Gotchuのブログ一覧

で、早速の続き(笑

補足事項をいくつか。

・ログイン履歴はどうだったのか
もちろん　出やがりました～
モロに怪しいのがズバリのタイミングでいやがります。


なのでWhoisかけてみました。

-------------------------------------------------------------
61.145.232.39

inetnum: 61.145.0.0 - 61.145.255.255
netname: CHINANET-GD
country: CN
descr: CHINANET Guangdong Province Network
admin-c: CH93-AP
tech-c: IC83-AP
status: ALLOCATED NON-PORTABLE
changed: dingsy@cndata.com 20070711
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-GD
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC

person: IPMASTER CHINANET-GD
nic-hdl: IC83-AP
e-mail: ipadm@gddc.com.cn
address: NO.1,RO.DONGYUANHENG,YUEXIUNAN,GUANGZHOU
phone: +86-20-83877223
fax-no: +86-20-83877223
country: CN
changed: ipadm@gddc.com.cn 20040902
mnt-by: MAINT-CHINANET-GD
remarks: IPMASTER is not for spam complaint,please send spam complaint to abuse@gddc.com.cn
source: APNIC

-------------------------------------------------------------

121.80.4.165

inetnum: 121.80.0.0 - 121.87.255.255
netname: K-Opticom
descr: K-Opticom Corporation
descr: Umeda-UN Bldg. 3F, 5-14-10 Nisi-Tenma Kita-Ku, Osaka 530-0047, Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@ml.tech.k-opti.com
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20070524
source: APNIC

role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC

inetnum: 121.80.4.160 - 121.80.4.175
netname: SYNTAC-COMUN
descr: Syntac Comunications
country: JP
admin-c: KO5533JP
tech-c: KO5533JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20080627
source: JPNIC

-------------------------------------------------------------

上の61.145.232.39は正にドンピシャでしょ。
ま、コレが後日効くんですが。

問題は下の121.80.4.165。
121.80.0.0から121.87.255.255まで、どエライ持ってるんだけど･･･
何ヤツ？と思ったら[netname:K-Opticom]だって･･･

ソレって関西電力系の光ファイバー屋さんぢゃないの
国内しかも関西限定ぢゃんか！！

China野郎がログインした後にセットでログインしてやがるのはナンだ？
でもう一度見てみると、ブロックに分けられた。

-------------------------------------------------------------
⑤
2008年09月02日（火曜日）02時58分48秒 Yahoo! JAPAN ログイン 失敗 121.80.4.165
2008年09月02日（火曜日）02時21分54秒 Yahoo! JAPAN ログイン 失敗 121.80.4.165
2008年09月02日（火曜日）00時21分15秒 Yahoo! JAPAN ログイン 失敗 61.145.232.39

④
2008年09月01日（月曜日）23時28分37秒 トップページ ログイン 成功 ***.***.***.***
2008年09月01日（月曜日）22時44分08秒 トップページ ログイン 成功 ***.***.***.***
2008年09月01日（月曜日）22時20分40秒 トップページ パスワード再確認 成功 ***.***.***.***
2008年09月01日（月曜日）22時08分25秒 トップページ パスワード再確認 成功 ***.***.***.***

③
2008年09月01日（月曜日）21時58分37秒 Yahoo! JAPAN ログイン 成功 121.80.4.165
2008年09月01日（月曜日）21時56分24秒 Yahoo! JAPAN ログイン 成功 121.80.4.165
2008年09月01日（月曜日）21時55分59秒 オークション ログイン 成功 61.145.232.39

②
2008年09月01日（月曜日）21時55分14秒 Yahoo! JAPAN ログイン 成功 ***.***.***.***

①
2008年09月01日（月曜日）21時54分35秒 Yahoo! JAPAN ログイン 成功 121.80.4.165
2008年09月01日（月曜日）21時46分17秒 Yahoo! JAPAN ログイン 成功 121.80.4.165
2008年09月01日（月曜日）21時17分37秒 オークション ログイン 成功 61.145.232.39
-------------------------------------------------------------

①でChina⇒Kオプチ⇒Kオプチ、恐らく出品第一波
　②はGoログイン（オクの出品メールが来始めたため）
③でChina⇒Kオプチ⇒Kオプチ、恐らく出品第二波
　④はGo慌ててパスワード変更（時すでに遅し）
⑤でChina⇒(時間おいて)⇒Kオプチ⇒Kオプチ、ログイン出来ず。


考えるに・・・
まずChinaからログインしてID/PASS確認後、
関西からKオプチ野郎が出品データ流してやがる。
それも出品用のアプリの特性か必ず2回セット。
1回あたりの出品数に上限あるのかも・・・（Goの乗っ取りは１６１件）

それに初回のChinaログインで一発ログイン成功してる。
で、3回目のログイン失敗では一緒にKオプチも失敗してる。
こりゃデータ流出間違いないでしょ～

あと気になるのは1回目2回目の成功時には、China野郎はオクのTopページに直接ログイン。
なのに3回目の失敗時はYahoo!のTopページに入ろうとしとる。
う～ん、意味わからん・・・


とりあえず、
パスワードは長く（流出だったら意味無いけどね）

できればしょっちゅう替える（メンドクサイよねぇ）

ときどきログイン履歴を見ておく。

他に何ができるっていうわけさ・・・


この件についてはもう１回続く予定。
ラストはヤフオク側の対応について。

木曜のブログにアゲた

Go、ヤフ臆ID乗っ取りに引っ掛かる

の続きです。
ホントはあの日のうちか先週末に家からアゲようと思ったんですが、
余りの急な寒さにすっかりblue入ってました



とりあえず、突如Myヤフ臆IDから異常な出品がされたというお話で
その当日（9/1）Happen状態は木曜のブログにアゲたとおり。

で、翌朝ウチでマイオークションをチェックして出社。
まだ仕事のふられ具合が緩ぅ～いのをイイ事に（イカンて!!）会社で作業開始。

①Yahoo!対応

②同様事件の発生状況調査

③My被害状況のチェック

の３点を平行して。


まずは①Yahoo!対応
前日の夜中に一発Yahoo!ホムペから被害報告＆拡大阻止依頼は入れてましたが、やはり何の返事もありゃしない。
改めて、クサビ入れ～

　　昨夜IDの乗っ取りで大量出品されたと報告させていただいた者です。
　　その後、何とか１つ１つ取り消しできましたが、本日になり調べてみたところ
　　Yahoo!様より出品手数料の請求があるという事らしいのですが、どうなのでしょう。
　　最近、頻繁にこういった事故が発生しているようなのですが、
　　注意喚起の連絡も頂いておりません。
　　また、昨夜報告させていただいた件に関しても、
　　全く反応いただいておりませんがどうなっているのでしょうか。

ま、すぐ返事来るとは期待しちゃいなかったけどね。
（ちなみに反応があったのは9/5。思ったより早かった？？）

続けて②同様事件の発生状況調査を。
「ヤフオク」「ID」「乗っ取り」でググッたら出るわ出るわ～
昨年中盤以降から流行りだした手口で、特に今年夏に入って爆発してるらしい。
ちなみに日本のヤフオクでヤラレる前に、韓国のオクで猛威ふるったらしい。
って事がわかりました。
で、この件についてのブログもできてて情報収集のためになりました。

　　ヤフオクＩＤ「乗っ取り」…被害３０００件、知らぬ間に出品
　　（2008年9月6日 読売新聞）


　　ヤフオクＩＤ盗まれ勝手に出品　手数料請求の被害相次ぐ
　　（2008年9月6日　朝日新聞）

　　つれづれJUNK
　　（この件に特化したブログです）

とりあえず『オレだけぢゃないのね』的な安心はGetしましたが、
先にヤラレた人たちはYahoo!の対応に相当キテル様子。
つまり
今回のGo、同様スグに気付いて出品取り消した場合
当然「あ＾ナニもなくて良かったね～」と思いますわな。
で「こんな事件の被害にあいました」ってYahoo!に報告しても
(1)何の返答もなく、(2)IDを停止し、(3)出品料＋オプション料＋取消料をキッチリ引落しやがるらしい。

うわわ

なので③My被害状況のチェックもやらなきゃ～ってわけでコチラも。

まずはマイオークションの「出品終了分」一覧をチェック。
画面のハードコピーを１ページずつマルチTIFF化して保存。
でデータをWordとExcelにそれぞれ貼り付け（Wordは見るため、Excelはデータ処理用）

次にIDのログイン履歴をチェック。
　　ちなみに見方は・・・
　　Yahoo!Topページの右側、上の方にある「こんにちは *****さん」の横にある[登録情報]クリック
　　パスワード打ち込んでクリック
　　一番上、Yahoo!ロゴの横にある[ログイン履歴]をクリック
　　で見られます。
コチラも面倒ながらマルチTIFF＆Word＆Excel化して保存。
特にログは最近60件分しか表示されないんで取っとかないと、後々必要になっても
きっと（間違いなく）Yahoo!は出して来やがらないので・・・

とりあえず出来そうな事はコレぐらいだったので仕事に戻りました（笑）


そういえば・・・
↓のメールが前の日に来てました。

----------------------------------------------------------------------------
Date: Mon, 1 Sep 2008 23:07:47 +0900 (JST)
From: "○○●●" <**********@yahoo.co.jp>
Subject: 福田さんとうとう
To: ******@yahoo.co.jp

変なタイトルでごめんなさい
オークションに沢山出品していましたが、IDを乗っ取られていませんか？ パスワード盗まれてると思います
メールも管理されていると思います。
----------------------------------------------------------------------------

ID乗っ取りらしきオクをチェックしてるグループ(?)がいるみたいです。
2chにもスレ立ってますわ。


え～っ
とりあえず、また次に続きます。
やっぱ左手だけでキーボード＆マウス使うのはシンドイわぁ～