141220更新

噂のアレがやっとうちにもやってきましたよ。

状況から考えて、この一通は、私のメールアドレスが不幸な偶然の一致により無作為な機械生成にヒットしたのではなく、明らかに犯人が「最初から正解を知っていた」と言い切れるだけの証拠になっています。

まず受信経路はGmailで、googleの言を信じる限りアカウントは健全であり、攻撃を受けた形跡もありません。そしてGmailのシステムとして、一つのアカウントに対して外見上のメールアドレスの表記は無数に存在します。+の後に文字列を余計に追加するとかそういうやつの事ですが、ともかく実際には一つのアカウントに届くメールアドレスが、外見上は実質的に無限にあるということです。ですから、もしメールアドレスを機械生成しただけであれば、そうした無数の可能性に対してランダムに“ヒット”して受信するはずなのです。

ところが実際に今回受信したゴミは、本当にMoEのゲームアカウントの登録時に使った「特定の表記」に正確に一致するアドレス宛のみであり、それ以外の“同程度の複雑さ”の他の表記には来ていません。つまり「最初から正解を知っていた」ので無い限り、こんな偶然は暗号論的な意味で有り得ません。仮に「正解」が私の側あるいはGmailを管轄しているgoogleの瑕疵によって漏洩したのであれば、私が一緒くたに管理している他のメールアドレスも同じく一緒くたに漏洩しているはずですが、不思議なことにそれらは同様のゴミを一つも受信していません。そして「正解」を知る者は、私とgoogleを除けば、MoEの運営しか居ないはずです — というか、居ないはずでした。

結論: 確実に漏れてる。

ここで問題はだ。メールアドレスが運営側から漏洩したのは確実として、それ以外の情報がどこまで漏洩しているのかの読みが難しい。使用可能なIDと平文パスワードの対がまるっと漏洩したにしては、乗っ取り失敗の副作用と思われるロックアウトの報告数の多さに対して、完全に乗っ取られた被害が少なすぎるように思える。勿論これんぽっちの材料で使用可能なパスワードが漏洩していないと仮定するのは甘すぎる見込みなのだけど、逆に言って今パスワードの変更操作を行うことが安全であるためには、現時点で認証鯖その他が健全であることを前提にしなければならず、どう考えても運営側が事態を全く把握できていない現状では、これもまた甘すぎる見込みと言わざるを得ない。さてどっちに賭けるべきかなー。

状況

• ゴミの受信時刻も含め全て日本標準時です。本物の送信者から特定されるのを避けるため一部ゴミの詳細は伏せています。
• 私が保有するゲームアカウント自体およびメールアカウントは今のところすべて健全である模様です。
• 参考: MoE側の運営母体の異動は (表向き単なる社名変更も含めて) HUDSON/BBg/movida → 060201:GRO → 070401:GR → 100201:RI → 120501:Willoo

ゴミ(1)の所見

• Subject: あなたのスクウェア·エニックスアカウントの異常
• X-mailer: Foxmail 6, 13, 102, 15 [cn]
• Date のタイムゾーンは UTC+8
• Message-ID から推測されるタイムゾーンも UTC+8
• multipart boundary に Dragon とあるのが正しい Foxmail の挙動かどうかは知らぬ
• いずれにせよ以上より推測される犯人の在所は中国/香港。もちろんそう見えるように仕向けられている可能性もあるが
• googleに届けた最終MTAは韓国。それ以前の中継記録は無い。よって単純過失による踏み台ではない。ゾンビか悪意ある共犯

inetnum:        114.200.0.0 - 114.207.255.255
netname:        HANANET
descr:          Hanaro Telecom
descr:          Shindongah Bldg, 43, Taepyeongno2ga, Junggu, Seoul
country:        KR
remarks:        http://www.hanaro.com

ゴミ(2)の所見

• Subject: [スクエニ メンバーズ]パスワード再設定手続きのご案内
• X-Mailer: Microsoft Outlook Express 6.00.2900.5512 (IE6SP3相当)
• だけど Date のタイムゾーンはやっぱり UTC+8
• envelope-from に一致する Sender をわざわざ付けているけど、当然 From とは一致しない
• googleに届けた最終MTAは香港。

inetnum:        122.10.80.0 - 122.10.95.255
netname:        PANGNET-HK
descr:          Pang International Limited
country:        HK

address:        2D Hung Hay Building,
address:        1st Fa Yuen Street,
address:        Mong Kok,
address:        Kowloon,
address:        Hong Kong

• 中継記録として間抜けな偽装が一件付いている。なんで account.square-enix.com が中国領内にあるんだよ。正規の中継記録は無い。

ゴミ(3)の所見

• Subject: [スクエニ メンバーズ]検証登録のご案内
• 大筋でゴミ(1)に類似
• 但し間抜け Sender が付いているのはゴミ(2)と同じ
• googleに届けた最終MTAは米国に設営されたSPAM業者ファーム。

NetRange:       172.240.0.0 - 172.241.255.255
CIDR:           172.240.0.0/15

OrgName:        Nobis Technology Group, LLC
OrgId:          NTGL
Address:        6930 East Chauncey Lane
Address:        Suite 150
City:           Phoenix
StateProv:      AZ
PostalCode:     85054
Country:        US
Comment:        http://www.nobistech.net

• それ以前の中継記録が一件ついているがおそらく偽装。でも偽装された送信元は同社内の別ブロック。何をどうしたいんだ。

ゴミ(4)の所見

• Subject: スクウェア·エニックスアカウントーー安全確認
• 大筋でゴミ(1)に類似
• googleに届けた最終MTAは中国。それ以前の中継記録は無い。

inetnum:        42.202.0.0 - 42.203.255.255
netname:        CHINANET-LN
descr:          CHINANET Liaoning province network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN

person:         CHINANET-LN    Network    Administrater    Chinatelecom    Liaoning    Branch
address:        No.6,feiyun    Road,hunnan    District,Shenyang

inetnum:        58.56.0.0 - 58.59.127.255
netname:        CHINANET-SD
descr:          CHINANET SHANDONG PROVINCE NETWORK
descr:          Shandong Telecom Corporation
descr:          No.999,Shunhua road,Jinan,Shandong
country:        CN

ゴミ(2.1)の所見

• Subject: [スクエニ メンバーズ]パスワード再設定手続きのご案内
• multipartでないbase64になっている等、オリジナルのゴミ(2)とはいくらか異なる
• が結局おなじこと
• googleに届けた最終MTAは韓国あるいは中国。それ以前の中継記録は無い。

inetnum:        218.50.0.0 - 218.55.255.255
netname:        HANANET
descr:          Hanaro Telecom Co.
descr:          Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku
country:        KR

inetnum:        222.32.0.0 - 222.63.255.255
netname:        CTTNET
descr:          China TieTong Telecommunications Corporation
descr:          Jinze Mansion, 2 Guangningbo Street,
descr:          Xicheng District, Beijing, China, 100032
country:        CN

inetnum:        112.216.0.0 - 112.223.255.255
netname:        BORANET
descr:          LG DACOM Corporation
descr:          827,Namdaemunno 5(o)-ga Jung-gu Seoul
country:        KR

inetnum:        210.83.70.128 - 210.83.70.255
netname:        rongzhi-electron
country:        cn
descr:          ningbo city,zhejiang province

route:          210.82.0.0/15
descr:          China Unicom CncNet
country:        CN

person:         TECH GROUP CNC
address:        9/F, Building A, Corporate Square, No. 35 Financial Street,
address:        Xicheng District, Beijing 100032, P.R.China
country:        CN

ゴミ(5.0)の所見

• Subject: 【ドラゴンクエストX　目覚めし五つの種族　オン
• なんだかあちこち壊れているためMUAによってはそもそも解読できない。アホか。
• しかも Content-Transfer-Encoding: 8bit という勇者。だけど GB2312。アホだ。
• SMTP HELO は account.square-enix.com
• envelope-from 無し (!)、Sender 無し、発送時 Message-Id 無し
• X-Mailer: FoxMail 3.11 Release [cn] ・・・そこが微妙に違ったところで・・・
• そして相変わらず Date のタイムゾーンは UTC+8
• 要するに総じて以前より完成度が低い・・・ってなんで退化するんだよ・・・
• googleに届けた最終MTAは中国。それ以前の中継記録は無い。

inetnum:        123.188.0.0 - 123.191.255.255
netname:        UNICOM-LN
descr:          China Unicom Liaoning province network
descr:          China Unicom
country:        CN

ゴミ(5.1)の所見

• Subject: 【ドラゴンクエストX　目覚めし五つの種族　オンライン】認証
• ゴミ(5.0)の修正版かと思いきや、実際にはむしろゴミ(2.1)の別バージョン
• なので結局おなじこと
• googleに届けた最終MTAは中国・・・ってコレは・・・。それ以前の中継記録は無い。

inetnum:        60.191.128.52 - 60.191.128.55
netname:        THE-DISABLED-COMMUN
country:        CN
descr:          wenling the disabled community
descr:
admin-c:        WC1156-AP
tech-c:         CT24-AP
status:         ASSIGNED NON-PORTABLE
changed:        auto-dbm@dcb.hz.zj.cn 20080715
mnt-by:         MAINT-CN-CHINANET-ZJ-TZ
source:         APNIC

role:           CHINANET-ZJ Taizhou
address:        No.668 Shifu Street,Jiaojiang,Taizhou,Zhejiang.318000
country:        CN
phone:          +86-576-8680619
fax-no:         +86-576-8680613
e-mail:         anti-spam@mail.tzptt.zj.cn
remarks:        send spam reports to anti-spam@mail.tzptt.zj.cn
remarks:        and abuse reports to anti-spam@mail.tzptt.zj.cn
remarks:        Please include detailed information and times in UTC
admin-c:        CH111-AP
tech-c:         CH111-AP
nic-hdl:        CT24-AP
mnt-by:         MAINT-CHINANET-ZJ
changed:        master@dcb.hz.zj.cn 20031204
source:         APNIC
changed:        hm-changed@apnic.net 20111114

person:         WEIMIN CHEN
nic-hdl:        WC1156-AP
e-mail:         chinacwm@163.com
address:        TaiPing Street ZhongHua Road NO.568,WenLing
phone:          +86-13858699258
country:        CN
changed:        auto-dbm@dcb.hz.zj.cn 20080624
mnt-by:         MAINT-CN-CHINANET-ZJ-TZ
source:         APNIC

ゴミ(6)の所見

• Subject: [スクウェア・エニックス アカウント]アカウント登録用メール送付のお知らせ
• ほぼ全面的にゴミ(1)に類似。先祖返り?
• googleに届けた最終MTAは米国の腐れレンタル鯖。

NetRange:       192.154.96.0 - 192.154.111.255
CIDR:           192.154.96.0/20
OriginAS:       AS53850
NetName:        GSI-192-154-96-0
NetHandle:      NET-192-154-96-0-1
Parent:         NET-192-0-0-0-0
NetType:        Direct Allocation
Comment:        https://support.GorillaServers.com 
Comment:        Abuse: abuse@GorillaServers.com 
Comment:        Billing: billing@GorillaServers.com 
Comment:        Technical Support: support@GorillaServers.com
RegDate:        2012-11-28
Updated:        2013-01-31
Ref:            http://whois.arin.net/rest/net/NET-192-154-96-0-1

OrgName:        GorillaServers, Inc.
OrgId:          GORIL-3
Address:        800 S Hope St
Address:        Suite B100
City:           Los Angeles
StateProv:      CA
PostalCode:     90017
Country:        US
RegDate:        2011-01-28
Updated:        2012-03-12
Ref:            http://whois.arin.net/rest/org/GORIL-3

• それ以前の中継記録としてあからさまな偽装が一件付いている・・・が、偽装された送信元は最終MTAと全く同アドレス。何をしたいの? バカなの?

ゴミ(7)の所見

• Subject: [ドラゴンクエストX]アカウントセキュリティの警告
• 久々なので新種かと思いきや、全面的にゴミ(1)に類似
• 本文は親愛なる選手！
• googleに届けた最終MTAは韓国。それ以前の中継記録は無い。

inetnum:        210.210.192.0 - 210.210.255.255
netname:        CHEONANVITSSEN
descr:          18-6 Munhwa-dong , Cheonan-si, CHUNGNAM, 330-020
country:        KR
remarks:        www.cbncatv.com

inetnum:        210.210.192.0 - 210.210.255.255
netname:        CHUNGBUVITSSEN-KR
descr:          Tbroad Chungbu Broadcasting Co.
country:        KR

ゴミ(8)の所見

• Subject: ハンゲームアカウントーー安全確認
• スクエニでないと思いきや、実態は件名を変更しただけのゴミ(4)相当
• googleに届けた最終MTAは KDDI Web。お、おう。

[IPネットワークアドレス]        158.199.128.0/17
[ネットワーク名]                KWC-NET
[組織名]                        株式会社KDDIウェブコミュニケーションズ
[Organization]                  KDDI Web Communications Inc.
[Abuse]                         abuse@cpi.ad.jp

• 偽装にすらなっていないゴミ中継記録が一件付いている。

ゴミ(9)の所見

• Subject: スクウェア?エニックス アカウント管理システム
• ゴミ(5.0)に近い
• X-Mailer: Foxmail 5.0 beta2 [cn] のものと X-Mailer: Microsoft Outlook Express 6.00.2800.1158 のものが混在
• googleに届けた最終MTAは中国。それ以前の中継記録は無い。

inetnum:        115.47.0.0 - 115.47.255.255
netname:        HSOFT
descr:          Beijing hsoft technologies inc
descr:          Beijing City, Haidian District Madian 8 South Road
descr:          crown sea building three layer
country:        CN

ゴミ(10)の所見

• Subject: アカウント確認のお願い
• 実態は件名を変更しただけのゴミ(2.1)相当
• googleに届けた最終MTAは香港。それ以前の中継記録は無い。

inetnum:        220.241.216.216 - 220.241.216.223
netname:        SILICONEZONEHKLIMITED
descr:          SILICONE ZONE (HK) LIMITED
country:        HK

role:           BIZ NETVIGATOR ADMINISTRATORS
address:        27/F, PCCW Tower, Taikoo Place,
address:        979 King's Road, Quarry Bay, HK
country:        HK
phone:          +852-2888-6932
e-mail:         cs@imsbiz.com
notify:         noc@imsbiz.com

role:           TECHNICAL ADMINISTRATORS
address:        HKT Limited
address:        PO Box 9896 GPO
phone:          +852-2883-5151
country:        HK
e-mail:         noc@imsbiz.com
notify:         noc@imsbiz.com

ゴミ(10.1)の所見

• Subject: アカウント確認のお願い
• 本文が若干変わった程度のゴミ(10)
• googleに届けた最終MTAは韓国あるいは中国。それ以前の中継記録は無い。

inetnum:        211.43.192.0 - 211.43.223.255
netname:        KIDC-KR
descr:          LG DACOM KIDC
country:        KR

inetnum:        123.151.23.0 - 123.151.23.255
netname:        TIANJIN-TIANJINCHANGKUAN-LTD
descr:          TIANJINCHANGKUAN-LTD
descr:          TIANJIN CITY
mnt-irt:        IRT-CHINANET-TJ
country:        CN

irt:            IRT-CHINANET-TJ
address:        No.11 LIUJING ROAD ,HEDONG ,TIANJIN,CHINA
e-mail:         tjipadmin@163.com
abuse-mailbox:  tjipadmin@163.com

person:         admin tjtele
e-mail:         tjipback@yahoo.com
address:        No.11 LIUJING ROAD ,HEDONG ,TIANJIN,CHINA
phone:          +86-22-85580499
fax-no:         +86-22-85580970
country:        CN

ゴミ(8.1)の所見

• Subject: ハンゲームアカウントーー安全確認
• Content-Type: text/html; charset="utf-7" を Content-Transfer-Encoding: base64。頭おかしい。
• と表面的には違いがあるものの、中身はほぼゴミ(8)のまま
• 大量に来る重複の数と順序がゴミ(4)と完全に一致
• googleに届けた最終MTAは Yahoo JP。その一つ前は GMO。なんというか・・・うん。

[IPネットワークアドレス]     157.7.202.0/23
[ネットワーク名]             KVM-V2
[組織名]                     GMOインターネット株式会社
[Organization]               GMO Internet,Inc.

• (8.1') これまた Yahoo JP 経由でその一つ前は DIX、というか (8.2) 初出時のがまだ息をしていたらしい。えー。

[IPネットワークアドレス]     153.122.20.0/22
[ネットワーク名]             DIX-CL
[組織名]                     株式会社DIX
[Organization]               DIX Co., Ltd.

ゴミ(8.2)の所見

• Subject: ハンゲームアカウントーー安全確認
• base64 でなくなった程度のゴミ(8.1)
• ほぼ同テンプレートでの反復が多いが、ヘッダ中の改行や攻撃URIには多少の変動がある
• googleに届けた最終MTAは Yahoo JP。その一つ前は DIX、と思いきやDNSが逆引き込みで設定されており至極微妙に GMO くさい。ふーん。

[IPネットワークアドレス]     153.122.20.0/22
[ネットワーク名]             DIX-CL
[組織名]                     株式会社DIX
[Organization]               DIX Co., Ltd.

• (8.2') 例によって Yahoo JP 経由でその一つ前は さくら。おまえもか!

[IPネットワークアドレス]     49.212.183.0/24
[ネットワーク名]             SAKURA-NET
[組織名]                     さくらインターネット株式会社
[Organization]               SAKURA Internet Inc.

[IPネットワークアドレス]     49.212.221.0/24
[ネットワーク名]             SAKURA-NET
[組織名]                     さくらインターネット株式会社
[Organization]               SAKURA Internet Inc.

[IPネットワークアドレス]     153.121.52.0/24
[ネットワーク名]             SAKURA-NET
[組織名]                     さくらインターネット株式会社
[Organization]               SAKURA Internet Inc.

[IPネットワークアドレス]     49.212.0.0/24
[ネットワーク名]             SAKURA-NET
[組織名]                     さくらインターネット株式会社
[Organization]               SAKURA Internet Inc.

• (8.2'') 相も変わらず Yahoo JP 経由でその一つ前は GMO。またおまえか。

[IPネットワークアドレス]     157.7.136.0/24
[ネットワーク名]             GMOVPS-KVM1
[組織名]                     GMOインターネット株式会社
[Organization]               GMO Internet,Inc.

ゴミ(11)の所見

• Subject: NCSOFT安全確認
• 見るからにゴミ(8.2)と同系統。芸がない。
• googleに届けた最終MTAはいつも通りの Yahoo JP。その一つ前はアメリカのレンタル鯖業者 (但し収容自体は東京っぽい)。

Choopa, LLC CHOOPA-NETBLK08 (NET-108-61-0-0-1) 108.61.0.0 - 108.61.255.255
GameServers.com NET-108-61-200-0-23 (NET-108-61-200-0-1) 108.61.200.0 - 108.61.201.255

ゴミ(12)の所見

• Subject: 常確認のお願い?
• 強いて言えば大昔のゴミ(2)に近いが、偽装努力のレベルはそれよりさらに低い。というか何もしていない
• 件名の最後のゴミは U+200F RIGHT-TO-LEFT MARK
• googleに届けた最終MTAは韓国、香港、台湾、中国その他。それ以前の中継記録は無い。

inetnum:        112.160.0.0 - 112.191.255.255
netname:        KORNET
descr:          Korea Telecom
country:        KR
remarks:        www.kt.co.com

inetnum:        202.69.68.0 - 202.69.71.255
netname:        NEWTT-AS-AP
descr:          Wharf T&T Limited
country:        HK

inetnum:        223.27.32.0 - 223.27.63.255
netname:        PUMO-NET
descr:          PUMO NETWORK DIGITAL TECHNOLOGY CO.,LTD
country:        TW

inetnum:        103.230.120.0 - 103.230.123.255
netname:        DIANLIAN-HK
role:           DIANLIAN COMMUNICATIONHK LIMITED administrator
address:        OFFICE 3A,12/F,KAISER CTR.NO.18 CENTERE ST,SAI YING PUN, KAISER CENTRE 00852
country:        HK
e-mail:         abuse@u88pay.com

inetnum:        49.4.128.0 - 49.4.255.255
netname:        Zhonglianxuntong
descr:          Beijing Zhonglianxuntong Network Co.,LTD.
descr:          Beijing city Xicheng District Yuetan North Street
descr:          AHenghua International Business Center, No.26, block 408
country:        CN

inetnum:        1.224.0.0 - 1.255.255.255
netname:        broadNnet
descr:          SK Broadband Co Ltd
descr:          Jung-gu SK NamsanGreen Bldg,Namdaemunno 5(o)-ga, Seoul
country:        KR
remarks:        www.skbroadband.com

inetnum:        112.121.160.0 - 112.121.191.255
netname:        SIMCENT-HKG
descr:          Simcentric Solutions, Internet Service Provider
country:        HK

address:        15th Floor
address:        CRE Building
address:        Wan Chai
address:        Hong Kong
e-mail:         abuse@simcentric.com

CloudRadium L.L.C NOBIS-CUSTBLK-23-19-150-0-24 (NET-23-19-150-0-1) 23.19.150.0 - 23.19.150.255
Ubiquity Server Solutions Los Angeles NETBLK-UBIQUITY-LOS-ANGELES-23-19-148-0 (NET-23-19-148-0-1) 23.19.148.0 - 23.19.151.255
Nobis Technology Group, LLC NETBLK-NOBIS-TECHNOLOGY-GROUP-10 (NET-23-19-0-0-1) 23.19.0.0 - 23.19.255.255

inetnum:        81.149.0.0 - 81.149.195.255
remarks:        * USED FOR CUSTOMERS WITH SINGLE STATIC IP ADDRESSES  *
netname:        BT-ADSL
descr:          Single Static IP Addresses
country:        GB
address:        BT
address:        Openworld
address:        UK
abuse-mailbox:  abuse@btopenworld.com
route:          81.128.0.0/11
descr:          BT Public Internet Service

inetnum:        119.73.176.80 - 119.73.176.95
netname:        AWCHOC-SG
descr:          AWFULLY CHOCOLATE PTE LTD
descr:          462A JOO CHIAT ROAD
descr:          Singapore 427674
country:        SG

NetRange:       23.234.192.0 - 23.234.255.255
CIDR:           23.234.192.0/18
NetName:        MULTA-NET16
OrgName:        MULTACOM CORPORATION
OrgId:          MULTA
Address:        16654 Soledad Canyon Rd #150
City:           Canyon Country
StateProv:      CA
PostalCode:     91387
Country:        US