タグ:whois
WordPressサイトへの不正ログイン試行はこれだけあった

WordPress のプラグインである「User Login History」を使用してサイトへの不正ログインを監視していますが、最近の傾向をざっと統計処理してみた結果、昨年(2021年)に比べて最近(2022年)はかなり増えたなという印象を受けました。特に特定のIPアドレスからの不正ログイン試行がひどいようです。

 

この記事では、当方の管轄するWord Pressで作成されたWebサイトふたつについて、2020年6月から2022年9月までの27か月間(2年と3か月)の不正ログイン試行によるログイン失敗事例についてまとめています。

 

☆ ☆ ☆ ☆ ☆ ☆ ☆

 

サイトはいずれもWordpressで作成していて、「User Login History」というプラグイン (作者: Er Faiyaz Alam、記事作成時のバージョンは 2.1.0 ) を使用して今回のデータを取得しています。便宜上、仮にサイトAとサイトBとしておきます。(サイト名は非公開です。)

 

まず、時系列で見てみると、次のようになります。

 

不正ログイン失敗回数 (サイトA および サイトB について)

 

この図は、ログイン失敗と判定された試行の回数を時間軸でみたものです。サイトごとに少し異なりますが、昨年(2021年)に比べて最近(2022年)はかなり増えているという印象を受けます。

 

実際の取得データのIPアドレス別に、ログイン失敗と判定された試行の回数を集計すると次の表のようになります。IPアドレスの番号の若い順に、事業者または国名コードとともに、サイトA、サイトBのそれぞれの回数を数値で示しています。

 

IPアドレス別の不正ログイン試行回数
(サイトA および サイトB について)

 

 

 

 

 

これをさらにまとめたものが次の表および図になります。

 

 

 

残念ながら、IPアドレスまでしかデータは取得できないのですが、Whois 検索によって、IPアドレスを管轄している事業者または国名までは追跡することができます。

 

この表や図から、不正ログイン・不正アクセスを試みているIPアドレスが判明します。
特に、MicrosoftとAmazonが管轄しているIPアドレスから、不正ログインが多数回試みられていることがわかります。

 

参考までに、どのようなブラウザとOS(オペレーションシステム)が用いられたかを記しておきます。

 

不正ログインに使われたブラウザの種類

 

 

不正ログインに使われたOS(オペレーションシステム)の種類

 

これを見ると、OSは Windows で、しかもブラウザは Chrome が圧倒的に多いことがわかります。大多数の人が使っているものですね。

 

☆ ☆ ☆ ☆ ☆ ☆ ☆

 

以上、Wordpress サイトの不正ログイン試行によるログイン失敗事例について、2020年6月から2022年9月までの27か月間(2年と3か月)のデータをまとめてみました。なんらかのご参考にしていただければ幸いです。

 

ただし、不正ログイン対策に関しては、ここでは触れません。というのも、Wordpress を使用している限り、ログインIDとパスワードの入力からは逃れられないからです。残念ですが、パスワードを、他と異なる、より複雑なものにすることくらいしかできないでしょう。

 

(2022-10-3) abcd1234 .

 

 

 

この記事作成に使用した生データは次のとおりです。(PWは管理者まで問い合わせ下さい)

不正ログイン監視リスト (202006-202209) I

 

 

詐欺メールはどこからやってくるのか?

本物そっくりの詐欺メールがたくさん届くようになってきました。ふつうは、これらの詐欺メールは、プロバイダの電子メールシステムの選別機能(フィルタ)が働いて「迷惑メールフォルダ」に届くようになっているはずですが、なかには、巧妙にフィルタをすり抜けて、通常の「受信箱」に届くものがあります。

 

いったいこれらの詐欺メールはどこからやってくるのでしょうか?

 

ここでは、当方あてに通常の「受信箱」に届いたこれらの詐欺メールを、メールヘッダーから解析して、アドレスやサーバーなどのWHOIS情報を参考に、分類してみたので、その結果を記述します。

 

対象のメールは、2021年1月1日から5月27日までのおよそ5か月の期間に、本来「迷惑メールフォルダ」行きのはずであるが何らかの理由で通常の「受信箱」に届いた詐欺メール167件です。(実際の「迷惑メールフォルダ」に届いた詐欺メールは、この十倍から数十倍以上はあります。その一部が漏れて「受信箱」に入ってしまったと考えています。)

 

なお、ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていません。(これらについては、ネット上に優れた記事がたくさんあります。)

 

1. 詐欺メールの内訳

 

届いた詐欺メールには、アカウントとカード情報を抜き取るもの、カード情報を抜き取るもの、サイトへのログイン情報を抜き取るもの、出会い系サイトへ誘導するもの、脅しをかけて不正に送金を要求するもの、があります。

 

これらの件数の内訳と割合は次のとおりです。

 

【詐欺メールの内訳】

 

【詐欺メールの内訳】

 

アカウントとカード情報を抜き取るもの、カード情報を抜き取るものをあわせて全体の3分の2の113件に達していることがわかります。

 

その他は、出会い系サイトへ誘導するもの、脅しをかけて不正にBitcoinの送金を要求するものなどでした。この記事では、出会い系サイト誘導と送金要求については割愛します。

 

2. 詐欺の対象物

 

このアカウントとカード情報を抜き取る113件について、どのアカウント情報、どのクレジットカード情報を詐欺の対象としているかについて分類してみると、次のようになります。

 

【主な詐欺の対象物】

 

【カード対象物の内訳】

 

圧倒的に、Amazonに関するものが過半数、次いで、楽天に関するものとなっています。また、主要なクレジットカード会社に関するものが見られます。

 

3. どこの国からこの詐欺メールはでている?

 

これらの実際のメールには、メール本文の中にクリックする箇所が必ずあります。


そのURLのドメイン情報を調べました。

また、メールヘッダーと呼ばれる部分に、発信者の情報、発信元メールサーバーの情報、メールソフトの情報、日本語文字コードの情報などが記述されています。

 

【メールヘッダーの例 (1)】

 

【メールヘッダーの例 (2)】

 

まともな普通のメールであれば、送信者のメールアドレスからわかる国名、発信元メールサーバーがある国名、本文中のサイトのURLがあらわす国名は、一致することが多いとおもわれます。

 

ところが、ここで取り上げた詐欺メールは、これらが一致しないことが多いのです。

 

4. どこの国からこの詐欺メールはでている?

 

メールヘッダーに記載されている発信者のIPアドレス、発信元メールサーバーのURL、本文中にあるクリック誘導のURLのドメイン、それぞれをWHOIS情報をもとに、国名を調査した結果を次に示します。

 

【国別リスト】

 

【送信者メールアドレス(国別)】

 

【発信メールサーバー(国別)】

 

【情報入力先URL(国別)】

 

 

これらを見る限り、非常に偏っていることがわかります。もちろん調査しても不明なところはありましたので、精度はやや低いですが、それでもおおよその傾向はわかります。

 

詐欺メールの送信者は、不明を除くと、日本、次いで中国の順です。しかし、本文中の情報を入力させるためのURLは、不明を除くと、中国が圧倒的に一番となっています。


また、どの国のメールサーバーから発信されているかを見ると、日本、シンガポール、米国、ロシア、香港などばらばらです。

 

この結果をひとことでいうと、これらのアカウント・カード情報を詐取するのは主に中国のサイトですが、メール自体は日本から正規に発信されたように見せかけて、シンガポール、米国、ロシア、香港などの第三国のサーバーを経由して追跡しにくくしている、というように見えます。

 

このアカウントとカード情報を抜き取る113件の詐欺メールのメーラーソフトは、大半がMicrosoftのものですが、一部、中国製のFoxmailが使われていました。

 

【詐欺メールのメールソフト】

 

また、メール本文の日本語文字コードは、大半がUTF-8でしたが、中国のGB2312も一部にありました。

 

【詐欺メールの文字コード】

 

これ以上の追跡はしていませんが、やはり中国のまたは中国に関係した詐欺グループが多いと見るのはそれほど外れていないようです。Silent invasion がここにもと考えるのは考え過ぎでしょうか。

 

5. 終わりに

 

ここでは、詐欺メールの見分け方の詳細や、騙されないためにどのような対策をするべきかについては触れていませんが、怪しいメールにはじゅうぶん注意しましょう。

 

怪しいとおもったら、発信者情報(メールアドレス、メールヘッダーに記載してあるメールサーバーのアドレス、発信者のIPアドレスなど)を調べて、本物か偽物の判断をしましょう。

 

(2021-6-2)

 

 

なお、本調査で使用した元のデータと図表のまとめ資料については、以下をごらんください。(PWについてはサイト管理者までお問い合わせ下さい。)  phishingemail .

 

→  元のデータ (Excel)

→  図表のまとめ資料 

.

1時間に20通のしつこい迷惑メールの対処法

あなたに、1時間に20通もの、しつこい迷惑メールが送られてきたら、そして、これらが携帯やスマホに着信していたら、あなたはどうされるでしょうか。

 

パソコンや携帯・スマホでご自分が意図しない迷惑メール、スパムメールを受け取ったという経験をお持ちの方も多いと思われます。

 

私はこれまでに何度も経験があります。
たいていの場合、無視していれば、そのうち止むものもありますが、そうではない場合もありました。

 

ひとつの事例をお話しますと、昨年の秋ごろに、このような迷惑メールの攻撃を受けました。

 

メール自体は長いタイトルと、本文には短い一文とURLが記載されているだけのものです。

しかし、そのメールの頻度はおよそ1時間に20通と常識的に考えても、異常なほどに多く、しつこいものでした。

また、メールの発信者のアドレスもそのたびごとに異なるものでした。

 

記載されているリンク先に関しては、あまり詳しくは触れませんが、海外に住所を有する出会い系サイトのひとつでした。

 

1時間に20通ほどのしつこい迷惑メールですが、もし、これを携帯やスマホで受信時に着信音が鳴るという設定にしていたら、着信する度に(およそ3分に一回)着信音が鳴るということになります。
もちろん、真夜中でも変わらず24時間着信し続けるのですから、人によっては気が狂ってしまうかもしれません。

 

 

どのようなタイトルかというと、

 

・ご注文ありがとうございます。

 

・確認していただけましたか?広川です。【5億】の受け取り許可は既に出ておりますので、【3000円】を追加されれば、いつでもお引き出しして頂けるようになっています。すぐにお引き出しして違反者解除を行なってください。罰金が発生する前にお受け取りされませんと

 

・救済支援会代表・広川美鈴です。私も、そしてこの救済金を寄付してくれた人も、貴方に報われてもらいたいと思っております。これまで、様々なサイトに登録してきたと思うのですが、支援履歴を見させていただき

 

・お急ぎ下さい。今日中には5億の一部でもいいのでお引き出し出来るようにしますからね。用意が出来ていれば今から

 

・広川です。【5億】は今日お引き出しして頂けますでしょうか?【3000円】の追加をされた後に引き出しが出来るようになっております。これを完了すれば違反の取り消しもされますからね。

 

・救済支援会代表・広川美鈴です。5億は既に入金しております。これであなたを違反者から救い出せますからね。救済金は貴方の為に本日、罰金の延期分の手数料も含めて対応をしておきました。私は受け取っていただく為のサポート役でしかありません。貴方が引き出し方が分からない場合であったり

 

・5億貰ってから私は車とマンションを買いました。自由に使ってくれていいって広川さんから言われてたんですけどなんだか本当に

 

・428万円の請求は本日24時まで延長されておりますのでお早めにご対応ください。救済金のお受け取りがされなかった場合、明日請求を開始させて頂きます。

 

・広川です。支援違反者になってしまった方100名だけに連絡をさせて頂いております。3000円の手続きだけで確実に受け取りできる人のみに連絡をしていますので

 

あるいは、

 

・「権利喪失」にご注意下さい。賠償金受給には期限が御座います。

 

・賠償金の受取りを辞退した場合についてご説明させて頂きます。大河内 真理子です。

 

・※本人以外、閲覧禁止※重要個人情報につき開封時注意して下さい。

 

・==ATM残高確認依頼==24時間以内に残高確認+現金一部引き出しをお願いします。

 

・訴追弁護団代表:大河内 真理子です。賠償決定につき12億3000万円の受け渡しを行いますのでご確認下さい。

 

・〓最〓終〓案〓内〓※9名中_8名賠償金受取報告あり※

 

・民法415条・417条・709条によって損害賠償請求を行い勝訴しましたので至急、ご確認下さい。

 

・お知らせ:裁判に伴う重要連絡。弁護士からの連絡をお待ちください

・【寿】賠償金12億3000万円の受領、心からお祝い申し上げます。

 

このような場合、受信する側のメールアドレスを変更してしまうというのが、おそらくいちばん早い対処法なのですが、私の場合、このメルアド自体は普段使っているものなので、変更したくない、という気持ちもありました。そこで、メルアドを変更しないでなんとか解決できないか、と考えました。

 

ここでお伝えする内容は、あくまでも対処法の一例ですので、すべての場合に適用できるとは限りませんが、困っている方々になんらかの参考になればとおもい、記述するものです。

 

手順としては、まず、迷惑メールとおもわれるメール自体を、メールのヘッダー付きで保存しましょう。

 

そして、パソコンやスマホで、次のことを行なっていきます。

 

(1) Whois情報で迷惑メールの発信者のドメイン所有者・管理者を確認します。

(2) 非公開の場合は、ドメイン所有者の情報開示請求をします。

(3-1) 情報開示請求が承認された場合は、ドメイン所有者に配信停止依頼を行ないます。

(3-2) 情報開示請求が非承認の場合は、ドメインのレジストラ登録管理者に「ドメインの一時使用停止もしくは無効化」の要請をします。

 

この方法で、たいていのしつこい迷惑メールは止むとおもわれます。

 

もし、ここまでやってだめなら法的手段に訴えるしかありません。(やったことはありませんが、万が一の時のためにメールのコピーなどの証拠は残すようにしましょう。)

 

より詳しい手順の内容と実例は、

 

→ https://pc.fp46.net/pc01.html

 

に記載しました。必要な方はごらん下さい。

 

以上、なにかのご参考になれば幸いです。

 

(2019-1-27)

 

 

 

ひどい迷惑メールの対処法

迷惑メールが最近増えているようにおもう。一日に数通くらいならば無視できるが、それが一時間に3-4通、深夜の時間帯もかまわず一方的に機械的に送りつけられるのは、とても迷惑である。ときどき、このような類のメールが届く。このようなとき、単純に配信停止要請をしても、かえって相手を刺激し、メールの数量が増加することもある。

 

メールの内容はともかく、数量が多いのは問題。おそらく、自動で機械的に集めたメールアドレスに配信しているのだ。

 

参考までに、どのくらい多いのか、過去に経験した例をみていただきたい。

 

→ https://pc.fp46.net/spammail_examples/

 

これに対して、どうしたらいいのか。試みた方法を記してみようと思う。

 

この配信元を特定し、そこに、迷惑している証拠をつきつけ、即時の配信停止を要求する。警察署への通報も辞さない、という態度で臨むと、たいていは配信を停止してくれる。

 

これまで、とても異常でひどい場合に、この方法で数件を停止させた。

 

このような配信元は、出会い系サイトへの誘導の場合もあれば、サイト利用料金詐欺の場合もあった。

 

この方法ですべてが解決できるわけではないが、おそらく7割以上は、配信を停止してくれるだろう。

 

方法は比較的簡単である。それには、送信されたメールのヘッダーをみて、必要な情報を集めることがまず必要である。

 

・送信者: ここにはメールが届かなかったときの返信先が記述してある。Reply-To とある項目がそうである。

 

・差出人: メールの差出人、発信者でFrom とある項目である。差出人の名前とアドレスが例えば次のように記述されている。
Get'sカ○タマーサポート <info@g8goi■yerff.pw>
神草 か○る【国境なき支援団連】 <info@g8goi■yerff.pw>

注意することは、差出人の名前が異なっていても、差出人のメールアドレスが同じことがある。逆に、差出人が同じでも、アドレスが別のこともある。迷惑メールはおそらく多数配信されているだろうから、いくつかのメールのヘッダーをみて、何種類かあることを知っておくのが良い。

 

・IPアドレス: 発信のIPアドレスと、途中経由するIPアドレスのふたつが記してある場合が多い。これを調べると、どの国のどの事業者から発信されたかがわかる。
発信IPアドレス: 175.45.173.97-109
経由IPアドレス: 27.255.66.248

 

次に、発信メールのドメインを調べる。同じ種類のメールでも、ドメインが異なることも多い。

 

例えば、ドメインとして
g8goi■yerff.pw
g8gio■e7tef.pw
g8gli■79weq.pw
のようなものが使われていた。このドメインを調べると、誰がこのドメインを取得したか、誰が使用しているかがわかる。また、ドメイン登録者、ドメイン管理者の氏名、住所、電話番号、連絡先メールアドレスの情報がわかるのてある。

 

では、どうやって調べるのか? 一般的には、ドメインの情報検索は、WHOIS情報として知られている方法で調べる。例えば、http://whois.domaintools.com などで、調べたいドメインやIPアドレスを検索窓に入れて検索すると、出てくる。

 

ここまでわかれば、ドメイン管理者あてに、調べた情報を添付して、配信された自分のメールアドレスから、迷惑メールの配信停止要請を行うのである。ただし、この際、こちら側の情報のうち、メールアドレス以外はできるだけ出さないように注意しながら行うべきである。

 

おそらく、迷惑メールの発信者は、添付された情報を見てだとおもうが、たいていは、すぐに迷惑メールの配信を停止してくれる場合が多かった。これでも止まない場合は、いままで経験したことはないが、警察署の生活安全課などへの通報が有効だと思われる。

 

ただ、ひとつ問題点がある。というのは、この情報、すなわち、ドメインの管理者などが記載されているwhois情報は、ドメインを取得する場合に開示されるべきものであるが、ドメイン情報保護代行サービスというものがあり、これを利用されていると、わからない場合もある。このときは、そのサービス会社あてに、経緯を説明し、迷惑メールのドメイン登録者に連絡してもらうように要請するのである。

 

少し時間はかかるが、この方法で、迷惑メールが止んだことがあった。

 

以上は、筆者の体験した迷惑メールの対処法である。あくまでも数量の異常な場合に試みると良いかもしれない。その場合、こちら側の情報のうち、メールアドレス以外はできるだけ出さないように注意すべきである。また、メールの内容には立ち入らず、あくまで「数量が異常」で迷惑しているということを前面にだすほうが良いと思われる。メール内容に立ち入ることは、また別の問題を発生させ、複雑化させる懸念があるためである。

しかし、これでもゼロにはならない。やはり、無視するのが最善策かもしれないが。

 

(参考) 過去に経験したひどい迷惑メールの例

 

→ https://pc.fp46.net/spammail_examples/

 

(2015-05-20)

 

迷惑メールのその後

先日、契約しているプロバイダより、スパムメールブロックの仕様が変更されるという通知が届いた。いままでは、迷惑メールが届いたらそのメールの発信者のIPアドレスを調べて、拒否するように登録するという作業を繰り返していたが、仕様が変更された後は、この作業が不要になったのである。ひとことでいえば、非常に楽になった。

 

迷惑メールがどの国・地域・会社から発信されたかを調べるのは比較的簡単にできる。

メールのヘッダーにある発信者のIPアドレス、例えば、123.45.678.90 のように書かれている数字を次のようなインターネットのWHOISというデータベースのURLで検索するのである。

 

Asia Pacific Network Information Centre (アジア)
http://wq.apnic.net/apnic-bin/whois.pl

 

Japan Network Information Center (日本)
http://www.nic.ad.jp/

 

だが、それ以上はなかなか把握できない。残念だが。

 

スパムメール・迷惑メールと自動的に判定されたものは、プロバイダの迷惑メールボックス受信箱に送られる。一週間以内に処理しないと自動的に削除される。なので、3日に一度くらいの割合で見に行くことにした。迷惑メールの数が減るわけではないのだが。

 

 

まだ、まれに必要なメールがプロバイダの迷惑メールボックス受信箱に混じってしまっていることがある。このときは、そのメールのみを復活させることにしている。

はじまったばかりなので、しばらくは様子見ということにしたい。

 

また、ウィルス対策ソフトにも、このような機能をもっているものがある。私が使用しているものはこの機能をもっていた。二重に対策しておくと、安心の度合いが増える。

 

過去に2回ほど、「トロイの木馬」を含む添付ファイル付きのメールが、迷惑メールと判定されずに通常の受信箱に入ってきたことがあった。しかし、この場合にもウィルス対策ソフトで処理し、ことなきを得たのである。いまや、この類のウィルス対策ソフトは必須であると考えている。

 

(2008-11-15)