2021年3月9日火曜日

iPhoneのカレンダーに見知らぬアカウントによるフィティングリンクの恐れ

 昨日突然妻から、iPhoneのカレンダーに怪しい予定はいっぱい書き込まれました。




最初はメールアドレスの盗用されたと思って、メールアカウントのパスワードと、そのメールアドレスのApple IDのパスワードを急遽変更しました。しかし、書き込みが消えず、よくカレンダーの設定のアカウントを調べると下記の画像のような気持ち悪いアカウントがいつの間にか設定されてしまいました。おそらく料理紹介のホームページにある怪しい広告をクリックしたかもしれません。くれぐれもご注意ください。

幸い、このアカウントを削除すれば、書き込みも消えました。なにが違和感を感じたときは、絶対にリンク等をクリックしないほうが身のためでしょう。



さらにnslookupで ylevelsoft.funを調べてみるとIPは13.226.77.* セグメント内の4つのようです。

$ nslookup ylevelsoft.fun
Server:         192.168.11.1
Address:        192.168.11.1#53

Non-authoritative answer:
Name:   ylevelsoft.fun
Address: 13.226.77.19
Name:   ylevelsoft.fun
Address: 13.226.77.33
Name:   ylevelsoft.fun
Address: 13.226.77.8
Name:   ylevelsoft.fun
Address: 13.226.77.15

これらのIPアドレスを調べると、東京にあるIPアドレスがわかって、Amazonにホスティングしてるようです。


カレンダーのアカウントに登録したサーばをnslookupを調べると13.33.9.*セグメントの4つが使われて、Amazonにホスティングしてるようです。
このホスト名は、server-13-33-9-105.nrt57.r.cloudfront.net
上記のIPのホスト名server-13-226-77-19.nrt20.r.cloudfront.netと同じベンダーがわかりました。

nslookup expertynow.club
Server:         192.168.11.1
Address:        192.168.11.1#53

Non-authoritative answer:
Name:   expertynow.club
Address: 13.33.9.105
Name:   expertynow.club
Address: 13.33.9.102
Name:   expertynow.club
Address: 13.33.9.32
Name:   expertynow.club
Address: 13.33.9.13

0 件のコメント:

コメントを投稿