プロキシ業者が一斉捜索を受けた件をまとめてみた - piyolog

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

プロキシ業者が一斉捜索を受けた件をまとめてみた

インシデントまとめ

2014年11月19日、20都道府県警の合同捜査本部が国内で違法にプロキシサーバーを運営する全国８業者へ一斉捜索をかけました。ここではその関連情報をまとめます。

タイムライン

大光・SUNテクノ関連

日時	出来事
2013年4月〜8月	AmebaへSUNテクノのサーバーから不正ログインが行われた可能性。
2014年1月	愛知県警が偽サイトのIPアドレスからSUNテクノを割り出し。*1
2014年2月頃	SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが開設。*2
2014年3月頃	SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが設置され当月だけで約1万3千件のアクセス。*3
2014年8月	大光とSUNテクノが捜索を受ける。
その後	大光と他1社がISPから不正行為に関わったとして契約を解除。
その後	大光、SUNテクノが他人のIDを使ってインターネットへの接続を行った疑い。
2014年11月19日	合同捜査本部が全国10数か所を一斉に家宅捜索。
〃	不正アクセス禁止法違反等で6人を逮捕。
2014年12月11日	警視庁がSUNテクノ元役員ら6人を著作権法違反容疑で再逮捕したと発表。
2015年3月	SUNテクノのサーバーを用いた不正送金で韓国金融機関のフィッシングサイトも確認されたことから警察庁を通いて韓国警察へ情報提供。
2015年4月15日	警視庁がSUNテクノから押収したサーバーからフィッシングサイトが設置された痕跡を発見したと発表。
2015年4月16日	警視庁がSUNテクノから押収したサーバーから不正ログインに関する痕跡を発見したと報道。

大阪市業者関連

日時	出来事
2014年2月	京都市中京区のインターネットサービス業者へ不正ログインが発生。
2014年夏	京都府警が不正ログイン元のサーバー設置場所を家宅捜索。
2014年11月19日	合同捜査本部が大阪市の男性を逮捕。

捜査担当

20都道府県警からなる合同捜査本部が担当している。以下名前が報じられている18都道府県警。

警視庁
北海道警
岩手県警
宮城県警
山形県警
福島県警
愛知県警
埼玉県警
千葉県警
神奈川県警
山梨県警
長野県警
静岡県警
栃木県警
大阪府警
京都府警
和歌山県警
鹿児島県警

事案一覧 (一部推測)

全国41か所の6都道府県、合計8業者に対して一斉の捜索が行われた。*4

摘発業者	所在地	容疑	逮捕者数
大光	東京都	不正アクセス禁止法違反	4人?
SUNテクノ	東京都	不正アクセス禁止法違反著作権法違反(再逮捕)	2人?
宇都宮市内の業者	栃木県	不正アクセス禁止法違反	1人
大阪市内の業者	大阪府	不正アクセス禁止法違反	1人
甲府市内の業者	山梨県	著作権法違反	1人
鹿児島県内の業者	鹿児島県	著作権法違反	1人
ワイエス・シー	埼玉県	不正アクセス禁止法違反	1人
埼玉県内の業者	埼玉県	不正アクセス禁止法違反	1人

(1) 大光・SUNテクノ関連

捜査対象

大光、SUNテクノ関係者は合計6名が逮捕。いずれも容疑は否認。

捜査担当

豊島区内中国系中継サーバ運用者らによる著作権法違反事件
警視庁・愛知県警合同捜査本部

捜査を受けた業者

2社の関係先12か所を捜索。

株式会社大光（東京都台東区）
- www.daikoo.jp/

SUNテクノ（東京都豊島区）

押収物

2社から56台のサーバーを押収。*5
- 大光 4台
- SUNテクノ 52台

二社のサーバーは合計約2000台あるとの報道がある。

2社のプロキシサービス

中国の顧客計1600人に対してプロキシサーバーを提供していた。
中国に代理店を設置し、中国から日本に接続できることを売りにしていた。
1件あたり1,700円〜5,000円程度で販売。
このサービスを通じて少なくとも大光は約8000万円、SUNテクノは約4600万円を稼いでいた。*6

容疑 (不正アクセス禁止法違反)

2014年5月から8月にかけ不正に入手した大手ISPの他人のIDやパスワード約1500件をプロキシサーバーに保管した疑い。
- SUNテクノ元役員中国籍東京都品川区 (32歳)他1名

2014年7月に他人のISPのID、パスワードを使用してインターネットに接続し、オンラインバンキングの不正送金やオンラインゲームへの不正ログインに悪用されていた疑い。*7
- 大光役員さいたま市南区(32歳)他3名

他社のID,パスワードを用いた大手ISPへの不正アクセス
- ISPから契約解除を受け、中国顧客へのサービスを継続するために他人のIDを使用してISPへ接続していた。*8
- ISPへの接続に使用するIDやパスワードは中国のブローカーから入手した。*9
- IDの名義人へ照会した結果、大半が「ロジテック」製無線ルーターの利用者であった。*10

他SUNテクノのサーバーで確認された事例*11
- DDoS攻撃の痕跡があった
- 「匿名でインターネットに接続できる」「ハッキングできる」「日本のオンラインゲームに使える」等の宣伝文句でサービスを販売する代理店が約140確認された。
- 月2000〜5000円程度で日本国内向けが大半、米韓独等の約30か国向けにサービスを行っており、少なくとも数千人規模の顧客がいたとみられると報道。*12

容疑 (著作権法違反)：2014年12月再逮捕

海賊版のWindows Server 2003をダウンロードし、自社中継サーバーにインストールしてユーザーに使わせ、Microsoftの著作権を侵害した疑い。
- SUNテクノ元役員 2人が2014年5月〜8月にかけ2回
- 大光元社員4人が2014年8月

関連するフィッシング事案(国内)

SUNテクノの中継サーバーが三菱東京UFJ銀行のフィッシングサイトに使われていた。*13
- フィッシングサイト本体は中国国内で、リバースプロキシとして動作していたとの報告あり。*14
- フィッシングサイトを使って盗んだとみられる約30人分のID、パスワードも確認された。ID,パスワードが盗まれていたことに気づかない人もいたが、不正送金の被害は確認されていない。*15
- このサイトには2014年3月だけで約1万3千件のアクセスがあった。
- 乱数表すべてを入力させるよう仕組んであった。

関連するフィッシング事案(韓国)

SUNテクノのサーバーから9つの韓国の金融機関のネットバンキングの利用者情報(ID、パスワード等)約300件が確認された。
韓国の金融機関10社（韓国ウリィ銀行、国民銀行等）を対象としたフィッシングサイトと思われる情報(ID等を入力させる偽画面)も確認された。*16
警視庁から警察庁経由で韓国警察へ解析結果、サーバーへの接続履歴を提供。*17

関連する不正送金事案

大光、SUNテクノが捜索を受け押収された資料を分析した結果、この2社を経由して行われた不正送金事案は2014年上半期で約300件。被害総額は約4億5千万円。*18

関連する不正ログイン事案(Ameba)

時期 2013年4月〜8月
SUNテクノのサーバーを発信元とした不正ログイン*19
「Ameba」への不正ログインに関するご報告

関連する不正ログイン事案(LINE、楽天、Amazon)

以下は押収したSUNテクノのサーバー52台の内の1台から警察の捜査により確認された情報。

インターネット通販サイト等の利用者のID、パスワードが約506万人分(延べ785万件*20 )が保存されていた。*21
- 中には氏名、住所、クレジットカードが含まれているものも確認された。
- 接続は遅くとも2014年9月〜11月に繰り返し行われていた。
- 日本の他、台湾、韓国、アメリカの個人情報も含まれる。*22
- 506万人分の入手経路は4月18日時点では不明。

不正アクセス用のツール(3種類*23 )が発見された。ツールについて報じられている内容は次の通り。
- IPアドレスを秒単位で変更する機能がある。
- 不正ログインを試行し、使用できるものを選別する機能がある。*24
- 中国語で作成されていた。*25

不正ツールを利用して選別された約5万9千人分のID、パスワードが発見された。
- 約5万9千人の内訳は通販サイト(楽天と報道があり)が4万9千件*26、LINEが1万件。*27
- 警察は被害企業名を公表していないが、被害組織名は報道で挙がっている。*28

(2) 宇都宮市業者関連

捜査対象

宇都宮市中国籍(31歳)

捜査担当

栃木県警生活環境課サイバー犯罪対策室、宇都宮東署

容疑

不正アクセス禁止法違反
2014年3月下旬頃、他人(北海道男性)のIDとパスワードを入力してISPが運営するサーバーに不正アクセスを行った疑い。容疑を認めている。*29

(3) 大阪市業者関連

捜査対象

大阪市日本国籍(31歳)
- 不正取得した疑いのあるID,パスワードについて「こちらから要求していない」と供述。

捜査担当

京都府警サイバー犯罪対策課、中京署等

容疑

不正アクセス禁止法違反
2013年4月〜7月に他人のIDやパスワードを不正アクセスさせる目的で日本人3人分のID、パスワードを中国から取得した疑い。*30
京都市内等3か所にプロキシサーバーを設置。
プロキシサーバーに仮想サーバーを628台設置。犯罪グループに貸し出しを行っていた疑い。*31
2014年2月、京都市中京区のインターネットサービス会社へ不正ログインが行われ、2014年夏にサーバー設置場所を家宅捜索。約5億3千万件のID、パスワードがサーバーに保管されていたのを発見した。

(4) 甲府市業者関連

捜査対象

甲府市中国籍自称ホテル従業員 (30歳)

捜査担当

以下の4合同捜査本部による

山梨県警
神奈川県警
長野県警
静岡県警

容疑

著作権法違反
2014年6月〜9月、自宅や甲府市内の別のアパートでMicrosoftのOSを無断で複製し、中継サーバーを運営した疑い。*32

(5) 鹿児島県業者関連

捜査対象

鹿児島県中国籍会社員(28歳) *33

捜査担当

鹿児島県警

容疑

著作権法違反
- Windows Server 2003 SP2の海賊版を入手、複製、または無断で複製されたものであることを知りながら業務で使用した疑い。

(6) ワイエス・シー関連

捜査対象

ワイエス・シー社長日本国籍埼玉県新座市 (34歳)
- 容疑を認めている。

捜査担当

以下の3合同捜査本部による

埼玉県警
茨城県警
群馬県警

容疑

不正アクセス禁止法違反
2014年3月15日から5月7日にかけ数人と共謀し、札幌市の男性のISPのIDとパスワードを設定し、国内のISPのサーバーへ中国の顧客が不正にアクセスできる状態にした疑い。*34
男性のIDを使って中国から約1500回のアクセスが行われた。*35
不正に使用させていたIDは500件に上る。*36

(7) 埼玉県業者関連

捜査対象

東京都港区日本国籍 (29歳) *37
- サーバーの運営は認めた上で「やっていない」として容疑を否認している。
- 埼玉県内の民家から30台のPCが押収された。

捜査担当

以下を含む5道県警合同捜査本部による*38

容疑

不正アクセス禁止法違反
2014年4月2日にプロキシサーバーから他人のID、パスワードを用いてISPへ不正に接続した疑い。
プロキシサーバーを運営し、中国の顧客を日本国内へ中継していた。

ロジテック製無線LAN ルーターの脆弱性関連情報

注意喚起

対象機種

以下のロジテック製300Mbps無線LAN ブロードバンドルータ

脆弱性関連情報

脆弱性の影響

■不具合内容
　インターネット側から、ルータ内部のインターネット認証ID（PPPoEの認証ID）およびパスワード（PPPoEの認証パスワード）が取得できる可能性がある。
http://www.logitec.co.jp/info/2012/0516.html

業者に悪用された原因は「恐らく」ロジテック ルーターの脆弱性

ルーターの脆弱性がどのように業者に悪用されたかの詳細は11月22日時点で報じられていない。
警察からエレコム広報に以下の捜査協力の要請があった。*39 *40
- ロジテックユーザーのIDが悪用された。
- ルーターの脆弱性を説明してほしい。
警察側からフィードバックが無いため、直接の原因かどうかはエレコムは確認できていない。そのためITproの取材に対しては「恐らく」としてほしいと回答している。

更新履歴

2014年11月20日 AM 新規作成
2014年11月20日 PM 続報を反映
2014年11月21日 AM 続報を反映
2014年11月22日 AM 続報を反映、ロジテックルーターの脆弱性情報を追加
2015年4月15日 PM 最新情報を反映

*1:https://twitter.com/nilnil26/status/535726933921648640

*2:国内大手行の偽サイトも＝ＩＤ３０件窃取か、中継サーバー—ネット銀不正送金,時事通信,2015年4月15日アクセス:魚拓

*3:プロキシサーバーに大手銀行の偽サイト　３０人の情報も保存　警視庁,産経新聞,2015年4月15日アクセス:魚拓

*4:ネット中継業者ら１２人逮捕　不正アクセス容疑,共同通信,2014/11/20アクセス:魚拓

*5:中国から接続“4億円”…サーバーに他人のID保管か,テレビ朝日,2014/11/20アクセス:魚拓

*6:ＩＤなど1500人分取得、摘発のサーバー２社　中国人に売る,日本経済新聞,2014/11/20アクセス:魚拓

*7:中継サーバー業者を一斉摘発　不正アクセスの疑い,朝日新聞,2014/11/20アクセス:魚拓

*8:代理サーバー:他人ＩＤなど１５００人分　警視庁摘発の２社から,毎日新聞,2014/11/20アクセス

*9:中継サーバー業者、一斉摘発＝中国向け、違法送金で悪用か−２０都道府県警,時事通信,2014/11/20アクセス:魚拓

*10:無線ルーターからＩＤ流出…中国向けサーバー,読売新聞,2014/11/20アクセス:魚拓

*11:「アメーバ」に不正ログイン＝摘発の中継サーバーから―個人情報閲覧目的か・警視庁,時事通信,2014/11/20アクセス:魚拓

*12:不正送金:プロキシサーバー使い　「ハッキングできます」　中国で大がかり集客、１４０の代理店確認,毎日新聞,2015年4月15日アクセス:魚拓

*13:不正中継サーバー、「フィッシング」にも悪用,読売新聞,2014/11/22アクセス:魚拓

*14:https://twitter.com/NaomiSuzuki_/status/535614180796006401

*15:押収サーバーからネットバンキング利用者の情報　警視庁,朝日新聞,2015年4月15日アクセス:魚拓

*16:韓国不正送金に日本サーバー悪用か,NHK,2015年4月15日アクセス:魚拓

*17:日本経由で偽サイト　中国人詐欺団、韓国標的に,日本経済新聞,2015年4月15日アクセス:魚拓

*18:不正送金の被害４億円か　都内のネット中継２業者,共同通信,2014/11/20アクセス:魚拓

*19:代理サーバー:アメーバに不正侵入か　摘発会社中継で,毎日新聞,2014/11/20アクセス:魚拓

*20:中国向け違法サーバーに流出ＩＤ　７８５万件、警視庁が確認,共同通信,2015年4月18日アクセス:魚拓

*21:中国向けサーバー事件、通販５０６万人情報盗む,読売新聞,2015年4月18日アクセス:魚拓

*22:中国向けサーバーに個人情報７８５万件　パスワード使い回し不正アクセス　警視庁調べ,産経新聞,2015年4月19日アクセス:魚拓

*23:流出ＩＤなど７８５万件、不正アクセス被害も,スポーツ報知,2015年4月19日アクセス:魚拓

*24:押収の中継サーバーにＩＤとＰＷ５０６万件　不正使用か,朝日新聞,2015年4月19日アクセス:魚拓

*25:ＩＤなど個人情報５０６万件＝不正送金事件の摘発サーバーに—カード番号も・警視庁,時事通信,2015年4月19日アクセス

*26:代理サーバー:ＩＤ入手７８５万件…楽天などに不正接続,毎日新聞,2015年4月18日アクセス:魚拓

*27:中国に140超の代理店　不正アクセス摘発のサーバー業者,日本経済新聞社,2015年4月18日:魚拓

*28:楽天、ＬＩＮＥ、ａｍａｚｏｎ利用者は注意！　中国向けサーバー流出のＩＤ使い約６万人分不正接続,産経新聞,2015年4月18日アクセス:魚拓

*29:サーバーに不正アクセスの疑い、中国国籍の男逮捕　県警,下野新聞,2014/11/20アクセス:魚拓

*30:他人ＩＤを５億件保管　不正アクセス容疑で会社役員逮捕・京都,京都新聞,2014/11/20アクセス:魚拓

*31:仮想サーバー６２８台分設置　別の犯罪グループ使用か,京都新聞,2014/11/20アクセス:魚拓

*32:不正ＯＳ使用疑いで中国籍の男逮捕　山梨など４県警,産経新聞,2014/11/20アクセス:魚拓

*33:「不良プロキシサーバー」運営事業者らを全国一斉摘発,ACCS,2014/11/20アクセス:魚拓

*34:不正アクセス摘発　埼玉県警など容疑で男２人逮捕,産経新聞,2014/11/20アクセス:魚拓

*35:不正アクセス容疑で男逮捕　中国向け中継サーバー業者,産経デジタル IZA,2014/11/20アクセス:魚拓

*36:プロキシ業者不正接続容疑,NHK,2014/11/20アクセス:魚拓

*37:ネットに不正接続容疑で逮捕,NHK,2014/11/20アクセス:魚拓

*38:不正アクセス容疑でネット中継業者を逮捕　埼玉で運営、本県など５道県警,山形新聞,2014/11/21アクセス:魚拓

*39:不正プロキシ事件、ロジテック製品ユーザーのアカウントが悪用される,ITpro,2014/11/22アクセス:魚拓

*40:@tkyksaitoさんより補足頂きました。