独房の中

6月21日に中華Proxyで久しぶりに逮捕の報道がありました。

無届けでサーバー運営疑い、中国籍男を書類送検　奈良 - 産経ニュース
https://www.sankei.com/west/amp/180621/wst1806210036-a.html

無届けで中継サーバー運営疑い　奈良、中国へ不正送金使用か : 京都新聞
http://www.kyoto-np.co.jp/top/article/20180621000097

不正ログインでも国内の中華Proxyを疑うようなログが5月頃からよく見かけるようになっています。（IPアドレスを公開している人が少ないので少なくともそれ以前からあるはず）

最初に疑ったのはmixiで、1ヶ月以上経った現在も活発に不正ログインが続いているようですが、当初から台湾の中華Proxyと思われるもの以外に国内の中華Proxyぽいログが目立っています。具体的にどのようなものかというと、UserAgentが同じ、IPアドレスが似通っているが同じではない、ISPが共通と同一人物やグループからの攻撃を疑わせ、同一IPアドレスではないので踏み台の可能性が低く、過去の中華Proxyの傾向とよく似ているといったところです。

では、mixiだけかというとYahooのメールソフトログイン履歴でもこのようなツイートを見かけました。

https://imgur.com/a/qggKP7m

すべて本人以外のログイン履歴のようですが、国内から複数のISPで短時間で切り替えながら不正ログインをしているように見えます。

ここから複数のISPと契約して中華Proxyとして利用しているということも考えられますが、もう一つロジテックのルーターの時のようなルーターからISPへの接続用のパスワードなどを盗んでの接続というのも考えられます。

無届けでのサーバー運営は回線契約も厳しくなっているはずですからISPに無断接続の線でちょっとした話を。

最近Googleへの不正ログイン元として公開されたIPアドレスをブラウザで接続してみるとルーターのログイン画面が表示されました。

ファームウェアを更新してなくての脆弱性か初期パスワードのまま公開状態でログインされてVPNを利用されての踏み台かと思い調べてみたところ、ルーターのファームウェアは最新で自動更新機能付きのファームウェアに変更してあるようで未知の脆弱性でない限り初期パスワードのままだったという可能性が高そうです。

Buffaloのルーターは使ったことがないですが、マニュアルによると admin , password が初期状態のパスワードのようで

http://manual.buffalo.jp/buf-doc/35020580-01.pdf

設定画面に入ってISPへの接続用のパスワード画面で「パスワードを表示する」にチェックを入れれば表示されてしまうようですね。

接続先ユーザー名、接続先パスワードには何を入力すればよいですか - アンサー詳細 | BUFFALO バッファロー
http://faq.buffalo.jp/app/answers/detail/a_id/16398

こういったルーターがいくつか見つかればロジテックの時のように無断で回線に接続して犯罪行為に利用するといった攻撃が増えてもおかしくないんですよね…