ペニーオークションのセキュリティを斬る川口洋のセキュリティ・プライベート・アイズ(32)

» 2011年02月14日 10時00分 公開
[川口洋@IT]

最近増えてませんか? ペニーオークション関連スパム

 もう2月になりましたが、明けましておめでとうございます。川口です。年が明けてしばらくたちましたが、ようやく新年会ラッシュが落ち着いてきたところです。今年もセキュリティとお酒を頑張っていこうと思います。

 2011年一発目のネタ探しをと、毎日数百通届くスパムメールにぽちぽちと目を通していたところ、あることに気が付いたんです。最近「ペニーオークション」に関係するスパムが多くなっていることに。

時期 「ペニーオークション」という
文字列を含むスパム
2010年10月 4通
2010年11月 5通
2010年12月 6通
2011年1月 20通

 あくまで私個人あてのスパムメールが対象ですが、「ペニーオークション」という文字列を含むスパムは、2010年10月から以下のように増加していました。

 このように、ペニーオークションに関係するスパムが徐々に増えてきています。今回はこのペニーオークションについて、セキュリティ的な側面から考察してみます。

「入札するたびに手数料」というビジネスモデルの問題

 ペニーオークションとは、通常のオークションとは違い、落札価格が非常に低く設定されている(といわれている)代わりに、入札するたびに手数料(だいたい70円前後)が必要なオークションです。詳細については以下を参照してください。

【関連リンク】

ペニーオークションの相談急増 国民生活センター「利用は慎重に」
(ITmedia News)

http://www.itmedia.co.jp/news/articles/1101/24/news099.html

ペニーオークション(Wikipedia)
http://ja.wikipedia.org/wiki/%E3%83%9A%E3%83%8B%E3%83%BC%E3%82%AA%E3%83%BC%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3


 ペニーオークションは昨年から急に盛り上がってきたようです。日本語のペニーオークションサイトも20以上あることがすぐに確認できました。

 まず、全体のユーザー数の割にサイト数が多いため、1サイトの平均ユーザー数が少ないであろうことは想像に難くありません。特に、大手のペニーオークションサイトにユーザーが集中しているとすると、それ以外のペニーオークションサイトでは閑古鳥が鳴いている状態かもしれません。だからこそ、スパムメールまがいの集客策を取ってユーザー数の増加を図ろうとしているのでしょう。また、芸能人を使って宣伝している可能性も疑われています。

【関連記事】

アメブロ芸能人がペニーオークションで続々落札?
サイバーエージェント「一切関与していない」(ITmedia News)

http://www.itmedia.co.jp/news/articles/1101/24/news077.html


 1サイト当たりのユーザー数が少ない場合、ペニーオークションユーザーにとってはライバルが少なくなり、低価格で落札できる可能性が高くなります。しかし、ペニーオークション事業者にとっては、ユーザー数が少なければ手数料収入が見込めなくなり、赤字で商品を出品することになります。こういう背景があるため、ペニーオークションサイトではサクラやボットが仕込まれて、入札価格を競り上げているのではないかとうわさされています。

【関連リンク】

ペニーオークションでサクラやbotが使用されている証拠
http://news.livedoor.com/article/detail/5291279/


 ここでは、ペニーオークションサイトにサクラやボットがいるかどうかについては追求しませんが、運営システムの不透明性からユーザーにそう見えてしまうことは事実です。

 中には、より悪質なペニーオークションサイトの実態を紹介するホームページを作成してユーザーを啓発しつつ、同じホームページで優良なペニーオークションサイトを紹介しているところも存在しますが、これも自作自演の可能性が十分にあります。もし、事業者が本気でペニーオークションサイトを運営していくつもりならば、このような不透明性を改善していかないと、ユーザーの獲得は難しいでしょう。

にぎわっているように見えて、もしかして実体は1つ?

 ここで、ある疑問がわき上がりました。

 「もしかして、複数のサイトを立ち上げて市場全体がにぎわっているように見せているだけで、運営事業者は1つなのかもしれないぞ?」

 さっそく、Googleで検索に引っ掛かるペニーオークションサイトを片っ端から調べてみました。IPアドレス、whois情報、Webサーバのバージョン、運営事業者などを調べた結果が以下の画像です。

画面1 調査結果 画面1 調査結果

 同一の事業者が複数のサイトを運営しているのであれば、WebサーバのバージョンやIPアドレスが同じになるものがあると想定していたのですが、どうやらそうではないようです。また、サイト上の「特定商取引法に基づく記載」を調べてみたところ、重複しているものはほとんどありません。ここに記載してある会社や住所が本当のものかどうかは分かりませんが、テキストではなく画像で情報を記載して、検索エンジンに引っ掛からないようにしてあったサイトもあり、うさんくささが漂っていました。

 複数のペニーオークションサイトを調査しているうちに、そのデザインが非常に似通っていることに気付きました。以下のようにサイトのデザイン構成が非常に似ており、しかも同じ文章が使われていました。

画面2 検索で見つかったペニーオークションサイトその1 画面2 検索で見つかったペニーオークションサイトその1
画面3 検索で見つかったペニーオークションサイトその2 画面3 検索で見つかったペニーオークションサイトその2
画面4 検索すると続々と同じような文字列が見つかる 画面4 検索すると続々と同じような文字列が見つかる

 つまり、ペニーオークションのシステムをパッケージ販売している会社がいるか、SaaSやASPで提供している可能性があります。「ペニーオークション システム」という単語で検索してみるとすぐに、システム開発会社を数社発見できました。おそらくは「いま流行でっせ、もうかりまっせ」と煽ってペニーオークションのサイトを販売、構築する人がいて成り立っているのでしょう。

【参考】

スパマーにも人気の「ペニーオークション」(川口洋のつぶやき)
http://www.youtube.com/watch?v=DIrO9j9GMoU

動画が取得できませんでした

GETメソッドでログイン? HTTPSなし?

 ペニーオークションのサイトがパッケージ販売されているとなると、次に気になるのはそのセキュリティです。ペニーオークションサイトでは、入札手数料の支払などの目的でクレジットカード番号などが必要になりますから、セキュリティがどのようになっているかは当然気になるところです。

 とはいっても、無断で人様のサイトに対してセキュリティ診断を実施するわけにもいきませんので、普通にブラウザでクロールして調べてみました。

 まず、いくつかのサイトのログインにはPOSTメソッドではなくGETメソッドが使われていました。ログインすると、URLにユーザーIDとパスワードが含まれてしまうサイトがありました。HTTPSも使われていません。これでは重要なログイン情報やクレジットカード情報の通信がまったく保護されずに送信される状態です。ペニーオークションの運営事業者は「HTTPS? 必要なの? もうかるのか? 買ったパッケージに付属していないんだから知らないよ」という状態ではないかと推測しています。

 さらに、システムの可用性にも怪しいところがありました。ログイン処理にもたついたり、画像表示が遅かったりと、秒単位で入札が必要になるペニーオークションのサイトにしては、システムのパフォーマンスが足りていない可能性があります。

もしも事件が発生したら……

 まったく特別な技術も使わずに調査しただけでこのような状態ですから、非常に脆弱なペニーオークションパッケージが多数販売されている状態なのかもしれません。もし、このような脆弱なパッケージを使っているペニーオークションのサイトで情報漏えい事件が発生した場合、真摯(しんし)に対応してもらえるのでしょうか。それ以前に、事件の発生に気付くことすらできないかもしれません。

 現時点では非常にグレーな仕組みであるといわざるを得ないペニーオークションですが、安全に使うために私が提案できることは、以下の事柄です。

  • ログインにHTTPSを使っているところを選ぶ
  • 事件発生時に対応できる体力のある(逃げられない)大手企業のサービスを使用する
  • ギャンブル性の高いサービスと割り切って使う

 この記事を無事書き上げた私は新年会と称して今夜も飲みに行くのでした。


 ……と、いつもならここで終わるのですが、今回は終わりません。2月23日は「@IT セキュリティソリューション Live! in Tokyo」でお話しさせていただきますが、そのセミナーに参加された方との交流を深める飲み会を非公式にセッティングしました(詳細が気になる方は、編集部にご連絡いただくか、ATND周辺を探してみてください)。基調講演の門林さん、特別講演の松本さんらも参加予定です。皆さまの参加をお待ちしています。

【関連リンク】

@IT セキュリティソリューション Live! in Tokyo
https://itmedia.smartseminar.jp/public/seminar/view/235


Profile

川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。