**********************
Windows PowerShell トランスクリプト開始
開始時刻: 20191113004136
ユーザー名: windows81pro\ujpadmin
RunAs ユーザー: windows81pro\ujpadmin
構成名: 
コンピューター: WINDOWS81PRO (Microsoft Windows NT 10.0.17134.0)
ホスト アプリケーション: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
プロセス ID: 9164
PSVersion: 5.1.17134.765
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.17134.765
BuildVersion: 10.0.17134.78-)65
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
トランスクリプトが開始されました。出力ファイル: C:\test.log
PS C:\Users\ujpadmin> write-host "test"
test
PS C:\Users\ujpadmin> Stop-Transcript
**********************
Windows PowerShell トランスクリプト終了
終了時刻: 20191113004146
**********************

トレンドマイクロのテクニカルサポートの従業員が顧客情報を持ち出し、
第三者の悪意ある攻撃者に売却していたことが判明した。
これを悪用したサポート詐欺が発生していることが確認されている。

CyberNewsFlash は、注意喚起とは異なり、
発行時点では注意喚起の基準に満たない脆弱性の情報や
セキュリティアップデート予告なども含まれます。
今回の件を含め、提供いただける情報がありましたら、
JPCERT/CC までご連絡ください。

こんにちは！

私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。

もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。

私に連絡したり、私を見つけようとしないでください。それは不可能です。 
私はあなたのアカウントからメールをあなたに送ったので、

あなたの電子メールを介して、私はあなたのオペレーションシステムに
悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、
インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。

あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、
身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。

私はあなたの幻想にショックを受けている！ 私はこれのようなものを見たことがない！

だから、あなたがサイトで楽しむとき（あなたは私が何を意味するか知っています！）
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。

これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。

したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$841が良い価格だと思います！

Bitcoin経由で支払う。
私のBTCウォレット： 1H2kisMFkvqQhCFPQChKucNzxErXFZmLgq

あなたがこれを行う方法を知らない場合 -
 Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。
私のウイルスはあなた自身のオペレーティングシステムからも削除されます。

私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後で
メッセージを受け取ります。

私はあなたに支払いのための2日間を与える（正確に48時間）。
これが起こらない場合 -
 すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します！
あなたが妨害しないように、あなたのデバイスはブロックされます（また、48時間後）

ばかなことしないで！
警察や友人はあなたを確実に助けません...

p.s. 私はあなたに将来のアドバイスを与えることができます。
 安全でないサイトにはパスワードを入力しないでください。

私はあなたの慎重さを願っています。
お別れ。

Received: from a2.amazeonco23[.]jp (unknown [104[.]223.154.204])

Domain Information: [ドメイン情報]
[Domain Name]                   AMAZEONCO23.JP

[登録年月日]                    2019/09/04
[有効期限]                      2020/09/30
[状態]                          Active
[最終更新]                      2019/09/04 18:31:12 (JST)

Contact Information: [公開連絡窓口]
[名前]                          さくらインターネット株式会社
[Name]                          SAKURA Internet Inc.
$

【重要】事務局からのお知らせ

情報をご提示いただきありがとうございます。

この度お客さまがログインされたアカウントは、お客さまのメールアドレスを
誤ってご登録されていた方のご登録であることが予想されます。

現在は、ログインができないようお手配をさせていただきました。

万一、再度メルカリからメールが届いた場合には、改めて事務局までご連絡ください。

何とぞよろしくお願いいたします。

ーーーーーーーーーー
株式会社メルペイ
ーーーーーーーーーー
※株式会社メルペイはメルカリの決済サービスを運営しています

私はメルカリを利用していませんが，ことの発端は，普段使わないメールアドレス
@icloud.comに5/11付でメルカリの登録が行われた旨の通知メールが来ておりました．

パスワードリセットしてログインしたところ，プロフィールには長崎の人の住所氏名と
電話番号認証済みで，クレジットカード情報の登録が確認できました．
また，少額の取引を終えたようでした．

状況を踏まえて推察するに，登録してある内容から，スマホで新たにアカウントを
登録したが，メールアドレスの疎通確認までは行われておらず，電話番号認証が
完了したことでメルカリのサービスを利用できていると考えています．

@icloud.comは，２ファクタク認証を2017年に行なっていますしicloud.comからの
メールアドレスの流出では無いと考えています．

対処の希望としては，次の通りとなります．

(1)長崎の人に正しいメールアドレスを利用させるようにすること．
　（私のメールアドレス以外でも可能）
(2)私がパスワードリマインドで他人の個人情報を見てしまったことが
　　不可抗力であり罪に問われないことを確約すること．

回答は2019年5月末日までにお願いします．
（電話にはでませんので，メールで連絡をお願いします）

以上です．

XXXX さん

いつもメルカリをご利用いただきありがとうございます。

購入した商品が届いたら、商品に問題がないことを確認後、受取評価を行なってください。
・TOYOTA XXXX4個セット (id: m697XXX)

商品が届かない、商品説明と実物が異なる場合などは、
評価をせず出品者に取引メッセージを送ってみてください。

【取引メッセージについて】
アプリ右上にある「やることリスト」から取引画面を表示し、
画面の下の方から送ることができます。

メルカリ事務局

※このメッセージは自動で送信されています。入れ違いや状況により、
すでに対応不要な場合は申し訳ございません。

あなたのアカウントは他の人に使われています！

Your account is being used by another person!

Hello!

I have very bad news for you.
12/10/2018 - on this day I hacked your OS and got full access
 to your account mailaddress.

So, you can change the password, yes... But my malware
 intercepts it every time.

こんにちは！

私はあなたにとって非常に悪い知らせがあります。
12/10/2018  - この日にあなたのOSをハックしてあなた
のアカウントにフルアクセスできるようになりましたmailaddress.

How I made it:
In the software of the router, through which you went online,
 was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS
 of your device.

作り方：
あなたがオンラインにしたルータのソフトウェアには、
脆弱性がありました。
私はこのルーターをハッキングして悪意のあるコードを
載せただけです。
あなたがオンラインになったとき、私のトロイの木馬は
あなたのデバイスのOSにインストールされていました。

Content-type: text/html;
charset="UTF-8"
Content-transfer-encoding: quoted-printable

<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">
<title></title>
</head>
<body>
<p><a href=3D"https://newXXXdrive18.downlXXXXoad/wp/file.php?
login=ZZZZZ@XXXXXXX.jp&amp;name=ZZZZZ@XXXXXXXX.jp">
<img border=3D"0" alt=3D"doc (1).gif" src=3D"cid:123456789"
 width="200" height="42"></a></p>
<p>Good Day,</p>
<p>Revised Document is for your ref.</p>
<p>Best Regards.</p>
</body>
</html>

from:マイクロソフトセキュリティチーム <ocjbognrx@xxxxxxxxxxx.jp>
Subject:警告！！マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。

Body:


セキュリティに関する警告！！

あなたのオフィスソフトの授権が間もなく終わってしまう可能性があります。

マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクト
キーが何者かにコピーされている不審の動きがあります。

何者かがあなたのオフィスソフトのプロダクトキーを使って、他のソフトを起動しようと
しています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をする
ようお願いします。

検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態が
まもなく終わりますので、ご注意ください。

今すぐ認証

*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを
防止する技術で、手続きは簡単に実行できます。 またこの手続きは匿名で行われるので、
お客様のプライベートな情報は保護されています。ご安心ください。

sourcetype=access_* register.php |top limit=5 clientip

ujp:ipfw root# date
Thu Jan 19 02:00:47 JST 2017
ujp:ipfw root#

sourcetype=access_* bot|timechart count
sourcetype=access_* Googlebot|timechart count
sourcetype=access_* bingbot|timechart count
sourcetype=access_* yahoo|timechart count
sourcetype=access_* Semrush|timechart count
sourcetype=access_* Baidu|timechart count

POST /user.php HTTP/1.1

grep "POST /user.php HTTP/1.1" *.log > user.txt

cat user.txt| awk '{print $1}'|sed 's/:/ /g'|awk '{print $2}'|grep -v 192.168.|sort|uniq -c|sort -nr|more

Jul  1 00:39:19 ujp emond[78]: Host at 188.212.103.80 will be blocked for at least 15.00 minutes
Jul  1 01:36:37 ujp emond[78]: Host at 188.212.103.80 will be blocked for at least 15.00 minutes

grep emond /var/log/system.log | awk '{print $7}'|sort|uniq -c|sort -rn|head -n 10

annemone

daemon
haldaemon

demon