since 2007.8 by K-ichi

盗られた。

アソシエイトからメールで送られてくるアマゾンギフト。バタバタしていて、6月24日に届いたものを30日に登録。……しようとしたところ、
別のアカウントに登録済みです。
いやいやまだ登録してなかったはずだし、残高・利用履歴にもない。しかし、何度繰り返しても結果は同じ。だいたい「別のアカウントに」ってのは何なんだ?


ググってみると、それなりに起きていることらしい。
もっとあった印象だが、拾ってみると正味数では4件。
毛色は違うが、アカウント自体に侵入されたという話もある。
後者のアカウント侵入については、比較的丁寧な対応がなされている。


さて問題の前者。
ネット上では、アマゾン(アソシエイト)との様々なやり取りが紹介されている。当方では、他に類を見ない究極に洗練されたメールを頂いた。
おそらく最終形態であろう、ミニマルデザインを極めたそれなので貼っておく。
〓〓様

Amazon.co.jpアソシエイト・プログラムにお問い合わせいただき、ありがとうございます。

確認したところ、該当のAmazonギフト券は既に別のアカウントへ登録されております。

お手数をおかけいたしますが、第三者機関へのご相談をお願いいたします。

その他にもご不明な点がございましたら、ご遠慮なくお問い合わせください。
アソシエイト・プログラムをご利用いただき、ありがとうございます。

Amazon.co.jp カスタマーサービス アソシエイト・プログラムスタッフ

ご利用ありがとうございました。
Amazon.co.jp



---- お問い合わせ内容 ----
(省略)
---------------
盗難報告返信用テンプレートそのものか。なお、引用部は省略した。

問い合わせは「アマゾン」にしたはずなのだが、「アマゾン・アソシエイト」が答えている。文面には「Amazon.co.jp」とあり、メールの差出人は「〓〓@amazon.co.jp」であり「Amazon.jp」を名乗る。要するに、アマゾン系は一体らしい。
にもかかわらず、盗んで使ってるアマゾンアカウントを調べるとか、受け取りアカウントに紐付けした盗難対策を考えるとか、そんな気はさらさら無い模様。


警察等へ行ったところで、解決の見込みは無い。解決は無理でも背景を理解することは有用ではないか。今後の対策に生かせるかもしれない。
メールアカウント側で調べられないか、プロバイダ(DTI)に相談してみた。

しかし、要領を得ない。かの石田宏樹サポート時代のレベルを求めるのは酷だろうが、それにしても。会社の顔でもあるサポート窓口なのに、アルバイトのよう。
「プロバイダ責任制限法」でとか「この窓口にはデータがない」とか。同法について解説してあげると、サーバのログは「個人情報」などと言い出す始末。
文章は長くて、参照リンクも多くて、文言は丁寧だけど、法もシステムも何も理解してない。現在の石〓〓サポートは、あまりに残念すぎる。


正攻法では無理なことを見越して、ちょっと餌を撒いてみた。餌代は45円。ハゼ釣りより安い。
【下準備】
餌を準備する。
アマゾンで3通のギフトを購入。仮にA、B、Cと名づける。
【準備1】
ギフトAは、購入後すぐにローカル(手元のPC)に移す。
ギフトBは、アソシエイト偽装しメールサーバに置いておく。
ギフトCは、そのままの状態でメールサーバに置いておく。

アソシエイト偽装とは、アソシエイトからのギフトメールのギフトコード部分のみ書き換えたもの(後述)。これをメーラで送るとヘッダなどが変わるかもしれないので、telnetを使って送信(後述)した。
メーラには、OE(Outlook Express)を使っている。送受信してもサーバに残すには、アカウント設定内の「サーバにメッセージのコピーを置く」にチェックを入れておく。
【実験1】
7月20日夕方、敢行。
7月21日昼過ぎ、ギフトB盗難。

ギフトコードが登録されると、開封された旨のメールがアマゾンから届くので確認できる。
ためしにギフトBのコード登録を試みると、本記事冒頭の赤いメッセージが表示された。
【準備2】
ローカルの危険度は低そうなので、ギフトAに犠牲になってもらう。
ギフトAをアソシエイト偽装し、サーバに置く。
その前に、メールアカウントのパスワードを変更しておく。
【実験2】
7月23日夕方、敢行。
7月29日深夜、終了。

約1週間置いたが、被害はなかった。
【準備3】
メールアカウントのパスワードを従来のものに戻す。
サーバ側は変更なし。
【実験3】
7月29日深夜、敢行。
8月2日夕方、ギフトA盗難。
【考察】
メールサーバ上に置いてある、アマゾン・アソシエイトからのギフトメールだけを機械的に狙っている模様。
パスワードはすでに漏洩していると思われる。

メールのパスワードは8文字で、大文字小文字数字を組み合わせたランダムな文字列としていた。
ただしかなり長期間使っており、またクリティカルでない別用途とも共用していた。漏れても不思議はない使用状況ではあった。

じつは本件の数日前、Googleアカウントにも不正アクセスがあった。
他のユーザーがあなたのパスワードを使用しました
Googleはこのアクセスを撥ね、アクセス元などを確認するよう、再設定用メールに連絡をしてきた。確認すると、中国江西省からIE9で来ていた。
「正しいパスワードでログインしたが、いままでにない中国発だったので切った」という、この意味をしっかり理解していれば……

前述にもあるように、餌のアマゾンギフトは、最低金額の15円。
アソシエイトからのギフトは500円以上と決まっており、メールが読める人なら齟齬に気づく。ギフトコードのみの書き換えなので、有効期限なども間違っている。
一方で、この実験中ずっとサーバにあった普通のアマゾンギフトは無傷のまま。
漏れたパスワードリストを使ってメールアカウントに侵入、アソシエイト発のギフトメールを検出し、コードだけを吸い出していく。そんなボットが動いているのを想像する。

もっとも、記事冒頭の被害例4件目のようなものもある。もしかしたら手工業かもしれないし、つながりのない別働隊がいるのかもしれない。
たまたまアソシエイト・ギフトと共通の検出フラグがあって、ボットに攫われたのかもしれない。事実は本人にしか判らない。

被害例の2番目には、Yahooメールでのアクセス状況が記されている。中国、アメリカからの、心当たりのないIMAPアクセスが並んでいる。
DTIのメールサーバも似たような状況と思われる。ただしヤフーのように、ログを確認したり、アクセス制限を行ったりといった対策はできない。

残念ながら、パスワードが漏れた場所はわからない。対策としては、パスワードは個別にし、定期的に変えるぐらいしかないが、不安も残る。
アソシエイトからは毎月20日過ぎに来るようなので、20日から月末まではメーラを起動しっぱなし、5分おきぐらいに新着チェックし続けてどんどんローカルに移す、ぐらいしないとダメかもしれない。
アソシエイトからのアマゾンギフトを使わない、という手段もあるが、稼ぎと比較するとコスト的に微妙なところ。




実験で行った、アソシエイト偽装とtelnet送信については、以下のように行った。

まず、アソシエイトから来たギフトメールをローカルに保存し、メモ帳などで開く。
HTMLメールなので、ごちゃごちゃ意味不明な文字列が続くが、既存のギフトコード部を「検索」などで探し出し、新たなギフトコードに書き換える。書き換える場所は1箇所のみ。
一旦保存しておく。

telnetは、Win7標準ではインストールされてない。
「コントロールパネル」の「プログラムと機能」から、「Windowsの機能の有効化または無効化」を選択。小窓が開くので「Telnetクライアント」にチェックを入れて有効化する。

telnetによるメール送信は、「コマンドプロンプトだけでメールを送信する」ページを参考にした。

nslookupは、gmail.comの部分を自分のメールのドメインに変えて行う。
サーバを確認したらtelnetでの処理になるが、telnetは訂正が利かないらしい。打ち間違えてBackspaceなどを押すと文字が化ける。
heloに続くホスト名は、一番下のReceived行に書かれる。判りやすい名前にしておくとよい。
mail from:は空欄「<>」で通った。後でデータを送る際に、Fromヘッダも込みにするので、差出人が空欄になることはない。
rcpt to:は、送り先(<>で囲った自分のメールアドレス)を記入する。Toヘッダに対応する。
dataは、先に改変して保存しておいたアソシエイト偽装メールの、From行以下をまるごとコピペする。これで、Fromなどヘッダの一部と、HTMLメール本体すべてが送られる。
最後はピリオドのみ入力して送信が完了する。

もたもた入力していてもサーバは待ってくれる。ともかく間違えないように入力する。
その後OEで受信すれば、いま送ったものが受信される。サーバにコピーを置く設定なら、サーバ上にも残しておくことができる。

0 件のコメント:

コメントを投稿

.

関連記事


この記事へのリンク by 関連記事、被リンク記事をリストアップする」記事

ブログ アーカイブ