はじめに
昨年末からインターネット上で騒がれているGmailアカウントへの不正アクセス1, 2ですが,これが原因で送信されたであろうメールが自分のところにも来ました.スパムメールに記載されていたURLの先に興味があったので,調査した結果とGmailを乗っ取られない様にするための2段階認証の紹介したいと思います.
注意
仮想環境で調査しています.普段使用しているOSのブラウザ等でURLへアクセスしないでください.なお,プロの調査では無いため,内容に誤り等がある可能性があります.参考程度にとどめてください.
URLにアクセスしてみた
普段から勉強会やコミュニティで交流のある方のGmailのアドレスより下記の図のようなURLがひとつぽんと書いてあるだけのメールが複数の宛先へ送信されていました.このURLの”wp-content/themes”より,WordPressが踏み台に利用されているんだろうなということがなんとなく想像できます…
後でご本人に確認するとこれまでにあったGmailアカウントへの不正アクセスと同じ様にアメリカからのアクセスがあり,その時刻はこのメールが送信された時刻とほとんど同じでした.メールが大量に送信されただけで,幸いにもGoogleDriveやカレンダーの情報を削除されたり改変されたりはしなかったようです.
さて,このままURLをクリックすると何があるかわからないので,URLを控えて.仮想環境へ移動しアクセスしました.すると,
You are here because one of your friends have invited you. Page loading, please wait…
と大きめな文字で表示されて,すぐ別のサイトに飛ばされるように設定してあり,一見するとニュースサイトの様なページが表示されました.しかし,リンクはすべて自分のサイトの今いるページになっているようで,ハリボテサイトであることがすぐに解りました.
このページ内に書いてあるJavaScriptを見ると,金銭を要求するような文言(?)が書いてあるポップアップが出たようで,とくに危険なコードのダウンロードをさせそうなコードは見当たりませんでした.(素人の調査ですので,どこに何が残っているかわかりません.受信してもアクセス せずに破棄してください.)
受信したメールのURLから飛ばされる先のサイトはすでにシャットダウンされているようで,もうアクセスすることができませんが,URLを変えて今日もどこかで獲物を待ち構えている悪いサイトがあるのだろうとおもいます...