タグ:Microsoft
WordPressサイトへの不正ログイン試行はこれだけあった

WordPress のプラグインである「User Login History」を使用してサイトへの不正ログインを監視していますが、最近の傾向をざっと統計処理してみた結果、昨年(2021年)に比べて最近(2022年)はかなり増えたなという印象を受けました。特に特定のIPアドレスからの不正ログイン試行がひどいようです。

 

この記事では、当方の管轄するWord Pressで作成されたWebサイトふたつについて、2020年6月から2022年9月までの27か月間(2年と3か月)の不正ログイン試行によるログイン失敗事例についてまとめています。

 

☆ ☆ ☆ ☆ ☆ ☆ ☆

 

サイトはいずれもWordpressで作成していて、「User Login History」というプラグイン (作者: Er Faiyaz Alam、記事作成時のバージョンは 2.1.0 ) を使用して今回のデータを取得しています。便宜上、仮にサイトAとサイトBとしておきます。(サイト名は非公開です。)

 

まず、時系列で見てみると、次のようになります。

 

不正ログイン失敗回数 (サイトA および サイトB について)

 

この図は、ログイン失敗と判定された試行の回数を時間軸でみたものです。サイトごとに少し異なりますが、昨年(2021年)に比べて最近(2022年)はかなり増えているという印象を受けます。

 

実際の取得データのIPアドレス別に、ログイン失敗と判定された試行の回数を集計すると次の表のようになります。IPアドレスの番号の若い順に、事業者または国名コードとともに、サイトA、サイトBのそれぞれの回数を数値で示しています。

 

IPアドレス別の不正ログイン試行回数
(サイトA および サイトB について)

 

 

 

 

 

これをさらにまとめたものが次の表および図になります。

 

 

 

残念ながら、IPアドレスまでしかデータは取得できないのですが、Whois 検索によって、IPアドレスを管轄している事業者または国名までは追跡することができます。

 

この表や図から、不正ログイン・不正アクセスを試みているIPアドレスが判明します。
特に、MicrosoftとAmazonが管轄しているIPアドレスから、不正ログインが多数回試みられていることがわかります。

 

参考までに、どのようなブラウザとOS(オペレーションシステム)が用いられたかを記しておきます。

 

不正ログインに使われたブラウザの種類

 

 

不正ログインに使われたOS(オペレーションシステム)の種類

 

これを見ると、OSは Windows で、しかもブラウザは Chrome が圧倒的に多いことがわかります。大多数の人が使っているものですね。

 

☆ ☆ ☆ ☆ ☆ ☆ ☆

 

以上、Wordpress サイトの不正ログイン試行によるログイン失敗事例について、2020年6月から2022年9月までの27か月間(2年と3か月)のデータをまとめてみました。なんらかのご参考にしていただければ幸いです。

 

ただし、不正ログイン対策に関しては、ここでは触れません。というのも、Wordpress を使用している限り、ログインIDとパスワードの入力からは逃れられないからです。残念ですが、パスワードを、他と異なる、より複雑なものにすることくらいしかできないでしょう。

 

(2022-10-3) abcd1234 .

 

 

 

この記事作成に使用した生データは次のとおりです。(PWは管理者まで問い合わせ下さい)

不正ログイン監視リスト (202006-202209) I

 

 

詐欺メールはどこからやってくるのか?

本物そっくりの詐欺メールがたくさん届くようになってきました。ふつうは、これらの詐欺メールは、プロバイダの電子メールシステムの選別機能(フィルタ)が働いて「迷惑メールフォルダ」に届くようになっているはずですが、なかには、巧妙にフィルタをすり抜けて、通常の「受信箱」に届くものがあります。

 

いったいこれらの詐欺メールはどこからやってくるのでしょうか?

 

ここでは、当方あてに通常の「受信箱」に届いたこれらの詐欺メールを、メールヘッダーから解析して、アドレスやサーバーなどのWHOIS情報を参考に、分類してみたので、その結果を記述します。

 

対象のメールは、2021年1月1日から5月27日までのおよそ5か月の期間に、本来「迷惑メールフォルダ」行きのはずであるが何らかの理由で通常の「受信箱」に届いた詐欺メール167件です。(実際の「迷惑メールフォルダ」に届いた詐欺メールは、この十倍から数十倍以上はあります。その一部が漏れて「受信箱」に入ってしまったと考えています。)

 

なお、ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていません。(これらについては、ネット上に優れた記事がたくさんあります。)

 

1. 詐欺メールの内訳

 

届いた詐欺メールには、アカウントとカード情報を抜き取るもの、カード情報を抜き取るもの、サイトへのログイン情報を抜き取るもの、出会い系サイトへ誘導するもの、脅しをかけて不正に送金を要求するもの、があります。

 

これらの件数の内訳と割合は次のとおりです。

 

【詐欺メールの内訳】

 

【詐欺メールの内訳】

 

アカウントとカード情報を抜き取るもの、カード情報を抜き取るものをあわせて全体の3分の2の113件に達していることがわかります。

 

その他は、出会い系サイトへ誘導するもの、脅しをかけて不正にBitcoinの送金を要求するものなどでした。この記事では、出会い系サイト誘導と送金要求については割愛します。

 

2. 詐欺の対象物

 

このアカウントとカード情報を抜き取る113件について、どのアカウント情報、どのクレジットカード情報を詐欺の対象としているかについて分類してみると、次のようになります。

 

【主な詐欺の対象物】

 

【カード対象物の内訳】

 

圧倒的に、Amazonに関するものが過半数、次いで、楽天に関するものとなっています。また、主要なクレジットカード会社に関するものが見られます。

 

3. どこの国からこの詐欺メールはでている?

 

これらの実際のメールには、メール本文の中にクリックする箇所が必ずあります。


そのURLのドメイン情報を調べました。

また、メールヘッダーと呼ばれる部分に、発信者の情報、発信元メールサーバーの情報、メールソフトの情報、日本語文字コードの情報などが記述されています。

 

【メールヘッダーの例 (1)】

 

【メールヘッダーの例 (2)】

 

まともな普通のメールであれば、送信者のメールアドレスからわかる国名、発信元メールサーバーがある国名、本文中のサイトのURLがあらわす国名は、一致することが多いとおもわれます。

 

ところが、ここで取り上げた詐欺メールは、これらが一致しないことが多いのです。

 

4. どこの国からこの詐欺メールはでている?

 

メールヘッダーに記載されている発信者のIPアドレス、発信元メールサーバーのURL、本文中にあるクリック誘導のURLのドメイン、それぞれをWHOIS情報をもとに、国名を調査した結果を次に示します。

 

【国別リスト】

 

【送信者メールアドレス(国別)】

 

【発信メールサーバー(国別)】

 

【情報入力先URL(国別)】

 

 

これらを見る限り、非常に偏っていることがわかります。もちろん調査しても不明なところはありましたので、精度はやや低いですが、それでもおおよその傾向はわかります。

 

詐欺メールの送信者は、不明を除くと、日本、次いで中国の順です。しかし、本文中の情報を入力させるためのURLは、不明を除くと、中国が圧倒的に一番となっています。


また、どの国のメールサーバーから発信されているかを見ると、日本、シンガポール、米国、ロシア、香港などばらばらです。

 

この結果をひとことでいうと、これらのアカウント・カード情報を詐取するのは主に中国のサイトですが、メール自体は日本から正規に発信されたように見せかけて、シンガポール、米国、ロシア、香港などの第三国のサーバーを経由して追跡しにくくしている、というように見えます。

 

このアカウントとカード情報を抜き取る113件の詐欺メールのメーラーソフトは、大半がMicrosoftのものですが、一部、中国製のFoxmailが使われていました。

 

【詐欺メールのメールソフト】

 

また、メール本文の日本語文字コードは、大半がUTF-8でしたが、中国のGB2312も一部にありました。

 

【詐欺メールの文字コード】

 

これ以上の追跡はしていませんが、やはり中国のまたは中国に関係した詐欺グループが多いと見るのはそれほど外れていないようです。Silent invasion がここにもと考えるのは考え過ぎでしょうか。

 

5. 終わりに

 

ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていませんが、怪しいメールにはじゅうぶん注意しましょう。

 

怪しいとおもったら、発信者情報(メールアドレス、メールヘッダーに記載してあるメールサーバーのアドレス、発信者のIPアドレスなど)を調べて、本物か偽物の判断をしましょう。

 

(2021-6-2)

 

 

なお、本調査で使用した元のデータと図表のまとめ資料については、以下をごらんください。(PWについてはサイト管理者までお問い合わせ下さい。)  phishingemail .

 

→  元のデータ (Excel)

→  図表のまとめ資料 

.