで報告されている他の事例でも全てが一発で成功ログインされています)
それにしても、こういうことを調べるのが専門のYahoo!Japanのスタッフとか、警察のサイバー犯罪担当とかならば、他の多くの被害事例をつき合わせて、真相にたどりつけそうなものです。
要は、ヤル気ないんでしょうかね。
| 固定リンク | コメント (4) | トラックバック (0)

最近のコメント