UJP - セキュリティカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ セキュリティ の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - セキュリティカテゴリのエントリ

 「国際的なハッカーグループがあなたに目を付けて」いるのだったら,それは光栄かも.
 文書を見ると,AI翻訳なのかなぁ.自然だよね.冒頭の言い分は,英語圏の文書によくある感じだけど.

引用:
こんにちは、
大変な問題に関係していらっしゃいます。でも落ち着いて。

まず私の話をお聞きください。かならず解決策はありますから。
現在ある国際的なハッカーグループがあなたに目を付けています。このような事態は誰にとっても決して良い結果をもたらすことはありません。
アノニマスという集団について聞いたことがあると思います。でも彼らは私たちと比較すれば、ただの学生集団のようなレベルです。
私たちは、メンバーそれぞれが独自の役割を持つ数千人の専門家からなる世界的なネットワークです。

企業や政府のネットワークをハッキングする担当、超極秘任務で諜報機関に協力する担当、
そして当グループのインフラを維持するためにあなたのような方に連絡を取る担当(私もここに含まれます)が存在します。
「自分のような人とはどんな人なのか?」きっと今それが気になっているでしょう。答えは簡単です。
あなたのような人とは、普通の人なら変態だと思うような物議を醸す、いわば型破りなAVをネット上で視聴することが好きな人たちのことです。あなたは普通じゃありません!

疑問点を解消するために、なぜあなたが普通じゃないと分かったのかを説明しましょう。
2カ月前、私の同僚と私はあなたのパソコンにスパイウェアをインストールし、あなたの携帯電話を含むすべてのデバイスへのアクセス権を取得しました。
作業は簡単でした。なぜなら、AVサイトによく表示されているポップアップの1つが、私たちによって作られたものだからです。

普通のバニラ系やハードコア系の動画を視聴する一般的な趣向の人には、私たちがメッセージを送っていないことはご理解いただけたでしょう。
その動画を見ていても何も特別なことはないですからね。しかし、あなたが好んで視聴する動画は道徳的な観点を超えています。
だから、あなたのスマホとパソコンのカメラにアクセスした後、かなりヤバめな動画で自慰行為をするあなたの様子を録画しました。
あなたのアップ映像の右端には、自分を喜ばせている時に見ていたビデオが表示された小さな窓を用意しました。

しかし、先ほどもお伝えした通り、解決策は必ずあります。なぜなら、最も堕落した罪人でも寛大さを受けるに値するからです。
私は他人の苦しみで楽しめるようなドSではない。なので、あなたはツイてますよ。私にとって大切なのはお金だけです。

次の方法で解決できます:$1450相当のビットコインを記載のBTC仮想通貨ウォレットに送金してください:1C2nCoqC6xhyMp3gWDBbcrhFgx6wiELLZE
 イオンカード持ってないんだよね.近くに店がないのだ.行ってみたいけど.
 で,5,000ポイントももらえることなんかないだろうと思ったけど,新規入会で最大5,000ポイントもらえるらしい.
 もっというと,恒常特典は最大5000ポイントだけど,現在の新規キャンペーンだと条件達成で12,000円もらえるそう.太っ腹だね.

引用:
イオンカードをご利用いただきまして誠にありがとうございます。

イオンカード5000ポイントキャンペーン
期間:2024年3月1日(金)~6月10日(月)

特典(1) :もれなく1000ポイント

特典(2):最大4000ポイント

※特典(最大5,000WAON POINT)は恒常特典です。
※2024年3月1日(金)~4月14日(日)の期間実施中のイオンカード店頭入会キャンペーンとは異なります。

──────────────────────────────────

おめでとうございます、5,000WAON POINTを獲得されました!

■ 詳しくはこちら

──────────────────────────────────

<その他>
対象者を確定させる時点で、以下項目に該当する場合、特典対象外となります。
(1)会員資格を喪失している場合
(2)その他、カード利用が制限されている場合

■発行者■
株式会社イオン銀行
東京都千代田区神田錦町3-22

──────────────────────────────────

All Rights Reserved.Copyright© AEON Financial Service Co.,Ltd.
無断転載および再配布を禁じます。
 このAMEXを騙るフィッシングメール.ヘッダや本文にある日付を毎日変えたものを送ってくる.
 メールヘッダを見ると003_Dragonなのでツールがちょっと進化したのかな?なんて思ってる.
 誘導先は既にテイクダウンされているので,遅延配送されているのかな.



引用:
2024年4月10日 まで、カードの利用が一時停止されました。

カードの一時利用停止:
カードの一時利用停止を解除すると、以前と同様にカードを利用できます。カードの一時利用停止を解除する場合は、
こちら。

■ご利用確認はこちら

※24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

ご不便とご心配をおかけして申し訳ございません。

※ このメールは、取引受信メールアドレスの通知のためのものであり、再送要請は受け付けておりません。

顧客プライバシー | お問い合わせ窓口 | 配信アドレスの変更

【ご留意点】

利用停止期間の日数は米国山岳部標準時(GMT-07:00)を基準に計算されます。米国山岳部標準時が0:00になる日本時間の16:00に、残りの利用停止期間の日数が1日減ります。そのため表示の日付は、日本時間と1日ずれている場合があります。

※本Eメールはカード会員様の受信設定にかかわらず、配信しております。
※本Eメールは送信専用Eメールアドレスから配信されています。ご返信いただいてもお応えいたしかねますのでご了承ください。
※本サービスについての詳細および登録の解除・変更は、

こちら よりご確認ください。

【発行】アメリカン・エキスプレス・インターナショナル, Inc.
〒105-6920 東京都港区虎ノ門4丁目1番1号
americanexpress.co.jp
Copyright (c) 2024 American Express International, Inc. All Rights Reserved.
JPNJAALEFRZ0025
 メールヘッダを確認.

...続きを読む

 Webmasterのメアドに入れてきたので営業メールの類だろうけど,FromとReplay-Toのメアドが違う点が怪しい.



引用:
ごきげんよう、

当社は、Marcb Finance Consults として知られる独立した金融会社であり、現在、ビジネスおよびプロジェクトの資金調達のために、10 年間金利 2.5% で個人と法人の両方にローンを発行しています。

最低資金は 100 万ドル、最大資金は 25 億ドルです

ご興味がございましたら、ぜひお立ち寄りください。私たちと一緒にあなたの経済的な問題はすべて解決します。 詳細については今すぐお問い合わせください

よろしくお願いします。
フレッド・ビナザ氏
Marcb ファイナンス&インベストメント ディレクター

 Marcb Finance Consultsを検索しても,何も出てこないね.


 メールヘッダを見るとこんな感じ.

...続きを読む

 既に誘導先のサイトはテイクダウンされていましたが,Toに他の知らない人たちのメアドを列挙するのは辞めてほしいな.それも私いれて9人なので,入手したリストから小出しに送っているのだろうか.メアドを見ても,アルファベット順でもなさそうだけど.

...続きを読む

 「松川さんにけがはありませんでした」「反欧米のロシアの独自性を強調するネオユーラシ」「片方の足の先を、手で後ろから引っ張ります。」という謎文書が入っている謎のフィッシングメール.

引用:
━━━━━━━━━━━━━━━━━━━━
会員情報変更および退会に関するお知らせ
━━━━━━━━━━━━━━2024.6━━

※重要なお知らせのため「えきねっと」からの
メールマガジンの受信を希望されていない方へもお送りしています。
━━━━━━━━━━━━━━━━━━━━

松川さんにけがはありませんでしたが、
平素、「えきねっと」をご利用いただきまして誠にありがとうございます。
4月1日にセキュリティシステムを全面的にリニューアルしましたため、7日以上にログインしていない方は、今後の利用に支障が出ないよう、このメールを受信後、早急にログインをして個人情報を更新してくださ。

⇒ 『ログインはこちら』

片方の足の先を、手で後ろから引っ張ります。
4月30日までにご記入ください。ご記入がない場合は、退会手続きをとらせていただきます。
お客さまにはご不便をおかけいたしますが、何卒ご理解を賜りますようお願い申し上げます。

(サービス概要)
※このメールにご返信いただきましてもご対応いたしかねますので、
あらかじめご了承ください。
----------------------------------------
発行:株式会社JR東日本ネットステーション
〒151-0051 東京都渋谷区千駄ヶ谷5-27-11 アグリスクエア新宿4階
----------------------------------------

反欧米のロシアの独自性を強調するネオユーラシ
Copyright (c) 2024 JR East Net Station Co., Ltd.
許可なく転載することを禁じます。
 よく食品などで「製造過程で何月から何月までに製造された一部のロットに問題があるので回収」みたいなのがあるけど,最近は様々な最適化が進んで消費期限設定などもキツめになっているから,生産から小売,口に入るまでの時間が短い.つまり回収騒ぎになった頃には既に消費しているだろうな,って事が多いと思う.

 今回も2月以降にリリースしたライブラリに想定外のものが入っていたけど,高頻度にソフトウェアアップデートをしていると入り込まれる可能性が高まると言う点で面倒だ.さらに経緯不明.まさに小林製薬と同じ状況か.


ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
https://www.security-next.com/155438

引用:
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
XZ形式データの圧縮や解凍を行うライブラリ「XZ Utils」の一部に悪意あるコードが埋め込まれたことがわかった。同ライブラリはLinuxディストリビューションで広く利用されており、新機能を試すテスト板やベータ版などに侵害されたパッケージが混入していた。

2024年2月以降にリリースされた「同5.6.0」「同5.6.1」の「tarball」に悪意あるコードを埋め込まれていることが判明したもの。パッケージ内の不正なコードが埋め込まれた「liblzma」によってsshのログイン速度が低下し、特定環境ではsshd経由でリモートから侵入することが可能となるおそれがある。悪意あるコードが混入した詳しい経緯はわかっていない。
 HYASという脅威インテリジェンスを提供する会社のレポートで,さくらインターネットのASがリストされているというので見てみた.

HYAS THREAT INTEL REPORT APRIL 1 2024
https://www.hyas.com/blog/hyas-threat-intel-report-april-1-2024

引用:
Each week, we are sharing what we are seeing in our HYAS Insight threat intelligence and investigation platform, specifically a summary of the top autonomous system numbers (ASNs) and malware origins, as well as the most prominent malware families. We identified certain information that raises several concerning points that warrant thorough analysis and consideration.

毎週、HYAS Insightの脅威インテリジェンスと調査プラットフォームで確認できること、特に上位の自律システム番号(ASN)とマルウェアの発信元、および最も著名なマルウェアファミリーの概要を共有しています。私たちは、徹底的な分析と検討を必要とするいくつかの懸念事項を提起する特定の情報を特定しました。

AS7684 - Sakura Internet Inc. (Japan)

AS7684, managed by Sakura Internet Inc., is a prominent web hosting and data services provider based in Japan. Despite its reputable services, there's significant malware activity linked to this ASN. This raises concerns about compromised user systems or exploitation of services by malicious entities. A thorough cybersecurity investigation is necessary to mitigate these risks effectively.

AS7684 - さくらインターネット株式会社(日本)

AS7684は、Sakura Internet Inc.によって管理されており、日本に拠点を置く著名なWebホスティングおよびデータサービスプロバイダーです。評判の良いサービスにもかかわらず、このASNには重大なマルウェアアクティビティがリンクされています。これにより、ユーザーシステムの侵害や悪意のあるエンティティによるサービスの悪用に関する懸念が生じます。これらのリスクを効果的に軽減するには、徹底的なサイバーセキュリティ調査が必要です。

 うちに来るフィッシングメールの踏み台に使われていることも確認しているし.ガバメントクラウドになろうかというけど,元々は安いサービスの代表だから,悪意のある業者からも契約されちゃうんだろうな.
 IPA ChannelというYoutubeチャンネルがあるんですね.最初の部分は,社内教育などで使えそう.


 セキュリティ部門でとるべき基礎的な情報も繰り返し説明されていますね.大事なことだから2度言う,みたいな.

通報しますた

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/4/2 1:48
 こんな組織と仕組みがあったのね.

「違法情報」の通報が約28.2%増 - 「犯罪実行者募集」は4000件超
https://www.security-next.com/155065

引用:
同センターではインターネット上に書き込まれた違法情報や重要犯罪と密接に関連する情報、自殺の誘引を図る情報などの通報を受理し、警察に対する通報やプロバイダやサイト管理者に削除依頼を行っている。

 「88.7%にあたる34万9631件は同ガイドラインの対象外」ということで,110番と同じで,ウソ情報の通報も多いようだけど.

インターネット・ホットラインセンター(IHC)
https://www.internethotline.jp/

引用:
$ whois internethotline.jp
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [ドメイン情報]
[Domain Name] INTERNETHOTLINE.JP

[登録者名] ポールトゥウィン株式会社
[Registrant] Pole To Win, Inc.

[Name Server] 03.dnsv.jp
[Name Server] 02.dnsv.jp
[Name Server] 01.dnsv.jp
[Name Server] 04.dnsv.jp
[Signing Key]

[登録年月日] 2006/05/24
[有効期限] 2024/05/31
[状態] Active
[最終更新] 2024/03/30 09:01:54 (JST)

Contact Information: [公開連絡窓口]
[名前] ポールトゥウィン株式会社
[Name] Pole To Win, Inc.
[Email] sh_yamaguchi@ptw.inc
[Web Page]
[郵便番号]
[住所]
[Postal Address]
[電話番号] 093-541-2711
[FAX番号]

$
 委託元は警視庁だそうです.

デジタルギフトの業務上横領

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2024/4/1 0:51
 会社のお金を横領する場合,専任の経理担当や大リーガーの通訳とか権限を持っている人が悪いことをすることがあるのだけど,今回も同じかな.

子会社従業員が有効期限間近のデジタルギフトを不正入手 - デジタルプラス
https://www.security-next.com/155219

引用:
有効期限が迫っていたデジタルギフトを不正に入手し、自分の電子マネーアカウントへ送金していたことが判明したもの。

 ちょっと気になったので深掘りしてみた.

 上場企業のようなので,Yahoo!Financeの情報を確認.

(株)デジタルプラス
https://finance.yahoo.co.jp/quote/3691.T/profile

引用:
従業員数(単独)15人
従業員数(連結)34人
 本体が15人.グループ会社は19人.

会社概要
https://digital-plus.co.jp/company/infomation.html

引用:
・株式会社デジタルプラス
・株式会社デジタルフィンテック
・株式会社デジタルand

株式会社デジタルフィンテック
https://digital-gift.jp/terms_of_sale/

株式会社デジタルandにて株式会社オンコーチを吸収合併。資金移動業の取得を見据え、報酬支払デジタル化の布石へ
https://prtimes.jp/main/html/rd/p/000000114.000007199.html

 「株式会社デジタルand」は公式サイトが見当たらないのだけど見つかった合併の記事から「占いに関連する事業」をやっているそうなので,子会社19人中の9人程度(デジタルandとオンコーチ社の合併の人数)と想定.そうなるとデジタルフィンテック社の従業員は10人程度だと思われるので,何かの役割が誰かに依存していることもあるでしょう.

 そしてここが重要.

引用:
同問題を受けて同社では3月18日付けで元従業員を懲戒解雇処分とした。また同月21日に元従業員より全額を回収。さらに調査費用など含めると総額1342万円を元従業員から受領するとしている。
 フォレンジック費用として1342万円.これを元従業員に請求するというところあたりの事案が,今後の抑止力につながるといいけどね.

ーーー
 そう言えば昔やっていたIPものモバイルコンテンツ.プログラムバグで以上通信してパケット代が沢山かかる(いわゆるパケ死)可能性があり,コンテンツ利用料じゃなくて通信費なのでコンテンツプロバイダーで把握することができず,利用者からの申し出を待つことに.
 IPのオーナーから,お詫び・賠償用のQUOカード的なものを数百万円分提供してくれたのだけど,実際には申し出が数件しかなくてずっとそのQUOカード的なものが余っていてどうしよう・・・と袖机の一番下の段にいっぱいになっているカードを見せてくれながら悩んでいるプロデューサが居たんだけど,結局どうしたのだろうと,たまに思い出す.
 くだらない裏金問題に時間が取られているから,こういう法案が見送りされてしまう.自民党は罪深い.


 それにしてもキャスターの松原耕二さんはもうちょっと勉強した方がいいね.フジテレビの反町理の方が理解度が高い.それん比べてパックンがとても良い.やっぱアメリカ人的な方向からの見方なのか.

 それにしてもこれ.

NHK日曜討論 小池書記局長の発言 - しんぶん赤旗
https://www.jcp.or.jp/akahata/aik23/2024-03-25/2024032504_02_0.html
 小池晃書記局長は「セキュリティクリアランスの導入は阻止する」と発言していたけど,この議事録?には載ってないね.

 セキュリティクリアランス制度は大事だと思うけど共産党は反対・阻止しようとしている.借金があるやつとかギャンブル好きとか美人局にハマってる奴も洗い出せるわけで.自分が暴かれると良く無いからじゃ無いかな.
 リビングで使っているiPad mini 5で,投資先の研究調査などを行なっているのだけど,同じiPadにfacebookアプリが入っている.
 一応,プライバシー設定で情報がfacebookアプリからiPad内の色々な情報(サードパーティクッキー的な)にアクセス出来ないように設定しているのだけど,Twitter(現X)やSafariなどのブラウザで何か検索したら,投資関係の偽広告がたくさん出てくるようになった.

 それが2023年11月ごろ.以下にその頃に取ったスクショを掲載.
 その後3,4ヶ月になると,このfacebookに溢れていた偽広告の効果が出てきた.

・投資初心者が広告に騙されて支払ったお金が返ってこない&連絡が取れないなどの被害が表面化.テレビで報道され始める
・facebookを運営するメタ社が過去最高益を出して株価が高騰

...続きを読む

 日本に住んでいるとマイナポイントのことなんて話題になってないけど,毎年実施という意味合いかなぁ.
 「2024年開年」という言葉遣いは違和感があると思う.



引用:
2024年、2万円のマイナポイントを手に入れるチャンス!
経済の活性化と生活の向上を目指して実施されるスペシャルなイベントにご招待!

━━━━━━━━━━━━━━━━━━━━━
皆さま、こんにちは!
2024年開年で2万円のマイナポイントを手に入れたことをお知らせします。
この特別なイベントは、経済復興と生活のクオリティ向上を促進するために開催されています。
期限内にお早めに請求して、このチャンスを逃さないようにしましょう!
━━━━━━━━━━━━━━━━━━━━━

マイナポイントとは?

マイナポイントは、マイナンバーカードの普及や活用を促進し、QRコード決済や電子マネーで使える特典(1人2万円分)を提供するプログラムです。

ポイントを手に入れる方法

お申し込みは簡単!以下の手順を追って、最短3分で完了します:

★STEP1
専用サイトにアクセスし、必要事項を入力
★STEP2
マイナポイントの申し込みを完了
★STEP3
20,000円分のマイナポイントを手に入れて、自由にご利用ください
お申し込みはこちらから!

マイナポイントを手に入れる
※マイナポイント開年2万円のポイント申込期限は、2024年4月末まで延長されました。

なお、本メールの送信アドレスは「送信専用」ですので、 返信してお問い合わせいただくことはできません。


マイページへログイン メールの配信停止設定はこちら
今後とも、美容・リラクゼーション・治療の求人サイトリジョブをよろしくお願いいたします。
© tmzjischtexlopdawyqt Co.,tmzjischtexlopdawyqt. All Rights Rtmzjischtexlopdawyqt.

...続きを読む

 東京電力エナジーパートナー株式会社を騙っているけど,本文中にメルカリへのリンクが埋め込まれている003_DragonとChina Unicomのいつものメール.
 誘導先のWebサーバは,TEPCOとAmazonのフィッシングで使われていた形跡がある模様.



引用:


このメールは、未払いの電気料金についてご連絡させていただくものです。お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。

お支払い期限: 2024/3/21

お支払いが確認できておりませんので、お早めにお支払いください。

オンラインでのお支払い: 以下のボタンをクリックして、オンラインでお支払いください。

■ご利用確認はこちら

※更新の有効期限は、24時間です。

お支払い前に、添付の請求書をご確認いただき、お支払い金額が正確であることをご確認ください。

既にお支払いいただいた場合は、このお知らせを無視していただいて結構です。ご不明な点やご質問がある場合は、お気軽にお問い合わせください。お客様サポートチームがお手伝いいたします。

ご協力とご理解に感謝いたします。早期のお支払いをお待ちしております。

素晴らしい一日をお過ごしください。

引越し申込後の内容の照会・変更・取消
電気・ガスの使用開始・停止のお申込み後の確認(照会)・変更・取消は、チャットで承ります。
チャットご利用方法
1. 画面右下に表示されるチャットのアイコンの吹き出しより、「引越し申込後の確認・変更・取消」を選択する
※吹き出しが表示されない場合は、チャットのアイコンをクリックし、メッセージ入力欄に「引越し確認」「引越し取消」「引越し変更」等と入力。
2. 以降はガイドの案内に沿って、ご希望のお手続きを選択し、必要な情報を入力
※Webからのお申込みで、11桁の受付番号(お申込み完了メールに記載しているWeb受付番号)がご不明な場合は「わからない」を選択してください。

1. 定義
本利用規約において、以下の用語は、別途定義されている場合及び文脈上別異に解すべき場合を除き、以下の意味を有するものとします。
https[:]//careers.mercari.com/jp/
2. 適用
本条の定義は、別途定義されている場合及び文脈上別異に解すべき場合を除き、本利用規約のほか、プライバシーポリシー及びガイドにおいても、適用されるものとします。
https[:]//about.mercari.com/press/press-kit/mercari/
第 3 条 本規約への同意及び本規約の変更
1. 本規約への同意及び適用
本規約は、本サービスの利用に関する条件をユーザーと弊社との間で定めることを目的とし、ユーザーと弊社の間の本サービスの利用に関わる一切の関係に適用されます。ユーザーは、本規約に同意をしたうえで、本規約の定めに従って本サービスを利用するものとし、ユーザーは、本サービスを利用することにより本規約に同意をしたものとみなされます。
https[:]//help.jp.mercari.com/?_gl=1

東京電力エナジーパートナー株式会社

24時間経過後は、再度お手続きが必要となりますので、ご注意ください。
 「文脈上別異に解すべき」ってなんだろうと思ったけど,メルカリで使われている文法なんだね.

別異・・・べつい.相違点
解す・・・納得

 メールヘッダを確認.

...続きを読む

 最近,ビットコインが過去最高値になったニュースがあったけど,それに連動するように暗号資産に関するフィッシングメールが多くなった感じがある.
 その中でも今回取り上げるのは,2018年に外部からハッキングを受けて580億円相当の仮想通貨NEMが盗まれたコインチェックを騙るもの.



引用:
Coincheck︉をご利用い︉ただきあ⁡りがとうございま⁡す。

Coinch︉eckアカウントに⁡ログ⁤インしました。
ロ⁤グイン⁤日時: 2024-03-16 14:24:23(日本時間)
IPアドレス:

■第三者ログイン︉の可⁤能性⁤があ⁤るため⁤、アカウントは一⁤時的に制⁤限しています

■お︉問い合わせ︉フォーム
https[:]//coincheck.boukk.com/?onetoken=XXXXXX&token=YYYY


---------︉------⁡----︉-----⁡---︉---------⁤-----︉----⁤--︉------⁤----︉--------︉---------⁤-------︉--------
コインチェ︉ック株式会社
〒15︉0-0044⁡ 東京都渋谷⁤区円山町︉3-6 E・︉スペースタワー10F︉
URL:https://coincheck.boukk.com/?faq=qb1DS5yx
ヘルプセンター:https://coincheck.boukk.com/?faq=ugwpyyJ
暗号資産交換⁡業登録 関東財務局⁡長 第00014号
加入協会 一︉般社団法⁡人日︉本暗号資⁡産取引業︉協会︉
--︉-----⁡--------⁤----⁡--⁡------︉----⁤--⁡-------⁤---⁤--︉---------⁤-----⁡------⁡---------︉----⁡--------︉---
 メールヘッダを確認するとこんな感じ.

...続きを読む

 メッセンジャーアプリだと開封確認が簡単だけど,電子メールではその機能がないので開封通知機能を実装しているメーラがあるけど,なんとなく滅多に使われない.相手が対応してない場合もあるし,失礼だと考えて開封通知を送らないのもある.圧を感じて無礼だと思うのが日本人的な対応かな.
 なので滅多にないこういうメール.


 開封通知がどこに送られるんだろうと調べた.

...続きを読む

 送信日時を圧倒的未来に設定している事で,メールボックス内で目立たせようという浅はかな迷惑メール.
 変な小細工をしている方,メールセキュリティゲートウェイで除外されて,到着してないんじゃないかな.


 内容はビットコインを要求するセクストーションメールで目新しい文書はありませんでした.

引用:
どうも、こんにちは。
まずは自己紹介をさせていただきますね。私はプロのプログラマーで、自由時間ではハッキングを専門にしております。
今回残念なことに、貴方は私の次の被害者となり、貴方のオペレーティングシステムとデバイスに私はハッキングいたしました。

数ヶ月間、貴方を観察してきました。
端的に申し上げますと、貴方がお気に入りのアダルトサイトに訪問している間に、貴方のデバイスが私のウイルスに感染したのです。

このような状況に疎い方もいらっしゃいますので、より細かく現状を説明いたします。
トロイの木馬により、貴方のデバイスへのフルアクセスとコントロールを私は獲得しています。
よって、貴方の画面にあるもの全てを閲覧、アクセスすることができ、カメラやマイクのON/OFFや、他の様々なことを貴方が知らない間に行うことが可能です。

その上、貴方のソーシャルネットワークやデバイス内の連絡先全てにもアクセスを行いました。

なぜ今までウイルス対策ソフトが全く悪質なソフトウェアを検出しなかったんだろうとお考えではないかと思います。

-略-
朗報は、まだ抑止することができることです。
ただ 19万円 相当のビットコインを私のBTCウォレットに送金いただくだけで止められます(方法がわからない方は、オンライン検索すれば、段階ごとに方法を説明した記事が沢山見つけられるはずです)。

 うちに届いた4つのメアドは全て同じビットコインアドレスですが,この記事を書いている時点では,送金はありませんでした.

https://www.blockchain.com/explorer/addresses/btc/3JhV2SbTkcvaL6acp3G9d3a1Fz9n3xi1Mz

メールヘッダを確認.

...続きを読む

 うちに届いたのは2通ほどなので大きなキャンペーンをやってるわけじゃなさそうだけど,メール本文にログインIPが記載されていて,それが米国の軍事利用のIPアドレスだったり,香港経由だったりFoxmail,003_Dragonなどいつもの人達からのものだと判明.
 米国と香港を経由して少しややこしくしているが,既にサイトはテイクダウンされていました.

...続きを読む

 最近,ちょくちょくこの手の自社の管理者を装ったものがくるので,ちょっと調べてみた.


 意外と,フィッシング協議会に出たりしてないようで,誘導先URLも何段も飛ばされるので,このメールが到着して1週間近くになるけど,未だテイクダウンされていませんね.

 銀行やショッピングサイト,電気ガス水道警察を騙るフィッシングメールは過食気味なので,こういうので騙されそう.

詳細はこちら
 ビットフライヤーはうちでは初めてかな.航空会社かと思ったら,暗号資産会社なのね...数年ぶりにビットコインが最高値を更新したというニュースもあるので,狙い目なのだろう.

 ドメインが違う数種類のものを受け取っています.



引用:
お客︉様が bitF︉lyer 凍結しま⁡した、お知らせ︉いたし︉ます。

■アカウントの︉凍結解除用URL:⁡
https[:]//bitflyer.com.hsygl.com/?onetime=SYYYYYYYYYMXPv&token=KKKKK

お手⁡数で︉はございますが、何卒︉よろしくお願いいた⁡します。

※ 本メールは送信専︉用です。返信はお受け⁡しており︉ませんのでご了⁡承ください⁡。
※ 本メ⁡ールにお心⁡当た⁡りのない場合や、ご⁡意見・ご質問等がご︉ざいましたら下部⁡のお問い︉合わせ先︉よりお︉知らせくだ︉さい。
---︉------⁡----------⁡--︉---------⁡------⁡--------︉----︉--
株式会社 bitF︉lyer
〒107-62⁡33︉ 東京都港区︉赤坂 ⁡9-7-︉1 ミッドタウン・タ︉ワー
暗号資産交換業 ︉関東財務局長 ︉第 0000⁡3 号
金融商品取引業 ⁡関東財務局長(金商⁡)第 3294 号︉
お問い合わせ URL⁡ : ⁡
https[:]//bitflyer.com.hsygl.com/?faq=XXXXXXXXX&token=WdXXXXX
----⁡--⁡------⁡----------︉------︉----⁡--︉--------⁡-----⁡---

 誘導先のFQDNにアクセスすると,ログイン画面が表示.


 出鱈目なメアドでログインしようとしたけど,ちゃんと?確認されているようでエラーで弾かれてしまいました.

豊川信用金庫事件

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2024/3/6 1:26
 興味深い.

豊川信用金庫事件
https://ja.wikipedia.org/wiki/%E8%B1%8A%E5%B7%9D%E4%BF%A1%E7%94%A8%E9%87%91%E5%BA%AB%E4%BA%8B%E4%BB%B6

引用:
1973年(昭和48年)12月、愛知県宝飯郡小坂井町(現・豊川市)を中心に「豊川信用金庫が倒産する」というデマが流れたことから取り付け騒ぎが発生し、短期間(二週間弱)で約14億円もの預貯金が引き出され、倒産危機を起こした事件である。

警察が信用毀損業務妨害の疑いで捜査を行った結果、女子高生3人の雑談をきっかけとした自然発生的な流言が原因であり、犯罪性がないことが判明した。デマがパニックを引き起こすまでの詳細な過程が解明された珍しい事例であるため、心理学や社会学の教材として取り上げられることがある。
 50年前なので当然Twitter(現X)などのSNSもない時代でも短期間にデマが拡散していたなんて.
 噂が拡散される過程も明らかにされているのが興味深い.

 そして解決した後も続く陰謀説.

引用:
 新聞各紙朝刊が警察発表を報道する。しかし、その後の22日になっても「豊川信金は潰れたのではないか」「3人のうわさ話がここまで大きくなるはずはない。裏に組織的な陰謀があり、警察発表は政治的なものだ」などと主張する者もおり、デマはすぐには消滅しなかった。
 陰謀説を言う人たちもいたようだ.当然当時とはプレイヤーは変わっているけど,人間の発想力の限界というか最初の到達点がこの点と点がつながった所なのかな.

 対応策として城南信用金庫がとった対策,これも興味深いね.「見える|見た」ことが重要という所だ.百聞は一見にしかず.

 これも.

センメルヴェイス反射
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%B3%E3%83%A1%E3%83%AB%E3%83%B4%E3%82%A7%E3%82%A4%E3%82%B9%E5%8F%8D%E5%B0%84

引用:
センメルヴェイス反射(Semmelweis reflex)は、通説にそぐわない事実を拒絶する傾向や常識から説明できない事実を拒絶することを指す。



2024/03/07

昨日の当行に対するSNS(X “旧Twitter”)の投稿について 2024年3月4日
https://www.fukuokabank.co.jp/announcement/important/y2024/20240304.html

引用:
昨日、SNS(X “旧Twitter”)上で、当行が3月14日に取り付け騒ぎが起こることに備えて行員に通知をしたという内容の投稿がございますが、そのような事実はございません。

また、経営・資金繰りなど全く問題ございませんので、安心してお取引ください。

以上

福岡銀行、SNSで偽情報が拡散 警察に被害相談
https://www.nikkei.com/article/DGXZQOJC056DO0V00C24A3000000/

引用:
ふくおかフィナンシャルグループ(FG)傘下の福岡銀行は5日、SNS(交流サイト)に同行で「取り付け騒ぎが起きる」という虚偽情報が投稿されたことについて、警察や弁護士に相談していると明らかにした。刑事告訴などをするかは決めていない。

ー略ー

投稿者は既に投稿を削除し、「正確な事実確認が取れていない情報を発信した」と謝罪している。

 株価を見てみる.


 取り付け騒ぎの投稿があったのは3月3日.3月4日(月)に150円近く下がって取引終了.3月5日にふくおかフィナンシャルグループが噂を否定.そこからは株価も回復している.

・株主で,不確かな情報に踊らされた人
・株主で,騒ぎを知らなかった人
・株主じゃ無いが,騒ぎを知って便乗した人
・株主じゃ無く,全く関係なかった人

2024/03/18
 今回のデマを流した人は,前科持ちだったようだ.2022年の判決なので,執行猶予3年だと今回ので逮捕されるような事になったら懲役なのに,それでもやっちゃう精神構造は興味あるね.入って白をつけたいとか?

反ワクチン団体「神真都Q会」幹部らに有罪判決 陰謀論の代償重く
https://www.asahi.com/articles/ASQDQ3T7FQDMUHBI02W.html

引用:
 団体の元リーダー格で、「岡本一兵衛(いちべえ)」と名乗って活動していた倉岡宏行被告(44)は、懲役1年6カ月執行猶予3年(求刑懲役1年6カ月)となった。
 メール本文的には,初めてのパターンじゃ無いかな.



引用:
配達試行のお知らせ
このメールを Web ブラウザで表示する

拝啓、お客様

いつも大変お世話になっております。お世話になっております。

本日はお荷物の配達を試みましたが、残念ながら配達を完了することができませんでした。失敗した配達の理由は、受取人不在あるいは未払い料金が発生しているためです。

以下に、配達試行の詳細を記載いたします:

○送り状番号:4808-XXXXX-77639

○配達試行日時:3月04日 12時~14時

■配達状況の確認や再配達の手配をするには、以下のリンクをクリックしてください:配達状況の確認と再配達の手配

※なお、48時間以内に対応がない場合、荷物を送り主に返送する必要が生じる可能性がございますので、ご了承ください。

・交通事情等により予定通りにお届けできない場合があります。

今後もご利用いただけるよう、一層の努力をしてまいります。何卒よろしくお願い申し上げます。

荷物のお届け遅延について

最新のお荷物の集配および直営店の営業状況は、こちらをご確認ください。

よくあるご質問はこちら

サービスセンターの電話番号

携帯電話からのお問い合わせ ナビダイヤル 0570-300-000
[通話料有料]受付時間:8:00〜21:00(年中無休)

※このメールへの返信は承れません。

敬具、ヤマト運輸株式会社
 興味深いのは3箇所ある誘導先へのリンク.3つとも異なる.

...続きを読む

キリバスからの迷惑電話

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2024/3/3 22:02
 ワン切りでかかってきた.


 iPhoneは国際電話の着信時に国情報が出てくるのだけど,流石にキリバスという国は知らなかったな.場所的にはトンガ方面かな.

 キリバスからの不信電話は,珍しいものではない模様.

不審な国際発信にご注意ください(サントメ・プリンシペ、キリバス)2020.05.07
https://tobilaphone.com/news/alert/p682/
 文面が新しかったので掲載.「リターンポリシー」というのは返品ということだろうな.



引用:
重要:リターンポリシーの違反によるアカウント停止通知

尊敬するお客様へ、

Amazonをご利用いただき、ありがとうございます

残念ながら、お客様のアカウントは私たちのリターンポリシーに違反した行為が確認されたため、一時的に停止されています。Amazonでは、公平かつ透明な取引を提供するために、すべての利用規約を厳格に実施しています

アカウントの再活性化を希望される場合は、下記の手続きに従っていただく必要があります:

アカウント確認手続き
ご質問や不明点がございましたら、Amazonカスタマーサポートまでご連絡ください

今後ともAmazonをご利用いただきますよう、心よりお願い申し上げます。

何かご不明点やご質問がございましたら、カスタマーサポートまでお気軽にお問い合わせください。
 既に誘導先のFQDNはテイクダウンされていたのでサイトは確認できませんでした.

 メールヘッダを確認.

...続きを読む

 カミさんがとうとう警視庁からメールが来たというので興味深く確認.



引用:
警察庁について
私たちは警視庁です。
あなたのお子様は窃盗容疑で逮捕され、被害者に100万円の賠償金を支払う必要があります。
至急下記口座にお振込下さい。
 文末の住所表記が「东京都千代田区霞关2-1-2」となっていて中国だと暴露している.

 これ,振り込む人はいないと思うけど,何かしらの機関に通報されて口座が凍結とかされたら,ひどい業務妨害になりそう.

 ヘッダを確認.


 普通に中国から送信.DMARCもSPFもエラー.
 2021年の第1回2022年の2回目2023年の第3回は開催に気づかず不参加でしたが,第4回となる2024年2月に参加してみました.

 成績はこちら.


 今回はJeopardy形式の個人戦12時間勝負.

 私は106点で168位.第1回,第2回と違い(第3回は不参加なので知らない),ヒントを得ることができて1ポイントないしは2ポイント獲得したポイントから引かれる.最後,10点の問題がわかりそうだったので第1ヒント,第2ヒントで合計3点マイナスになったけど答えが出なかったので7ポイント得ることが出来ずマイナス分,ランキングも2つ下げてしまった.

 運営会社の社長?のTwitter(現X)だと400人オーバーの参加表明で実際には314人参加.0点の人も一人だけ居たけどトップの人は559点でした.ランカーの人たちはCTF界隈でよく見かける人の模様.
 今回「入門セキュリティコンテストーーCTFを解きながら学ぶ実戦技術」という中島明日香さんの本を買った勉強しよう!と思ったのだけど,本をさらっと読んで1週間程度ながら勉強しただけだと無理でした.
 でも本を軽く目を通したおかげで,全く何言ってるかわからんなーというような問題はありませんでした.

 今回,一応禁止されてなかったので,AIを使って解答を得ました.小学校の算数で挫折している私には「ロジスティック写像」の質問はさっぱりわからなかったのだけど, ChatGPT,Google Gemini,Microsoft Copolotで違いが出ました.

 設問と解答状況.(Write Upじゃないよ)

...続きを読む

No Detect 気づいてない

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/2/25 12:25
 通報してくれる人がいたら,有難いってことだろうなぁ.

個人情報を流出した法人・団体、サイバー攻撃の被害に1年以上気付いていない
https://news.mynavi.jp/techplus/article/20240221-2888809/

引用:
攻撃発覚から公表までの期間については多少短期化しているものの、攻撃発生から攻撃発覚までは1年近く気付いていない状況にあることが明らかになった。

引用:
Webアプリケーションの新機能やアップデートが頻繁に行われ、更新および監視に割くリソースやコストなどの問題から、脆弱性が長期間にわたって放置されるケースもあるという。

 自分が使っているパソコンのセキュリティパッチだって大変だしな.把握することが難しい.SBOMだろうけど.
 将来的には誰かの逮捕案件にまで発展するだろうか.

モニタリング強化で発覚、LINEヤフーの委託先のアカウントに不正アクセス
https://scan.netsecurity.ne.jp/article/2024/02/21/50620.html

引用:
2023年8月7日に、委託先Aのアカウントが不正に利用され、同社社内システムに不正アクセスが開始されており、10月29日には不正アクセス事案を踏まえ監視体制を強化しモニタリングを開始したところ、11月1日に不正アクセスに利用された当該アカウントを確認し利用を停止、委託先Aへ付与している社内システム用アカウントを無効化、翌11月2日には攻撃者が利用したIPアドレスを遮断している。11月16日には委託先Bへ付与していたアカウントを利用して、不正アクセスが行われたことを把握し、同日中に攻撃者が利用したIPアドレスを遮断し、攻撃者が利用したVPN接続に必要になるアカウントを無効化している。
 SpamAssasinのジャンクメール設定をすり抜けてきたので調べてみる.

 フィッシングメールの文面はこのようなもの.



引用:
・本メールはWESTER会員様にお送りしています。(2月23日現在)

日頃より「 JR西日本」をご利用いただきありがとうございます。

●当社は3月1日にシステムを更新する予定です。

●アカウントに長期間ログインしていないため、

●24時間以内にアカウントにログインして関連情報を更新してください。

●アカウント情報を更新しない場合は、アカウントを削除させていただきます。

●ご協力ありがとうございます。


→ ログインはこちら



※お早めに手続きを継続してくだい。
(有効期間は3日間です)
━━━━━━━━━━━━━━━━━━━━━━━
■発行:JR西日本 WESTER会員事務局

※このメールをお送りしているアドレスは送信専用です。返信していただいてもご回答いたしかねますので、ご了承ください。

※お客様の登録されている会員情報を基に本メールマガジンを配信しております。
万が一、文面に誤った会員情報がございましたら、マイページより会員情報のご確認・ご修正いただきますようお願いいたします。

ぬぱなゲ
また仮にマイページの会員情報に誤りがなかった場合は、一度お問い合わせ窓口(0570-00-8999)へご連絡いただけますと幸いです。


━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C) WEST JAPAN RAILWAY COMPANY All rights reserved.
本メールの無断転載を禁止します。
 「24時間以内にアカウントにログインして関連情報を更新」と言いながら「有効期間は3日間です」ともある論理矛盾.ちなみに問い合わせ窓口の電話番号は正しいものでした.
 「ぬぱなゲ」というキーワードが隠されてたけど,これはなんだろう?

 メールヘッダを確認.

...続きを読む

 その時が来たら.

「ランサムウェア攻撃に対する捜査ハンドブック」を出版
https://www.jc3.or.jp/news/2024/20240220-538.html

引用:
民間企業などランサムウェア攻撃への対応に関わる方にとって法執行機関が何を求めているかを知ることができる内容です。
 2月27日はちょっと用事があるんだよね・・・一応申し込みはしてみたけれど.

フィッシング対策協議会 技術・制度検討 WG 報告
https://www.antiphishing.jp/news/event/techwg_openday2023_online.html

phishurl-list

カテゴリ : 
セキュリティ » ツール
ブロガー : 
ujpblog 2024/2/22 12:41
 JPCERT/CCが把握しているフィッシングサイトのURLリストがgithubに公開されているというので入手してみた.

$ git clone https://github.com/JPCERTCC/phishurl-list/🆑
Cloning into 'phishurl-list'...
remote: Enumerating objects: 197, done.
remote: Counting objects: 100% (197/197), done.
remote: Compressing objects: 100% (148/148), done.
remote: Total 197 (delta 82), reused 144 (delta 43), pack-reused 0
Receiving objects: 100% (197/197), 2.16 MiB | 8.29 MiB/s, done.
Resolving deltas: 100% (82/82), done.
$ cd phishurl-list/🆑
$ ls -la
total 60
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 .
drwxr-xr-x 51 ujpadmin staff  1632  2 22 12:11 ..
drwxr-xr-x 12 ujpadmin staff   384  2 22 12:11 .git
drwxr-xr-x  3 ujpadmin staff    96  2 22 12:11 .github
-rw-r--r--  1 ujpadmin staff   105  2 22 12:11 .gitignore
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2019
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2020
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2021
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2022
drwxr-xr-x 14 ujpadmin staff   448  2 22 12:11 2023🈁
-rw-r--r--  1 ujpadmin staff   239  2 22 12:11 README.md
-rw-r--r--  1 ujpadmin staff 23484  2 22 12:11 index.html
-rw-r--r--  1 ujpadmin staff  2561  2 22 12:11 statistic.py
-rw-r--r--  1 ujpadmin staff 21456  2 22 12:11 template.html
$ cd 2023🆑
$ ls -la🆑
total 4124
drwxr-xr-x 14 ujpadmin staff    448  2 22 12:11 .
drwxr-xr-x 14 ujpadmin staff    448  2 22 12:11 ..
-rw-r--r--  1 ujpadmin staff 136327  2 22 12:11 202301.csv
-rw-r--r--  1 ujpadmin staff 157753  2 22 12:11 202302.csv
-rw-r--r--  1 ujpadmin staff 296911  2 22 12:11 202303.csv
-rw-r--r--  1 ujpadmin staff 302824  2 22 12:11 202304.csv
-rw-r--r--  1 ujpadmin staff 515049  2 22 12:11 202305.csv
-rw-r--r--  1 ujpadmin staff 694739  2 22 12:11 202306.csv
-rw-r--r--  1 ujpadmin staff 373045  2 22 12:11 202307.csv
-rw-r--r--  1 ujpadmin staff 411706  2 22 12:11 202308.csv
-rw-r--r--  1 ujpadmin staff 316962  2 22 12:11 202309.csv
-rw-r--r--  1 ujpadmin staff 282193  2 22 12:11 202310.csv
-rw-r--r--  1 ujpadmin staff 297317  2 22 12:11 202311.csv
-rw-r--r--  1 ujpadmin staff 416192  2 22 12:11 202312.csv🈁
$ head 202312.csv🆑
date,URL,description
2023/12/01 10:32:00,https://beet-u5s1-1h6y.p6ndza0z.workers.dev/,三井住友カード
2023/12/01 10:32:00,https://strawberry-qo68-yl4y.oah2c2h4.workers.dev/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.jtlf4rg.cn/,三井住友カード
2023/12/01 10:47:00,https://smcodenpass.udknela.cn/,三井住友カード
2023/12/01 11:56:00,https://asasion.63928.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://emv1.ynmghkw.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.virfxjg.cn/,SAISON CARD
2023/12/01 11:56:00,https://mta-sts.ynmghkw.cn/,SAISON CARD
$
 昨日公開されたのが2023年10月から12月のデータ.
 どういう利用方法が良いのだろうと考えたのだけど,社内のWeb ProxyのNGリストにロードしておけば,古いフィッシングメールをみて誤って誘導先URLをリンクした時にブロックできるという意味があるかな,という感じか.

 2023年のcsvデータから,どのサービスを騙っているフィッシングサイトが多いのかトップ30を集計してみた.
$ cat *|cut -d "," -f 3|sort|uniq -c|sort -r|head -n 30🆑
   8753 Amazon
   6560 SAISON CARD
   5071 えきねっと
   4441 Apple ID
   4033 エポスカード
   3932 ETC利用照会サービス
   3791 イオン銀行
   3378 三井住友カード
   2428 softbank
   2349 ヤマト運輸
   2188 総務省
   1649 イオンカード
    993 au
    779 三井住友信託銀行
    748 BIGLOBE
    675 NHK
    596 MICARD
    503 メルカリ
    494 American Express
    487 楽天
    412 PayPay
    405 ポケットカード
    397 楽天カード
    339 Viewcard
    331 Microsoft
    321 Orico
    281 TEPCO
    271 横浜銀行
    242 TS CUBIC CARD_MY TS3
    231 国税庁
$
 うちではポケットカードを騙ったメールは目立つほど来てないかな.何かメアドリストに偏りがあるのだろう.
 もう1つ,トップレベルドメインを調べてみた.
$ cat *|cut -d "," -f 2|sed 's/\./,/g'|sed 's/\///g'|rev|cut -d ',' -f 1|rev|sort|uniq -c|sort -r|head -n 30🆑
  15725 com
   9213 cn
   7061 org
   3253 dev
   2788 cfd
   2383 top
   1728 php
   1427 xyz
   1161 coma3IwMDY1P3🈁
   1153 php?id=*
   1000 php?id=
    952 icu
    767 php?sinvu7yfte=*
    586 html?id=*
    551 orgjamain
    505 html
    322 jp
    321 cncaonige
    299 shop
    296 net
    296 comjp
    252 one
    235 cnjp
    216 shopa3IwMDY1P3🈁
    200 php?info=*
    190 ink
    180 cyou
    173 onea3IwMDY1P3🈁
    149 cc
    136 buzz

$
 phpがあるけどこれは抽出コマンドが悪いので無視.ドメインcom,cnは良いけど,cfd(Clothing Fashin Design)というのはみない感じだ.うちでは.cnと.topが多いかな.
 興味深いのはa3IwMDY1P3というパラメータみたいなのが多くあるところかな.

追記2024/02/22
 加工パラメータを工夫してFQDNを抽出して集計してみた.
$ cat *|cut -d "," -f 2|sed 's/\//,/g'|cut -d "," -f 3|rev|cut -d "." -f 1|rev|sort|uniq -c|sort -r|head -n 30
  20754 com
  11016 cn
   7761 org
   4423 cfd
   3496 dev
   3001 top
   1592 xyz
   1187 icu
    659 shop
    635 asia
    580 cc
    496 cyou
    473 one
    456 net
    430 ly
    220 jp
    203 ink
    200 monster
    174 buzz
    144 life
    142 co
    138 vip
    134 info
    129 sbs
    123 club
    105 fit
    104 gd
    102 art
     97 us
     79 tokyo
$
 フォローしている警視庁のTwitter(現X)から譲歩が流れてきた.



ランサムウェアによる暗号化被害データに関する復号ツールの開発について
https://www.npa.go.jp/news/release/2024/20240214002.html

ランサム修復ツールを開発 ロックビット用、世界初公表か―警察庁
https://www.jiji.com/jc/article?k=2024022001027

引用:
 昨年12月、欧州警察機関(ユーロポール)にツールを提供したところ、有用性が実証された。暗号化されたデータの9割以上の回復に成功した例もあるという。

 そしてこのニュース.

名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる
https://gigazine.net/news/20240220-lockbit-disrupted-global-police-operation/

イギリス警察がLockBitをテイクダウン! 日本の警察庁も協力
https://dflabo.co.jp/column/20240221/

引用:
2024年2月20日、イギリス警察が最大のランサムウェアグループであるLockBitのWebサイトをテイクダウンしました。
テイクダウンされたWebサイトは、タイトルが「THE SITE IS NOW UNDER CONTROL OF LAW ENFORCEMENT」と変えられ、このテイクダウンに協力した国の国旗と警察組織のエンブレムが誇らしげに掲げられています。
 Seizure banner(シージャーバナー;差押封印のようなもの)で心意気のようなものが出ているんですね.なんだかかっこいいな.

 テイクダウンの糸口は,PHPの脆弱性を突かれたものだそうで.

セキュリティアップデートとなる「PHP 8.2.9」がリリース
https://www.security-next.com/148725

引用:
「Phar(PHP Archive)」ではバッファ処理に問題が判明。バッファオーバーフローやバッファオーバーリードが生じる「CVE-2023-3824」を修正した。
 医者の無養生的なことか.
 色々あると他人のせいにしたくなるし裁判費用がかさむことを考えたら,全部内製化に舵を切る会社もあるよね.そんなことを思いながら.

ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775)
https://itlaw.hatenablog.com/entry/2023/11/02/211456

サイバー攻撃後の企業好感度

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/2/21 1:01
 漏洩したかもしれな人の立場では,分かった時点ですぐ公表して欲しいけれど,漏洩事故を起こした側は止血,対象範囲の把握,対応策の実施計画と状況,広報方法などを整理していたらそれなりに時間がかかるって事もあるけど,タイミングについては色々と思うところもある.

・何ヶ月も前のことを今更報告されても実際に被害起きてない場合は話題にならない
・発表日時を他の事件事故に当てる事で報道が小さい
・被害対象者だけに直接通知している方が話題になりにくい

サイバー攻撃後の対応、「好感度に影響」8割 民間調査
https://www.nikkei.com/article/DGXZQOUC1363R0T10C24A2000000/

引用:
企業がサイバー攻撃を受けたり情報漏洩したりした場合の情報発信などの事後対応が、その後の企業への好感度や製品・サービスの利用意向に影響すると答えた人が88%に上った。細かな情報公開や消費者への素早い通知を求める声が目立った。

 「Yahoo! BB顧客情報漏洩事件」では450万人以上の個人情報漏洩があったけど,漏洩対象者に500円分の金券を配ったのは悪手だったと言われてるね.その後も金銭補償を受けられる可能性を考えちゃうし.でも500円配ったら苦情も沈静化したという事実もある.
 先日のResponse for you're doing. とかA new payment schedule has been approved.の日本語版が大量配布されているキャンペーン中の模様.

引用:
変態くん、こんにちは
とても最悪な状況だということをお知らせします。でも、悪いことだけではないので、賢く対応してください。

ペガサスを知っていますか?
パソコンやスマホにインストールするタイプのスパイウェアで、デバイスの所有者をハッカーが監視できるようになっていて、デバイスのカメラや、メッセンジャー、メール、通話記録などへのアクセスを可能にします。
これは、アンドロイド、iOS、ウィンドウズに反応します。私が何を言いたいのかは、もう分かっていることでしょう。
 メール本文にあるビットコインアドレスは,受け取った中では以下の二件ですが,今のところこのアドレスへ送金されてはいませんでした.

https://www.blockchain.com/explorer/addresses/btc/1Nno5GU2ujXDY3jPhfbvABkeBdBcDzigC8
https://www.blockchain.com/explorer/addresses/btc/1HVksbWsfyG1xKZvzJnXmMY7LrUTeQFiqx

BitLocker encryption broken in 43 seconds

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/2/16 1:58
 ラズパイPicoを使ってBitLockerが破られたそうだ.

BitLocker encryption broken in 43 seconds with sub-$10 Raspberry Pi Pico — key can be sniffed when using an external TPM
10ドル以下のRaspberry Pi PicoでBitLockerの暗号化が43秒で破られる - 外部TPMを使用するとキーが盗聴可能

https://www.tomshardware.com/pc-components/cpus/youtuber-breaks-bitlocker-encryption-in-less-than-43-seconds-with-sub-dollar10-raspberry-pi-pico

引用:
For external TPMs, the TPM key communications across an LPC bus with the CPU to send it the encryption keys required for decrypting the data on the drive.
Stacksmashing found that the communication lanes (LPC bus) between the CPU and external TPM are completely unencrypted on boot-up, enabling an attacker to sniff critical data as it moves between the two units, thus stealing the encryption keys.

TPMキーはLPCバスを介してCPUと通信し、ドライブ上のデータを復号化するために必要な暗号化キーをCPUに送信します
Stacksmashing氏は、CPUと外部TPM間の通信レーン(LPCバス)が起動時に完全に暗号化されていないため、攻撃者が2つのユニット間を移動する際に重要なデータを盗聴し、暗号鍵を盗むことが可能であることを発見した。

 これをみるとまぁ,ドリル優子事件とかドライバー池田事件は有効な隠蔽手段なのだろう.いや,隠蔽じゃなくてストレージの捨て方だな.データ消去技術ガイドブック【別冊】とかもあるけど,物理破壊に勝るものは無いのだろう.
 数は多くないけど,件名をいくつか変えながら本文は同じセクストーションメールが来ています.

引用:
Hello pervert,

I want to inform you about a very bad situation for you. However, you can benefit from it, if you will act wisely.

Have you heard of Pegasus?
This is a spyware program that installs on computers and smartphones and allows hackers to monitor the activity of device owners.
It provides access to your webcam, messengers, emails, call records, etc. It works well on Android, iOS, and Windows.
I guess, you already figured out where I'm getting at.

It's been a few months since I installed it on all your devices because you were not quite choosy about what links to click on the internet.

こんにちは、変態さん、

あなたにとって非常に悪い状況についてお知らせします。しかし、賢く行動すれば、そこから利益を得ることができます。

Pegasusをご存知ですか?
これは、コンピュータやスマートフォンにインストールされ、ハッカーがデバイス所有者の行動を監視することを可能にするスパイウェアプログラムです。
ウェブカメラ、メッセンジャー、Eメール、通話記録などにアクセスできます。Android、iOS、Windowsで動作する。
私が何を言いたいのか、もうお分かりだろう。

インターネット上でクリックするリンクを選ぶのに慎重でなかったからだ。


 ご存知ですか?と言われても知らないので,Pegasusを調べてみた.

...続きを読む

 最近,私の管理するドメイン(に限らず)info@アカウントに成りすまして迷惑メールを送信しようとしている事案が増えているけど,Google GroupsのメールサーバからSPFのエラーが送られてきた.


引用:
Message blocked
Your message to fasola-minutes@googlegroups.com has been blocked. See technical details below for more information.

550 5.7.26 This mail has been blocked because the sender is unauthenticated. Gmail requires all senders to authenticate with either SPF or DKIM. Authentication results: DKIM = did not pass SPF [なりすまされたドメイン.jp] with ip: [209.85.214.174] = did not pass For instructions on setting up authentication, go to https://support.google.com/mail/answer/81126#authentication - gsmtp

メッセージがブロックされました
fasola-minutes@googlegroups.com へのメッセージはブロックされました。詳しくは下記の技術的な詳細をご覧ください。

550 5.7.26 送信者が認証されていないため、このメールはブロックされました。Gmailでは、すべての送信者にSPFまたはDKIMによる認証を要求しています。認証結果 DKIM = 通過しませんでした SPF [なりすまされたドメイン.jp] with ip: [209.85.214.174] = 通過しませんでした 認証の設定方法については、https://support.google.com/mail/answer/81126#authentication - gsmtpをご覧ください。



 SMTPの550-5.7.26エラーが出ているけど,SPFがdid not pass(不通過)となっている事が原因.
 今までもSFPエラーになっているメールなんて山ほどあるだろうけど,偽装されたアカウント(info@)向けにそれが通知されたのは今回初めて.
 なりすましメールが大量に送信されていたら,大量に通知メールが来そうだけど,それはこの場合Google Groupsで制御しているのかな.へたをするとリフレクション攻撃になるし.
 ハードディスクを買ったらレジの人が「PC部品買った方にお配りしてまーす」とパソコンゲームのパンフレットと一緒に渡されたので黙ってもらって帰ったんだけど,普通にノートンセキュリティのライセンスだった.


 無料で配って更新費用で収益化するビジネスモデルなのかな.
 興味深い事件.

名刺管理サービスに不正接続、自社営業に使用か 男逮捕
https://www.nikkei.com/article/DGXZQOUE315N50R30C24A1000000/

引用:
他社の名刺データベースへ不正にアクセスしたとして、警視庁は東京都内の不動産会社社員を不正アクセス禁止法違反容疑で逮捕した。名刺管理サービスの利用企業をだましてID・パスワードを聞き出し、不正に得た名刺情報を営業活動に使っていたとみて調べる。
 典型的なソーシャルエンジニアリング.

 Sansanのホームページを軽く見たけどこの件に関してのリリースはなさそう.

Corporate 2024. 02. 09 本日の報道に関して
https://jp.corp-sansan.com/news/2024/0209.html

引用:
当社が提供する営業DXサービス「Sansan」をご利用中のお客様に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕されたとの報道がありました。

なお、当社および当社サービスよりログイン情報は流出しておりません。

Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進
https://scan.netsecurity.ne.jp/article/2023/09/27/49996.html

引用:
 同社によると、「Sansan」を利用している顧客のログイン情報を第三者が不正に入手しログインする事象が報告されているという。


 プレスリリースにある通り「当社サービスよりログイン情報は流出しておりません。」とありSansanのサーバ等からはログイン情報は流出していないので,下手に謝罪したりしてない対応が良い.
 既にSansanの顧客が騙されてログイン情報が不正取得される事案が確認できたので対策として2要素認証を準備して提供している.公になる前に色々とあったんだろうなって思います.

 容疑者は不正に入手した個人情報をもとに不動産販売して成約しているけど,それは悪い商品では無さそう?だから,その分の損害はないけど,まぁ気持ち良いモノではないだろうな.迷惑料とか取れちゃうかもね.

 罪に問われているのは,不正アクセスと部下に指示してさせていたかという点か.

Mozilla Monitor Plus

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/2/9 12:28
 ミイラ取りがミイラになる,ような気がしていて,このサービスにニーズがあるものなのだろうか.

個人情報販売サイトから自分のデータを削除させる「Mozilla Monitor Plus」をMozillaが発表
https://gigazine.net/news/20240207-mozilla-monitor-plus/

引用:
Mozilla Monitorの登録者は自分の個人情報がデータ侵害に巻き込まれた時に通知を受け取ることが可能ですが、今回新たに、個人情報がどのサイトで営利目的で販売されているかをスキャンしてもらうことができる機能が追加されました。

スキャン自体は1回まで無料で利用可能。さらに進んで「定期的なスキャン」と「情報の自動削除」を行いたい場合は、月額8.99ドル(約1300円)、年額107.88ドル(約1万6000円)の有料サブスクリプションである「Mozilla Monitor Plus」に加入する必要があります。

スキャンを利用するには、氏名・住所・生年月日・メールアドレスなどをMozillaへ伝える必要があります。この情報は暗号化され、「常に人々を第一に考える」というMozillaプライバシーポリシーに従い「最も正確な検索結果を得るために必要な最小限の情報」として取り扱われるとのこと。

 ミイラ取りがミイラの個人的代表的事案.

KeePassに重大な脆弱性、マスターパスワードが盗まれる恐れ
https://news.mynavi.jp/techplus/article/20230521-2683133/
 ふと思い出して検索したら,参加者募集していた.


 去年は開催に気づかなかったから早速応募.

防衛省サイバーコンテスト 2024 WINTER GAME
https://www.mod.go.jp/j/approach/defense/cyber/c_contest/

 応募期限ギリギリだ.
 気づいたのは,WINTER GAMEとなっているので,季節ごとに開催するってことなのかな.そういえば毎年夏に開催されていた気がするけど.
 今回は株式会社バルクという会社が委託運営するようです.応募資格に日本国籍を持っている必要がありますが,第1回,第2回はパスポートの写真を提出したけど,今回は応募時には,そういうのはありませんでした.
 記事はADに特化しているけどね.いつかその時が来たら.

ペネトレーションテスト実施検討中の企業担当者が実施前に読む記事
https://zenn.dev/fire_fire_2/articles/01cf59b23b9007

 「マシン内にパスワードが記載されたスクリプトやバッチファイルが存在しないか?」というのは,意外と一丁目一番地的なやつ.

※このおっさん的なフレーズ使ってみたかった

2年前の自分に教えたい!HTB(ペネトレーションテスト)で生き抜くためのツールやサイトまとめ
https://qiita.com/Perplex/items/30f949fe261f56af7476

普段の調査で利用するOSINTまとめ
https://qiita.com/00001B1A/items/4d8ceb53993d3217307e
 頻繁に更新されています素敵.

DomainPasswordSpray
https://github.com/dafthack/DomainPasswordSpray/blob/master/README.md

引用:
DomainPasswordSprayはPowerShellで書かれたツールで、ドメインのユーザーに対してパスワードスプレー攻撃を行う。デフォルトでは、ドメインからユーザーリストを自動的に生成する。アカウントをロックアウトしないように十分注意すること!

改正NICT法

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2024/2/8 1:06
 GoogleやBaidoなどの検索エンジンが世の中のWebサイトをクローリングしているように,shodanやShadow Serverがインターネット上にあるデバイスの存在や種類を調査してまとめているのと同じように,情報通信研究機構(NICT)が脆弱性のある機器の情報を集めるようになるそうだ.

改正NICT法で国のIoT機器調査が強化、ランサムウエア攻撃にも効く潜在力に期待
https://xtech.nikkei.com/atcl/nxt/column/18/00138/011101442/

引用:
 NICTが2019年から展開してきた「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶ調査を発展させた施策である。NOTICEでは企業や組織のIoT機器に対し、よく使われるIDとパスワードの組み合わせでログインを試行。成功したときは乗っ取られるリスクの高いIoT機器として検出し、インターネット接続事業者(ISP)を介して利用者に注意喚起している。

 有名な所だと世界中の防犯カメラをデフォルトアカウントで接続して配信しているサイトがあったりしますね.普通にライブ配信を目的にしているものもあれば,不用心に設定してあるものもあって線引きが難しいけど.

Insecam - Live cameras directory
http://www.insecam.org/en/
 ピザーラからのキャンペーンメールがスパム判定されているので調べてみた.


 メール本文はHTMLメールがドンと配置してあるタイプ.
 メールヘッダを確認.

...続きを読む

 内容的には2023年3月と同じ文面かな.

引用:
どうも、こんにちは。
まずは自己紹介をさせていただきますね。私はプロのプログラマーで、自由時間ではハッキングを専門にしております。
今回残念なことに、貴方は私の次の被害者となり、貴方のオペレーティングシステムとデバイスに私はハッキングいたしました。

数ヶ月間、貴方を観察してきました。
端的に申し上げますと、貴方がお気に入りのアダルトサイトに訪問している間に、貴方のデバイスが私のウイルスに感染したのです。


朗報は、まだ抑止することができることです。
ただ 19万円 相当のビットコインを私のBTCウォレットに送金いただくだけで止められます(方法がわからない方は、オンライン検索すれば、段階ごとに方法を説明した記事が沢山見つけられるはずです)。

ー略ー


私のビットコインウォレット(BTC Wallet): 3EWy1ayoEd8ycuxtoDMac4zKQzV6sK9NRV

貴方の入金が確認できるとすぐに、卑猥な動画はすぐに削除し今後私から2度と連絡がないことを約束します。
この支払いを完了させるために48時間(きっちり2日間)の猶予がございます。
このメールを開くと既読通知は自動的に私に送られるため、その時点でタイマーは自動的にカウントを開始します。
 ビットコイン取引所は,2023年3月はbitbankを指定していたけど,今回はどこでも良いみたい.

 19万円相当のビットコインとは今は0.030らしい.ちょっと上がっていると聞いていたけど,だいぶ盛り返しているのねん.

 どうせ基準を回避するような書き込みをするんだろうけどね.そういう悪知恵ははたらく人も多いし.


ネット上の誹謗中傷は迅速削除、SNS大手に義務付けへ…法改正で削除基準の透明化も
https://www.yomiuri.co.jp/national/20240111-OYT1T50187/

引用:
 インターネット上の 誹謗ひぼう 中傷への対策を強化するため、政府はプロバイダー責任制限法を改正する方針を固めた。SNSを運営する大手企業に対し、不適切な投稿の削除の申請があった場合に迅速な対応や削除基準の公表などを義務付ける。
 2023年12月末にMxToolboxでブラックリスト登録を監視してもらってたら通知が来た件の続報.

 無償で登録しているのでレポートは1週間に1回だけど,Removed from UCEPROTECTL2というメールがきました.



引用:
Removed from UCEPROTECTL2 at 2/6/2024 1:06:56 PM (UTC+09:00) Osaka, Sapporo, Tokyo after being down for 40 days, 5 hours, 58 minutes, 1 seconds

UCEPROTECTL2 から削除されました 2/6/2024 1:06:56 PM (UTC+09:00) 大阪, 札幌, 東京 40日と5時間58分1秒の停止の後

 UCEPROTECTLのレベルは次の通り.

UCEPROTECTL1 : 単一の特定の IP アドレスのリスト。
UCEPROTECTL2 : ISP / ホスト / ドメインプロバイダーの複数の IP アドレスのリスト。
UCEPROTECTL3 : ISP / ホスト / ドメイン プロバイダーの IP アドレスの全範囲のリスト。

 UCEPROTECTL3は出たり入ったりを繰り返していたけど,UCEPROTECTL2を抜けるのは40日ぶりの模様.ちなみに同じプロバイダが管理するIPアドレスたいからは,まだUCEPROTECTL Level1のIPアドレスは1つ存在しているようだけど.

 プロバイダ側が何かやったかどうかは,声明が無いので不明です.

広告スペース
Google