イオン九州公式アプリの来店ポイントサービスで約539万円をだまし取ろうとして逮捕

2018年11月12日(月)にイオン九州公式アプリの来店ポイントサービスを悪用して約539万円相当のWAON POINTをだまし取ろうとした事件が発生しました。

記事を読むと、位置情報を偽装し、何度もチェックインしてポイントを獲得していたようです。

イオン九州は71店舗あり、1日で全ての店舗を回っても142ポイントの獲得ですので、複数のWAON POINTカードを用意したのでしょう。それにしても、約1ヶ月程度で539万円相当のWAON POINTってすごいチェックイン数ですね。

様々な記事を読む限り、押収されたパソコンは45台。パソコンでアプリを起動し、複数のソフトを稼働させて、自動的に不正取得を繰り返していたとのことです。

気になったのが「パソコンでアプリを起動」と言う箇所。「スマートフォンでアプリを起動」ではなく、「パソコンでアプリを起動」している。

おそらくAndroidのエミュレーターをパソコンにインストールし、エミュレーター内にイオン九州公式アプリをインストール。エミュレーターの機能で、位置情報を偽装し、チェックインを繰り返していたのでしょう。

イオン九州のシステムも弱かったと言うのがありますが、システム改修を行うとニュースリリースが出ています。

  • 同じお店でのチェックインは1日1回
  • チェックインは1日3店舗まで可能
  • 前店舗でのチェックインから30分経過後に次店舗でのチェックインが可能

来店ポイントを行おうとしている企業は、GPSは偽装できるという事を覚えておくと良いかもしれません。

メールアドレスとパスワードのセットでハッキングしたというメール

先日、メールの件名に自分が使っているパスワードが入ったスパムメールが送られてきました。今でも毎日送られてきていますが、また違ったタイプのメールとなっています。

件名は「Your Account Was Hacked!」や「Account Issue」となり、メールアドレスとパスワードが本文に書かれており、システムをハッキングしたと書かれています。

前回のメールよりも具体的な日付(○月○日~△月△日までにハッキングした)などという事も書かれており、普通にびっくりするような内容です。

ちょっと驚くのが、前回のメールアドレスと異なるアドレスが使われていること。パスワードは前回と同じく適当に作るアカウント用のパスワードです。やはり、どこかでメールアドレスとパスワードのセットが盗まれているのかなと思いました。

実は、このメールアドレス、パスワードのセットは、かなり古くに登録したFacebookのメールアドレスとパスワードのセットでした。また、前回のメールアドレスとパスワードのセットも、同じく初期のFacebookで使っていた情報でした。さすがにFacebookのアカウント情報で適当に作るアカウント用のパスワードはまずいわけで、数年前に適当に作るアカウント用のパスワードは使っていません。

2018年9月にもFacebookでハッキングもあり、4月にも数千万人規模で情報流出しています。Facebookでは、何度かアカウントの被害が報告されていますが、今回のメールの元がFacebookから漏洩した情報という事は確認できません。他のサイトから漏洩した可能性もありますが、このようなメールが届いても無視するのが一番でしょう。

なお、メールにはビットコインを支払えという内容です。ポイントサイトなどのアカウントでリスト型攻撃するよりも、ビットコインを要求した方が効率が良いのかもしれません。

件名に実際のパスワードが入ったメールが送られてきた

件名に自分が使っているパスワードが入っており、本文にもパスワードが入ったメールが送られてきました。2018年9月5日から毎日3~5件程度届いています。

このパスワードは、適当に作るアカウントで使っているパスワードのため、どこかのサイトで流出したと言う事でしょう。何かのサイト登録時に平文で保存されており、そのメールアドレスとパスワードが流出したと言う事だと思います。

このメールでは5,000米ドルをビットコインで払えという内容ですが、メールによって金額が異なり、1,000米ドル~7,000米ドルとなります。

米ドル 件数
1,000米ドル 18
2,000米ドル 14
3,000米ドル 13
4,000米ドル 11
5,000米ドル 14
6,000米ドル 13
7,000米ドル 13

このメールが届いている場合、そのパスワードを使っているサイトのパスワードを変更した方が良いでしょう。それ以外は、流出したメールアドレス・パスワードセットで送っているだけだと思いますので、削除で問題ありません。

不正アクセスで利用するよりも、実際のパスワードをメールに記載し、ビットコインを送金させると言う方が効率が良いのかもしれません。

WordPressのxmlrpc.phpを停止する 高負荷状態を回避

WordPressを使っているサイトのログに

[error] server reached MaxClients setting, consider raising the MaxClients setting

と表示が現れ、高負荷状態でサーバがダウン。エラーメッセージで検索すると、MaxClientsの値を上げれば良いと書かれていますが、負荷が高いのであればMaxClientsの値を上げても意味がありません。

色々ログを調べてみると、WordPressのxmlrpc.phpに対する攻撃が原因のようでした。

xmlrpc.phpはリモートで投稿する時に使う機能ですが、使う事がないため、全てのサイトでxmlrpc.phpを無効にしました。

ちなみに、xmlrpc.phpを削除してもアップデートの時に復活するようですので、.htaccessやNginxで無効に設定します。

■Apacheの場合

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

■Nginxの場合

location ~* /xmlrpc.php {
deny all;
}

これで、今回の高負荷状態は避けられました。

WordPressのチューニングでwp-cron.phpを手動実行する時の注意点

以前、WordPressの負荷が上がっており、様々なチューニングをしました。

まず、サーバのチューニングでOPcacheを有効化。続いて、W3 Total Cacheをインストールします。ページがキャッシュされて高速になります。

また、wp-cron.phpを手動で更新するように設定。wp-config.phpの一番上に

define (‘DISABLE_WP_CRON’, ‘true’);

を記述します。次に、定期的な実行を行うためにcrontabでwp-cron.phpを実行するようにします。このwp-cron.phpはサイトにアクセスがあるたびに実行されるため、それなりにアクセスがあるサイトの場合は負荷が高くなります。

  1. OPcacheでPHPファイルの高速化
  2. W3 Total Cacheのプラグインでページやオブジェクトなどのキャッシュ化
  3. wp-cron.phpを定期的に実行

これで安定した運用ができていました。

続きを読む

シリコンキャップ(水泳帽)に名前を消えないように書く方法

悩んでいる方も多いと思いますが、シリコンキャップ(水泳帽)に消えないように名前を書く方法です。

子供の学校ではシリコンキャップに大きく名前を書くことになっています。1年生の時には、マジックで書いた後に学校で名前をコーティングしてくれたため水泳授業の後も消えなかったのですが、数年経ってコーティングが剥がれてきました。

水泳授業後に消えているの油性ペンで書く。次の水泳授業の後にはまた消えていると言う状態。

ネットで調べると油性顔料インクのペンが良いとのことで「ゼブラ マッキーPro細字 特殊用途DX 黒」を購入しましたが、やはりスイミング後には消えました。

続きを読む

8歳・6歳・4歳の子供たちがAmazon Echoを使うと?

先日、三男(4歳)を保育園に迎えに行きました。長男(8歳)と次男(6歳)は留守番させ、迎えに行っている間に公文の宿題をやるように伝えました。

三男を連れて帰ってくると、長男が「次男はずるしたんだよ」と。「何をしたの?」と聞いてみると、「アレクサ(Amazon Echo)に、3+6は?」と答えを聞いていたとのこと。

続きを読む

「できるAmazon スタート→活用 完全ガイド」の予約開始!

なぜかAmazonの本「できるAmazon スタート→活用 完全ガイド」を書きました。AmazonポイントやAmazon Mastercardについてだけではなく、Amazonの使い方についてです。ショッピングアプリやストレージ、Amazon Echoまで。Echoを早めに買えて良かったです。

2018年2月2日(金)から2月28日(水)までの間にAmazonで予約注文すると、「Alexaスキル集」と「特別版電子書籍」がプレゼントされます。プレゼントはエントリーが必要で、インプレスのサイトからキャンペーンの申し込みができます。

Amazon.co.jpではまだ表示がないため、ちょっと残念なページとなっています。また、「菊池崇仁」と若干ミスがありますが…。

表紙も入り、名前も正しい物が入りました!

実際に販売になった場合は、楽天ブックスなどでも販売されると思います。

とりあえず、Amazonで30冊注文しました。

天井の埋め込みスピーカーとAmazon Echoを繋げてみた

筆者の家には新築時に設置したBOSEの埋め込みスピーカーが設置されています。今まではCDやラジオを聞く程度でしたが、先日購入したAmazon Echoを繋げてみることにしました。

Amazon Echoを設定する時にBluetoothスピーカーの接続について聞かれていたのでBluetoothスピーカーがあれば接続できることがわかりました。ただ、天井埋め込みスピーカーはBluetooth接続のスピーカーではありません。

どうやって接続するかを考えた所、Bluetoothアンプを購入しアンプとスピーカー(スピーカーを接続しているアンプ)を繋げることにしました。

続きを読む

WordPressの投稿が異常に遅い場合はQuery Monitorを使おう!

ポイ探ニュースでも利用しているWordPressですが、投稿時に異常な負荷がかかり、投稿完了までにかなりの時間がかかっていました。

ロードアベレージを見ても10~30程度。サイトへのアクセスもできないくらいの値です。

そこで、プラグインのQuery Monitorをインストールして、どの処理で速度低下、高負荷になっているのかを探してみました。

続きを読む