まにゅださ 今日のひとこと
|
最新のツッコミ: |
備忘録:
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2008-08-14 [長年日記]
_ Re: Yahoo! アカウント乗っ取られ
Yahoo! アカウント乗っ取られについてもう少し詳しく書いておこう。自分のYahoo!IDを仮に manudasa としておく。これが通常 Yahoo! やヤフオクを使う時のIDね。で、Yahoo!メールの方は manudasa@yahoo.co.jp ではなく、別のアドレスを使いたかったので、メールアドレス変更でメール用のアドレスを変更しておいた (記録によると2001年1月より前)。これを ma3xx@yahoo.co.jp としておこう。Yahoo!メールにログインすれば、IDはmanudasaで、アドレスはma3xx@yahoo.co.jpで使えるってこと。「Yahoo! JAPAN IDとは別名のメールアドレスを持ちたい!」の方がいいからね。IDはオークションとかですぐにわかっちゃうでしょ。ma3xx@yahoo.co.jpはWebメールなんかからも一切使わずに、fetchmail で自鯖に取り込む設定で使っていた。だからmanudasaとma3xxの間に関連があることを知っているのは自分だけ(あとはYahoo!側だけ?)。
んで、この乗っ取られがされた時のログを見ると、ma3xx でオークションに一発で入ってきている。その後に、ma3xx でYahoo! JAPANに入ってパスワードの再確認している。それでこちらは manudasa でトップから入ってパスワードを変えようとしたら先を越されていたので、パスワードの再発行をして防御したってわけ。向こうは一貫して ma3xx のメール用IDでアクセスしてきていた。manudasa は一切使ってこなかった。参考までにその時のアクセス履歴を加工したものを置いた。こちらの ID が manudasa であることは気が付いていないのか。そもそも自分自身もメール用のIDでYahoo!のその他のサービスにアクセスできるなんて知らなかったけど。
これらの状況から、アタッカーはYahoo!オークションからIDを見つけて不正アクセスしてきているのではなく、Yahoo!メールの方からパスワードクラックとか、サーバの脆弱性を突くとか、とにかくメール関係からIDを得て、パスワードを入手して使ってきているのではないかと推定できる。個人(自分)から情報が漏れている可能性だが、ma3xx はWindows上からは使っていないし、漏れるとしたらfetchmailでIDとパスワードが流れる時だけなので、スパイウェアとか、マルウェアとか、フィッシングとかは考えにくい。他の多数の被害者がLinux+fetchmailを使っているなんてことないよね。あと、POP3で使っている人は多いだろうが、Yahoo!メールの上流でストリーム解析でもしてIDとパスワードを取るなんてことも現実的ではないよね。この後は ma3xx 宛のメールは全部転送設定にしたので fetchmail の使用もやめたけど。これでIDとパスワードが流れることもない。
ってことで、Yahoo!メールからIDを得て、パスワードクラックか、脆弱性を突いてパスワードを入手しているのか、内部から漏れているのではないかという結論を導いたわけだけど。
_ Willcom 偉い
昨年まではDoCoMoのPHSを使っていたので、実家周辺では圏外でつながらなかった。昨年の11月にWillcomのPHSにしたが、ちゃんとつながるねぇ。やるねぇ、Willcom!
_ 山の天気は
変わりやすい。実家のあたりは晴れている。山の方はどんよりしている。お墓参りに行く。母方の方のお墓は晴れていた。父方の方のお墓に移動中に大雨に。雨の中の墓参。んで、帰りにスーパーに寄るのだが、晴れ。本当に部分的に大雨。降っていないところはまったく降っていない。
ランキング: 1.MC-4(3) 2.あや(1) 3.つれづれ管理人です。(1) 4.瀧田博明(1) 5.akihikok(1)
来訪者:
本当に丁寧な解説ありがとうございます。<br>とても参考になりました。
私も、今後のスキルアップと<br>現仕事の、ウェブサーバー運用支援していく上で<br>大変参考になりました。<br>丁寧なご解説、有難うございました。