盗まれたアカウント情報の行方
Published: 2010/09/14
ftpやウェブサイトのアカウント情報を奪われた結果こうなる例の一つ。
事象の詳細はこのあたりです。
薬や時計の広告メールで、
そのメール文面に埋め込まれている誘導URLが
http://xxxxxxx/uuu/xxx数字2桁.html
となっているのが特徴。
uuuの部分がユーザーホームっぽいものが多数。
このURLにアカウント情報を盗まれたサイトが利用されているようです。
アクセスするとスパムの文面のとおり薬や時計の広告ページです。
たぶん、こんなモデルだと思われます。
2010年4月ごろまではこのような単純な形で、8080とかgumblar系?で収集したアカウント情報を利用して、そのサイトを改竄して広告ページを仕込む。そして数%の確率で攻撃サイトへ飛ばすiframeを仕込まれており、さらにアカウント情報の収集を行う当たりサイトがある。
2010年5月ごろからリダイレクタを組み合わせた複雑な構造を取るようになりました。
一段目の入り口サイトにはやはりアカウントが盗まれたサイトが利用されて改竄されているようで、ほとんどが広告サイトにリダイレクトされますが、やはり数%の確率で、攻撃サイトへのリダイレクトやiframeが仕込まれている当たりサイトがあり、8080系やindex.php系などで利用されていた手法で攻撃されアカウント収集が行われているようです。
で、この攻撃は2009/12/27ごろから捕捉していまして、9月までに収集した、一段目のアカウントを盗まれて利用されているサイトについてまとめるとこのような感じ。
まず、国別存在数。
USが全体の34%程度です。
次にAS別
AS | AS name | サイト数 |
---|---|---|
21844 | THEPLANET-AS2 | 1552 |
8560 | ONEANDONE-AS | 939 |
26496 | NO_ENTRIES | 795 |
36351 | SOFTLAYER | 419 |
16276 | OVH | 326 |
16265 | LEASEWEB_Netherlands | 255 |
24940 | NO_ENTRIES | 246 |
32475 | NO_ENTRIES | 217 |
9371 | SAKURA-C | 217 |
32244 | LIQUID-WEB-INC | 193 |
12824 | NO_ENTRIES | 170 |
9121 | NO_ENTRIES | 167 |
33182 | NO_ENTRIES | 165 |
26347 | DREAMHOST-AS | 131 |
32613 | IWEB-AS | 130 |
3595 | NO_ENTRIES | 128 |
16245 | NO_ENTRIES | 121 |
25532 | NO_ENTRIES | 118 |
27715 | NO_ENTRIES | 116 |
20773 | NO_ENTRIES | 112 |
21788 | BurstNet | 107 |
4713 | OCN | 107 |
日本だけ抜き出すとこんな感じ
AS | AS name | サイト数 |
---|---|---|
9371 | SAKURA-C | 217 |
4713 | OCN | 107 |
9370 | SAKURA-B | 87 |
4694 | IDC | 62 |
2516 | KDDI | 61 |
37907 | DIGIROCK | 28 |
2514 | InfoSphere | 27 |
2497 | IIJ | 25 |
17506 | UCOM | 23 |
4732 | DION | 17 |
10026 | ANC | 16 |
17676 | GIGAINFRA | 13 |
9597 | CPI-NET | 13 |
17511 | K-OPTICOM | 12 |
7678 | PROX | 11 |
2519 | VECTANT | 9 |
7506 | INTERQ | 9 |
17691 | TIKITIKI | 7 |
17707 | EDGE-JP-AP | 7 |
7514 | MEX | 7 |
9595 | XEPHION | 7 |
10006 | SECOMTRUST | 6 |
18126 | CTCX | 6 |
23824 | FUTURE | 6 |
4725 | ODN | 6 |
9600 | SONYTELECOM | 6 |
4716 | POWEREDCOM | 5 |
9353 | MEDIAWARS | 5 |
10015 | CWJ-NET | 4 |
2518 | MESH | 4 |
7511 | SYNAPSE | 3 |
7516 | TOHKNET | 3 |
10010 | TOKAI | 2 |
17514 | AICS | 2 |
17941 | BIT-ISLE | 2 |
23820 | RAKUTEN | 2 |
ホスティングやブログ作成サービスです。。。
アカウント情報を盗まれる被害は継続しているということで。。。
by jyake