UJP - セキュリティカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ セキュリティ の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - セキュリティカテゴリのエントリ

DBのテーブル名を取得された痕跡

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2023/12/31 1:17
 データベースの監査ログをとるようにしていれば痕跡が残るだろうということなのかな.サイドブレーキ状態だし別ライセンス?だったりするだろうからオンにしにくいやつ.

複数サイトに攻撃、DBのテーブル名を取得された痕跡 - 紀伊國屋書店
https://www.security-next.com/152222

引用:
データベースにおいてデータを格納しているテーブルそのものに対するアクセスやデータを取得された痕跡は見つかっていないものの、情報が流出した可能性もあるという。

 こういう時は,漏洩したかもしれないということじゃなくて,漏洩した前提で対応するのがセオリーなんだろうけど,じゃぁ何から手をつけるか,みたいなのがあるから大変だね.
 DNSサーバを持たずにDDNSで提供し外部から内部へVPNで通信させる機能を提供する事はよくある機能・サービスだと思うけど,ASUSのルータで提供されている機能で認証情報が漏洩する問題があるそうです.

 「2023年12月の時点で,世界中に100万台以上のルータがこの問題の影響を受けるリスクがあると推定されています.」とあるので大ヒットルータなのかな.

ASUSルータにおける認証情報が漏洩する問題とその対策方法
https://blog.nicter.jp/2023/12/asus-ddns/

引用:
影響を受けるルータ
ベンダーから公開されたアドバイザリーには,RT-AX1800U,RT-AX3000,RT-AX3000 v2,RT-AX86U,TUF-AX3000,TUF-AX5400などのモデルが挙げられています.しかし,これらのモデルに限らず,ASUS Router App を使用して管理される ASUS 製ルータ全体がこの攻撃の影響を受ける可能性があることに注意が必要です.

影響を受けるユーザ
攻撃者はターゲットとなるルータの DDNS の登録情報(IP アドレス)を自身の IP アドレスに書き換えることで,アプリからの通信を傍受します.これにより,ルータの認証情報を不正に取得することが可能になります.

対策方法
2023年12月現在,ASUS の DDNS システムは認証プロセスを必要とせず,MAC アドレスだけを使用して IP アドレスの変更が可能です.このため,ユーザが ASUS Router App を起動した際,意図せず攻撃者の IP アドレスに接続するリスクがあります.ユーザがこの種の攻撃を完全に防ぐのは難しい

 被害者かどうかは,設定を見直してくださいとある.

引用:
しかし,既に認証情報が漏洩しており,ルータが攻撃者に侵害されている可能性も存在します.警視庁からの注意喚起3にもあるように,不審な設定変更がないかを確認することが重要です.見覚えのない設定を発見した場合は,
 見直して意図して設定した・してないを判断できる人っているのだろうが.どうせGUIだし.

 ファームウェアアップデートして初期化して認証情報の変更って感じかな.
 2023年8月からMxToolboxでブラックリスト登録を監視してもらうということで登録していたのだけど,ブラックリストに登録されていると連絡メールが来た.



blacklist:XXX.XX.XXX.20
Added to UCEPROTECTL2 at 12/28/2023 7:08:54 AM (UTC+09:00) Osaka, Sapporo, Tokyo
	
Blacklist Severity: 	Very Low 🈁
MxRep Current Score: 	99
Delisting link: 	http://www.uceprotect.net/en/rblcheck.php
Get more information: 	blacklist:XXX.XX.XXX.20
Learn more about this problem: 	UCEPROTECTL2 🈁
Current Checks failing: 	1
Email Sent On: 	12/27/2023 4:08:56 PM (UTC-06:00:00)
	Check 	Severity 	Blacklist Detail 	Delisting Link
problem icon 	On UCEPROTECTL2 	Very Low 	Learn more 	Delist
MxToolBox, Inc. 	Upgrade to access powerful monitoring features!
Click here to edit or unsubscribe.
 UCEPROTECTL2というサイトに登録されいてるそう.Very Lowとの評価.ちなみに該当IPアドレスはWebサーバだが管理用のメールを特定メアドに送っているのみの利用だけど毎日大量の攻撃があるので毎日集計ログをチェックしているので何か不正な通信をしていたらわかるしログイン監査もしているしプロセスも監視している...

 MxToolboxからのメールにあるリンク先のページでUCEPROTECTL2について説明があったので把握してみる.

...続きを読む

 この派遣社員,新しいビジネスチャンスだと思ったのだろうけど,やり方を間違ったようだ.
 ターゲットが少なくとも7万5千社あるのだったら,申請支援サービスをやる会社に入って猛烈営業すればよかったのに.

パソナ派遣社員、国委託業務で個人営業 7万5千社の情報持ち出しか
https://www.asahi.com/articles/ASRDT766QRDTULFA01R.html

引用:
補助金の申請書類をチェックするパソナの派遣社員が10月、補助金が採択された事業者1社に、営業メールを送信。さらに、補助金の申請支援サービスを周知するホームページを立ち上げていた。

事業再構築補助金
https://www.meti.go.jp/covid-19/jigyo_saikoutiku/index.html

引用:
新市場進出、事業・業種転換、事業再編、国内回帰又はこれらの取組を通じた規模の
拡大等、思い切った事業再構築に意欲を有する、中小企業等の挑戦を支援します!

追記2023/12/29

パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず
https://scan.netsecurity.ne.jp/article/2023/12/28/50418.html

引用:
 事務局で当該元職員に貸与していた業務用パソコンの調査を行ったところ、業務マニュアル等の通常業務に必要なファイルに加え、同補助金の採択者 約75,000件(約110,000人分の氏名等の個人情報を含む)の情報を保存・閲覧していたことが判明した。

 外部の専門家による調査を行ったところ、当該パソコンから何らかのファイルが持ち出された痕跡を探知している。
 「情報を保存・閲覧」と「何らかのファイルが持ち出された」は関連づけられるのだろうか.「何らかのファイルが持ち出された」だけで持ち出したのは自分の勤務表とかかもしれんし.犯人を追い込めるのだろうか.
 外部専門家のフォレンジックが入っているので費用は数百万.数百万の被害金額が上乗せされるなぁ.
 年末も近いから,ポイント失効を理由にフィッシングサイトへ誘導するパターンが増えてきた模様.
 と言っても今回取り上げるのは10日ほど前に来ていたフィッシングメールだけど,誘導先サイトがまだ稼働してた.

 よくあるクレカ情報を入力させるタイプなんだけど,その後転送される本家サイトで「先ほどアクセスされたページはフィッシングサイトの可能性があります。クレジットカード情報等を入力した場合、至急カードの停止手続きをお願いします。」と警告が出るようになったのですね.リファラー元を登録して出しているということで対策ありがとうございます.



引用:
Vポイントの残高のお知らせ

いつも三井住友銀行をご利用いただきありがとうございます。
お客さまのVポイントの残高をお知らせいたします。

11月30日時点のポイント
550ポイント

12月末の失効予定Vポイント
120ポイント

最新のポイント残高や有効期限はこちら(三井住友銀行アプリ)でご確認ください。

※ アプリからご確認できない場合はこちら(SMBCダイレクト)よりご確認ください。
Vポイントには有効期限がありますので、お早めにご確認、ご利用ください。

Vポイント詳細はこちら


 メールヘッダと誘導先を確認.

...続きを読む

 17年前にクリスマスに亡くなった親父の遺言で,Tポイントには入るなと言われているので,うちにはポイント残高なんてないんだけど,使ってみようとしました.



引用:
ポイント期限のご案内

親愛なる顧客様,

ご利用いただきありがとうございます。T-pointプログラムの一環として、ご通知申し上げます。貴重なポイントが間もなく期限切れとなります。

現在、[14829pt] ポイントが [12-26] に期限切れになります。ポイントをお早めにご利用いただき、特典を最大限に享受してください。
ポイントを使用する

ポイントを利用して、お気に入りの商品やサービスをお得にご利用いただけます。この機会をお見逃しなく。

ご不明な点がございましたら、以下の連絡先までお気軽にお問い合わせください。

T-point カスタマーサービス

電話: 090-9028-4212
 どうしても日本人が使わない使い回しがあるよね.違和感.

 メールヘッダと誘導先サイトを確認してみる.

...続きを読む

 総数からすると少ないけど,ポツポツくるAMEXを騙るフィッシングメール.
 別に面白味はないのでスルーすることも多いのだけど,今回SpamAssasinのヘッダを見たらSUSP_UTF8_WORD_FROMというのがあったので調べてみた.


 調べるとSUSP_UTF8_WORD_FROMは Word in From name using only suspicious UTF-8 characters (不審な UTF-8 文字のみを使用する From 名の単語)という意味.メールの画面を見てみるとFromヘッダの名前欄がイタリック表示されている.
 ソースコードを確認.

...続きを読む

 マイナポイントを騙るフィッシング詐欺のようなメール.


 謎の空白に違和感が...
 これ,ソースコードをよく見るとこんなものが...


 取り出したら英文だったのでDeepLを使って翻訳してみた.

引用:
Party it act benefit. Serve true piece start. Analysis brother personal drug discussion..
Seat ask indicate. Conference dinner author. Natural husband available leader four yet.

パーティーをする。真の作品を提供する開始。分析兄弟個人的な薬の議論。席は示す尋ねる。会議ディナー著者。天然夫利用可能なリーダー4まだ。
 さっぱり意味がわからない.何か暗号なのだろうか.
 同じ形式の他のフィッシングメール(AmazonやETC)なんだけど隠し文書があるので,届いた順に取り出して翻訳してみた.

...続きを読む

 「12月末まで延長された」という嘘の情報が入ったマイナポイントのフィッシングメール,意外と登場は遅かったな.11月末というのは直ぐ出たのに.
 でもSpamAssasinの判定をすり抜けてくる.




引用:
━━━━━━━━━━━━━━━━━━━━━
マイナポイント第2弾で2万円のマイナポイントを獲得しましたが、
まもなく無効になります。
期限内に請求するように注意してください。
━━━━━━━━━━━━━━━━━━━━━

----------------------------------------------------------------------
マイナポイントとは?

マイナポイントは、マイナンバーカードの普及や活用を促進するとともに、消費を活性化させるため、QRコード決済や電子マネーなどのキャッシュレス決済サービスで利用できるマイナポイント(1人2万円分)を付与する事業です。
----------------------------------------------------------------------
ポイントをもらえますか?

はい、1回目のキャンペーンに参加してポイントを受け取っていても、
キャンペーンに参加できます。
----------------------------------------------------------------------
マイナポイントの申し込み方法です

下記の手順でお申し込みください,最短3分でお申し込み完了です
----------------------------------------------------------------------
★STEP1
応募専用サイトにアクセスし、応募書類を記入

★STEP2
マイナポイントの申込みをしよう

★STEP3
20,000円分のマイナポイントを取得し、ご活用ください
----------------------------------------------------------------------
下記リンクよりお申し込みください!

https[:]//mynembercard.point.soumu.jq/contact/

※マイナポイント第2弾のポイント申込期限は、2023年12月末まで延長されました。
----------------------------------------------------------------------


なお、本メールの送信アドレスは「送信専用」ですので、
返信してお問い合わせいただくことはできません。


© マイナポイント第2弾
 メールヘッダを確認.

...続きを読む

 かつて存在した事がないメアドだけど誰かが何かを送ってくるから受け取ってるけど迷惑メールしか来ないメアドに来たこのメール.



引用:
広報・販促ご担当者様


お世話になります。
株式会社ブランジスタメディアと申します。

中小企業のための、タレントを起用したプロモーション戦略について
ご案内できれば思いご連絡させていただきました。

これまで著名タレントを起用した広告は、数千万円の高額な
ギャランティを負担できる、わずか0.3%の大手企業だけのものでした。


この度、
ACCEL JAPAN(アクセルジャパン)が、
そんな業界の常識を打ち破りました。


ヒロミ/名倉 潤/板野 友美
上地 雄輔/鈴木 杏樹/篠田 麻里子 等々…

著名タレント起用のプロモーションを、“ サブスク ”でご活用いただけます。


アクセルジャパン プロジェクト
 
▼ 詳細は、こちらから資料をご請求ください ▼
  https://brangista-m.net/lp/


アクセルジャパンは、当プロジェクトがタレント起用に必要な
フロント費用を負担することで、参画される企業がタレントの肖像を
初期費用0円かつ月々定額で利用できるモデルを実現しています。


タレントの肖像はホームページやチラシ、ポスター、のぼりといった広告だけでなく、
動画もあるのでYouTubeなどの動画広告や、会社案内PV等にも使用できます。


下記特設サイトにてアクセルジャパン プロジェクトの詳細をご確認いただけますので、
参画にご興味があれば、まずはサイト内にて資料請求をお申込みください。


アクセルジャパン プロジェクト
 
▼ まずは、こちらから資料をご請求ください ▼
  https://brangista-m.net/lp/


よろしくお願いします。


------------------------------------------
 株式会社ブランジスタメディア
 東京都渋谷区桜丘町20-4 ネクシィーズスクエアビル
 TEL:03-5256-7578
 なんだろうとアクセスしてみるとこれ.


 んー.なんか情報商材とか健康サプリ的なノリのような.
 ドメインを調査.

...続きを読む

 このAI時代にヒドイ翻訳メールを送りつけてきた.
 そしてメールのフッターには「Yahoo!モバイルおすすめ情報メール」となっていたり.
 「亚马逊」をAmazonと読むのかーて勉強になった.今忘れた. おかげさまで「林库をクrikku」を「リンクをクリック」だと読めるようになったよ.



引用:
尊敬なる亚马逊ユーザーの皆様へ

亚马逊日本 カsuタマーサポートより重要なお知らせがございます。ご利用いただいているアカウントがクーポンの利用に关する违反が多回缲り返されたため、一时的に停止されています。

クーポンの不正使用に关する通知を详细にご确认いただくために、以下の事项をご说明いたします:

クーポンの利用规则约に反した购买行为が复数回确认されています。
警告通知を受けながらも、クーポンの不正使用が継続されました。
他の利用者に公平な机会を提供するための规则约顺守が期待されますが、これが実践されていません。
カウントの停止は、他の利用者や贩売者への不公平な竞争状态を防ぐための措置です。
クーポンの不完全利用がサービsu整体に悪影响を及ぼしており、これを收缩するための対策が必要です。

解除手続きを行い、カウントの再开をごの希望场合は、以下の林库をクrikkuして手続きを进めてください。

解除手続き林库:解除手続きへ

手続きが完了次第、阿卡ウントの再开が行われます。ご利用の际は、改めてクーポンの利用规约をご确认いただき、遵守くださいますよ愿うおいいたします。

解除手続きを行わない场合、カウントの停止が継続される可能性がございますので、ご注意ください。

ご不明点やご问质がございましたら、以下のカスタマーサポートまでお気軽にお问い合わせください:

亚马逊カsuタマーサポート
お问い合わせ先:support[@]amazon.co.jp

ご协力とご理解、どうもありがとうございます。

敬具
亚马逊日本カsuタマーサポート

--------------------------------------------------------
Yahoo!モバイルおすすめ情報メールは、Yahoo! JAPAN IDにご登録いただいているメールアドレスに配信しています
□ 今後このメールの配信を希望されない方は、お手数ですが最下部にある「配信の登録・解除」から
□ ・特定の端末では、本メールの表示やリンク遷移が正しくされない場合があります。
□ ・特典の最大額をもらうには条件がございます。必ず遷移先の適用条件をご確認ください。
□ ・端末価格は配信日時点のものです。予告なく変更する場合があります。
---------------------------------------------------- --
★ご不明确な点はカsuタマーサポートまでお気軽にご连络ください。
 ひどい?のは誘導先のURLの記載がない.

 メールヘッダを確認.

...続きを読む

 これ,どうなったんだろうね.

都パスポートセンターの従業員が書類送検 - 個人情報記載の付箋を窃取
https://www.security-next.com/151415

引用:
都によれば、池袋パスポートセンターにおいて旅券発給窓口の業務を委託していたエースシステムの元従業員が、業務中に知り得た個人情報を付箋に書き写すなどして不正に持ち出していたという。

持ち出された個人情報は、旅券発給申請書や戸籍謄本などに記載された氏名や住所、電話番号などであわせて1920人分にのぼる。第三者に対する漏洩は確認されていない。

 かなり柔らかい報道だな.気を遣っているのかな.


【速報】都パスポートセンター 受付担当の中国人元従業員を書類送検 個人情報の付箋盗んだ疑い 東京都は1920人分持ち出しと発表
https://newsdig.tbs.co.jp/articles/-/856415

引用:
東京・池袋のパスポートセンターに勤務していた中野区の中国人の女性派遣社員(52)を警視庁公安部が窃盗の疑いで書類送検しました。

 公安だし漏洩したのは中国人だし...

引用:
警視庁公安部は中国人女性の背後に国家的な組織の関与の有無を捜査しましたが、現時点では確認出来ず、「第三者への漏洩も確認されていない」としています。

 「第三者への漏洩も確認されていない」けど「漏洩してないとは言ってない」って感じかな.
 20日までにファイルをダウンロードしろというメールが来てたので,ダウンロードしようとしたらパスワードが必要で入手できませんでした.



引用:
You have received
Document files via Wetransfer
1 item, 56.6 MB in total ・ Expires on 20 of Dec, 2023
Get your files

Download link
https://wetransfer.com/ downloads/efa3649e99181c00d3023755e152951e20xxxxxx
1 item
Document.zip
56.6 MB
To make sure our emails arrive, please add noreply@wetransfer.com to your contacts.
About WeTransfer ・ Help ・ Legal ・ Report this transfer as spam

...続きを読む

 キャンペーンってほどじゃないけど,素性の違う2つのメアドに対してこの文書で送られてきた.

・カラーミーショップで漏洩してメアド
・某サイトで事件的にブログで記載したメアド

引用:
Hello, my perverted friend,

We've actually known each other for a while, at least I know you.
You can call me Big Brother or the All-Seeing Eye.
I'm a hacker who a few months ago gained access to your device, including your browser history and webcam.
I recorded some videos of you jerking off to highly controversial "adult" videos.
I doubt you'd want your family, coworkers, and your entire メールアドレス contact list to see footage of you pleasuring yourself, especially considering how kinky your favorite "genre".
I will also publish these videos on porn sites, they will go viral and it will be physically impossible to remove them from the Internet.

How did I do this?
Because of your disregard for internet security, I easily managed to install a Trojan on your hard disk.
Thanks to this, I was able to access all the data on your device and control it remotely.
By infecting one device, I was able to gain access to all the other devices.

My spyware is embedded in the drivers and updates its signature every few hours, so no antivirus or firewall can ever detect it.
Now I want to offer a deal: a small amount of money in exchange for your former worry free life.

Transfer $990 USD to my bitcoin wallet:19gjxoZ2x8xzNC18FYtLxCL3FWRi15cP39


やあ、変態の友よ、

僕たちは実は以前から知り合いだったんだ、少なくとも僕は君のことを知っている。
私のことはビッグブラザー、またはすべてを見通す目と呼んでください。
僕はハッカーで、数ヶ月前に君のブラウザ履歴やウェブカメラを含むデバイスにアクセスした。
あなたが物議を醸しそうな "アダルト "ビデオに興じている様子を録画した。
あなたの家族、同僚、メールアドレス の連絡先リスト全員に、あなたが自慰している映像を見られたくないでしょう。特に、あなたの好きな「ジャンル」がどれほど変態的かを考えると。
私はまた、これらのビデオをポルノサイトで公開し、バイラルになり、インターネットから削除することは物理的に不可能になるだろう。

どうやって?
あなたがインターネットのセキュリティを軽視しているせいで、私は簡単にあなたのハードディスクにトロイの木馬をインストールすることに成功した。
そのおかげで、私はあなたのデバイス上のすべてのデータにアクセスし、遠隔操作することができた。
つのデバイスを感染させることで、他のすべてのデバイスにアクセスすることができた。

私のスパイウェアはドライバに埋め込まれており、数時間ごとにシグネチャを更新するので、アンチウイルスやファイアウォールでは検出できない。
今、私は取引を提供したい:あなたの以前の心配のない生活と引き換えに少額のお金を提供する。

990米ドルを私のビットコイン・ウォレットに送金してください:19gjxoZ2x8xzNC18FYtLxCL3FWRi15cP39

www.DeepL.com/Translator(無料版)で翻訳しました。


 ビットコインの動きを確認.

https://www.blockchain.com/explorer/addresses/btc/19gjxoZ2x8xzNC18FYtLxCL3FWRi15cP39
 現在のところ1トランザクションで955.4ドル(今現在139,083.31円)の入金がある模様.

 追跡調査をしてないのだけど,なんとなく大量に配信されたセクストーションメールより,少量受信した方が入金率が高そうに思う.
 
 国税庁を騙るフィッシングメール.誘導先のサイトは既にテイクダウンされていたけど,「国 税 庁」とキーワードで検出回避を狙っている割に,メールのFromアドレスにホットペッパーを使っているなど新参者感があるなぁ.

引用:
国 税 庁より重要なお知らせです、あなたが納税すべき国税等につきましては、いまだ納められていません。
▼以下のリンクをアクセスし、記載されてる方法で直ちに全額を。
https://nta-jp-lce[.]mom
また既に金融機関等で納税された場合も必ずご連絡ください。期限までに納税の確認ができない場合、(国税通則法37条) により財産を差
なお、指定期限にかかわらず、緊急を要する場合等には差押えを執行することがあります。
〇指定期限 2023年12月8日
この期限までに納付の確認ができない場合には滞納処分が執行されます
--------------------------------
(連絡事項)
納稅確認番号:****6103
滯納金合計:50000円
納付期限: 2023年12月8日
最終期限: 2023年12月9日 (支払期日の延長不可)
--------------------------------
※ 本メールは、「国税電子申告・納税システム(e-Tax)」にメールアドレスを登録いただいた方へ配信しております。
なお、本メールアドレスは送信専用のため、返信を受け付けておりません。ご了承ください。
--------------------------------
発行元:国 税 庁
〒100-8978 東京都千代田区霞が関3-1-1 (法人番号7000012050002)
Copyright © 2023 NATIONAL TAX AGENCY All Rights Reserved.

...続きを読む

SNS投稿による情報漏洩

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2023/12/5 15:32
 ホリエモンがゴルフに行ったことが拡散されてたと愚痴を言っているというツイートが引用されていたけど,それに似たことかなと思ったら当人のことでした.これはひどい.

子会社従業員が顧客の個人情報をSNSに投稿 - ダイナックHD
https://www.security-next.com/151234

 昔,俳優夫婦が家を探しに不動産屋に来たことをSNSに書いている人がいて炎上していたけど,それと同じだな. こういった人たちは,数年ごとに現れるのだろう.

  • 事件・話題の陳腐化で忘却
  • 幼かった人の成長など新規参入で過去事例を知らない

     こういうのを考えると「戦争はダメだ」と訴え続けるのは重要なんだろうな.教えなければ,戦争というものを知らなければ戦争なんてしないだろうなんて思ったこともあったけど.
  •  なんだかキャンペーンなんだけど,また不思議なメッセージが入っていますね.

    引用:
    ひとまず、今のカメラは本当に「シャッターを押せば撮れる」と思ってます。

    いわば、古人たちの知恵が詰まった生き方のメッセージ。
     これは攻撃者が日本語がわからずコピペしているってことなのかなぁ.

    HP Smart

    カテゴリ : 
    セキュリティ » 事故被害者記録
    ブロガー : 
    ujpblog 2023/12/5 14:46
     インストールした覚えのないHP SmartというソフトウェアがWindows 10のPCに勝手に現れる現象.


     2台のPCで再現したけど,これなんだろうと調べたら・・・

    WindowsにHPプリンタ用ソフトが勝手にインストールされる問題が発生か
    https://news.mynavi.jp/techplus/article/20231201-2830563/

    引用:
    Windows Latestは11月30日(現地時間)、「HP Smart is auto installing on Windows 11 and Windows 10 on non HP-machines」において、HP製プリンタ用のソフトウェアである「HP Smart」が、ユーザーの意図しないうちにWindows 11または10にインストールされる事態が発生していると伝えた。

     意図せず悪意のあるマルウェアをインストールできちゃう現象の実証検証かな.かなり怖いと思うけど.

    追記2023/12/26
     実害は無いので気にしてなかったけど,対策パッチが出ていたようです.


    Microsoft Printer Metadata Troubleshooter Tool December 2023
    https://www.microsoft.com/en-us/download/details.aspx?id=105763

    引用:
    This tool is intended to help users and administrators address the known issue: Printer names and icons might be changed and HP Smart app automatically installs(See Related Links for more information on this issue)
    This tool will review your printer information. It will restore any previously downloaded model information and icons and will remove “HP LaserJet M101-M106” model information, icons, and application associations from printers that do not match this name and model.
    This tool will uninstall the HP Smart application if incorrect metadata was found, there are no HP printers or HP printer drivers installed, and the application was installed after Nov 25th, 2023.

     このツールは、ユーザーおよび管理者が既知の問題に対処するためのものです: プリンター名とアイコンが変更され、HP Smartアプリが自動的にインストールされることがあります(この問題の詳細については、関連リンクを参照してください)。
     このツールは、プリンタ情報を確認します。このツールは、以前にダウンロードしたモデル情報とアイコンを復元し、この名前とモデルに一致しないプリンタから「HP LaserJet M101-M106」モデル情報、アイコン、およびアプリケーションの関連付けを削除します。
     このツールは、不正なメタデータが見つかった場合、HPプリンタまたはHPプリンタドライバがインストールされていない場合、およびアプリケーションが2023年11月25日以降にインストールされた場合、HP Smartアプリケーションをアンインストールします。

     誘導先は既にテイクダウンされているけど,

    ・サンリオキャラクターのGIFアニメのイラスト画像を使った、海外無料グリーティングカード
    ・感性は日々磨かれ、変化するもの。
    ・Arnazon

     とか気になるキーワードがたくさん入っているフィッシングメールのキャンペーンが発生していますね.ただ,これらってちょうど1年前に流行っていたものと特徴が一緒.


     メーラによっては見えるのだけど,このようにサンリオが見えない場合もある.

    ...続きを読む

    退職エントリー

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2023/11/30 11:08
     名和さんのセミナーを聞いていて思った,若手の開発エンジニアブロガーでよくあるブログが退職エントリー.

     自分がどういう技術を持って何をやっていてどこの会社で働いていたが,こんな考えで転職します,みたいな事を書いているのだけど,退職よりは転職できた嬉しさからか,ハイテンションにリズミカルに文書を書いているのも多いかな.
     特に大企業からベンチャーへ転職とか,有名ベンチャー企業が舞台になるとSNSでもバズりやすくなるけれど,興味深く読むこともあるのだけど,書く人はよくよく考えなければいけないことも多いでしょう.

    採用技術の暴露
    機密情報漏洩
    会社批判

     「xxxな技術を使ってSREでテックリードをやっていました」というような記述は良く見かけるけれど,その人が所属会社を明らかにしている際に,攻撃者からは狙いやすい情報を暴露しているといえるね.なるほどね.
     こういうのは,一種のシャドウIT的なことなんだろうなぁ.悪意がないのでまた面倒だな.

     会社側の防衛策としては,「ブログにそういう情報を描くな,書いていたら消せ」的な記述を組み込むくらいですかね.
     そもそも,そういうの書いちゃう人は職務経歴書にも関係したプロジェクトの詳細や採用技術を実名で書いて転職エージェントや転職サイトに登録していると思うし.
     HSBC銀行を騙る者からこのようなメールが.



    引用:
    Dear Sir/Madam,

    This mail is to notify you that the following transaction has been made by our customer for credit to your bank account.

    The attached payment advice is issued at the request of our customer, please find the attached payment slip for your reference.

    Please inform your Bank for confirmation.

    Yours faithfully,
    Robert Steve
    HSBC BANK LTD
    Global Payments and Cash Management


    拝啓

    このメールは、弊社顧客より貴社銀行口座に下記の取引が行われたことをお知らせするものです。

    添付の支払通知書は、お客様のご希望により発行されたものです。

    ご確認のため、貴行までお知らせください。

    敬具
    ロバート・スティーブ
    HSBC銀行
    グローバル・ペイメント&キャッシュ・マネージメント

     PDFの添付ファイルが付いてきていてメーラによってはインライン表示されてしまってるけど,再度PDFファイルを確認.


     PDFファイルはダウンロードボタンだけのあるもので,誘導先のURLをVirusTotalで調べてみた.


     まぁみるからに怪しい.

    ...続きを読む

     珍しく?今日は2つのキャンペーンを受信中.でももう1つのキャンペーンとは宛先リストが異なっている模様.
     こっちは1700ドルか.

    引用:
    モノ好きなあなたへ

    こんにちは。さっそく本題に入ります。
    私があなたを知ってから、実はしばらくの月日が経っています。
    私のことは、ビッグブラザーや、全能の目とでも呼んでください。
    私はハッカーです。数カ月前、ブラウザ履歴やウェブカメラなど、あなたが持つデバイスに対するアクセス権を入手しました。
    そこで、かなり物議を醸しそうな「アダルト」ビデオでマスかくあなたの動画を録画しました。
    ご家族や同僚、あなたのメールの連絡先([メアド])に、気持ち良さに浸っているあなたの動画を見られたくはないでしょう。しかも、あなたのお気に入りの「ジャンル」が、あんなにもエッチなものなら、特に嫌なはず。
    この自作動画を私がAVサイトに投稿して一般の目に触れてしまえば、デジタルタトゥーは一生残ることになるでしょう。

    どうやってこれらを行ったのか?
    ネットの安全性をあなたが軽視したため、私はあなたのデバイスのハードディスクにトロイの木馬を楽にインストールできました。
    そのお陰で、デバイス上のすべてのデータにアクセスでき、しかも遠隔操作までできます。
    1つのデバイスに感染させたことで、私はお持ちの全てのデバイスにもアクセスできます。

    私のスパイウェアはドライバベースなため、数時間毎に署名を書き換えます。だから、ウイルス対策ソフトやファイアウォールは、絶対に異変を検知することはできません。
    私と取引をしましょう。今後一生不安抱えて生きる人生と引き換えに、少額を私に支払ってください。

    $1700を私のビットコインウォレットに送金してください。: 1JhnACfjoMiCXXQ3xWJXLaHK9LKEzv1wuu

    送金が確認できたらすぐに、あなたに害を与えるすべての動画を削除し、お持ちの全てのデバイスからウイルスを消去します。それっきり、私からあなたに連絡をすることは一切ありません。

    メッセンジャーのメッセージを見た限り、あなたはまともな人間だと思われているようですが、周りの評判を落とさない代償として、これはかなり少額です。私は、既に持っているもので満足できるようにする、ライフコーチだとでも思ってください。

    48時間の猶予を与えます。このメールを開封した瞬間、私には通知が送られ、カウントダウンは開封時から始まります。
    今まで仮想通貨を使ったことがなくても簡単です。検索エンジンで「仮想通貨取引」と書けば、全て調べられます。

    下記は、してはいけないことです。
    このメールに返信しないでください。一時的なアカウントから送信しています。
    警察を呼ばないでください。あなたが所有する全てのデバイスへのアクセス権があるので、警察を呼ぼうとしたことが分かるとすぐに、自動的に全ての動画を公開します。
    システムをインストールし直したり、デバイスのリセットをしたりしないでください。まず、既に私は例の動画を持っています。次に、さっきもお伝えした通り、全デバイスを遠隔操作できるので、何か不自然なことを少しでもすれば、どうなるかはお分かりでしょう。

    仮想通貨のアドレスは匿名性です。だから、私のウォレットを追跡することもできません。

    とにかく、お互いが得するように、この状況を解決しましょう。相手が罠を仕掛けようとしない限り、いつでも私は約束を守ります。

    最後に、今後のために助言させてください。もっとオンライン上の安全性に気を付けた方が良いですよ。どのアカウントでも、パスワードを頻繁に変更したり、多要素認証を設定したりしてください。

    よろしくお願いします。

     今のところ送金はない模様.

    https://www.blockchain.com/explorer/addresses/btc/1JhnACfjoMiCXXQ3xWJXLaHK9LKEzv1wuu
     複数のアドレスに来ていますね.普段こないケータイキャリアのメアドにも来てる.

    引用:
    こんにちは、お世話になっております。
    貴方のアカウントに最近メールをお送りしましたが、お気づきになられたでしょうか?
    そうです。私は貴方のデバイスに完全にアクセスできるのです。

    数ヶ月前から拝見しております。
    どうすればそんなことが可能なのか疑問に思っておられますか?それは、訪問されたアダルトサイトに付いていたマルウェアに感染されていらっしゃるからです。あまりご存知ないかもしれないので、ご説明いたします。

    トロイの木馬ウイルスにより、私は貴方のパソコンや他のデバイスに完全にアクセスが可能です。
    これは、貴方のスクリーンに搭載されたカメラやマイクをオンにするだけで、貴方が気づくことなく、私が好きな時に貴方を見ることが可能となることを意味します。その上、貴方の連絡先や全ての会話へのアクセスも行なっておりました。

    「自分のパソコンにはウイルス対策ソフトを入れているのに、なぜそれが可能なのか?なぜ何の通知も今まで受信しなかったのか?」とお考えかもしれませんね。その答えは単純です。
    私のマルウェアはドライバーを使用し4時間毎に署名を更新するため、ウイルス対策ソフトでは検出不可能なので通知が送られないのです。

    左側のスクリーンで貴方がマスタベーションを行い、右側のスクリーンでは貴方が自分を弄っている間に閲覧していた動画が再生されるビデオを私は所有しています。
    これからどんな悪いことが起きるのか心配ですか?私がマウスを1度クリックするだけで、この動画は貴方のソーシャルネットワークやメールの連絡先全てへと送信されます。
    また、ご利用のメールの返信やメッセンジャーにもアクセスして動画を共有することだって可能です。

    この状況を回避するために出来ることは 、$1650相当のBitcoinを私のBitcoinアドレスへと送金するだけです(方法が不明な場合は、ブラウザを開け「Bitcoinを購入」と検索するだけで分かります)。

    私のbitcoinアドレス(BTCウォレット) は下記の通りです。: 1CWD3dUJQbfBtMEhNvbJey1s4FdFZfmtgf

    お支払いの確認が取れ次第動画をすぐに削除し、もう2度と私から連絡を取ることはありません。
    この取引が完了するまでに2日(48時間)の猶予がございます。
    このメールが開封されると同時に私は通知を受信し、タイマーが始動します。

    このメールと私のBitcoinのIDは追跡不可能なため、苦情を申し立てようとしても何も起こりません。
    非常に長い間この件に取り組んできたため、 どんな隙も与えませんよ。

    このメッセージについて誰かに話したことを私が感知すると、先ほども申し上げた通り、ビデオはすぐに共有されます。


    https://www.blockchain.com/explorer/addresses/btc/1CWD3dUJQbfBtMEhNvbJey1s4FdFZfmtgf

     5トランザクションで120万円越えの送金がなされてますね.

     某サイトのWebマスター宛にきていたメール.
     インド人のエンジニアを装って,発注書が送られてきて,注文確認書を送ってくれという内容でExcelの添付ファイルが付いていました.
     調べると,既に出回っているマルウェアでキーロガーなども含んだスパイウェアの模様.


     新しいものではないだろうから,メール用セキュリティゲートウェイが導入されている組織の場合,利用者に到着することなく排除されるやつでしょう.Webマスター宛にきているので,そういうのを総務部が窓口になっているような会社は気をつけたほうがいいかもね.


    引用:
    Dear Sir/Madam,

    Please find attached herewith Purchase Order No.1364.

    Request you to please follow the delivery schedule as you committed.

    Also share Order Acknowledgement for the same.

    Thanks & Regards,

    Prashant Sankhala – Engineer – Project Purchase
    Description: Description: Description: Description: Description: cid:image001.png@01D3ABE6.05DEC670
    Block 707, Nandoli Road, Rancharda, Via Thaltej - Shilaj,
    Ahmedabad - 382115, Gujarat, India.

    Tel : 02764-269892 /266/294/244
    Fax . : + 91 2764 2569245
    Mob. : + 91 9725622072

    Email : ktt_trang[@]yahoo.com

    Postal Address :
    C - 9 Purneshware Flats, Opp. Vasundhara Society,
    Gulbai Tekra, Ahmedabad – 380 015.
    Gujarat, India.

    Mobile : + 91 97277 65448
    Telefax : + 91 79 26376664.

    P please don’t print this e-mail unless you really need to!


    拝啓

    発注書 No.1364 を添付いたします。
    納期を厳守してください。
    また、注文確認書も併せてお送りください。

    ありがとうございました、

    プラシャント・サンカラ - エンジニア - プロジェクト購入
    説明 説明 説明 説明 説明:cid:image001.png@01D3ABE6.05DEC670
    ブロック707、ナンドリロード、ランチャルダ、タルテジ経由-シラジ、
    アーメダバード - 382115、グジャラート州、インド。

    電話 : 02764-269892 /266/294/244
    ファックス : + 91 2764 2569245
    携帯電話:+ 91 9725622072

    電子メール : ktt_trang[@]yahoo.com

    郵送先住所:
    C - 9 Purneshwareフラット、Opp。Vasundhara社会、
    Gulbai Tekra, Ahmedabad - 380 015.
    グジャラート州、インド。

    携帯電話:+ 91 97277 65448
    テレファックス: + 91 79 26376664.

    本当に必要でない限り、このメールを印刷しないでください!

    www.DeepL.com/Translator(無料版)で翻訳しました。
     フィッシングなどの悪意のあるメールによくある「急ぎ」をあおるメール.
     インド人に知り合いは居ないのだ.住所や名前を調べてみた.

     まずはPrashant Sankhalaという人.


     なんとKPMGのセキュリティエンジニアらしい.住所はこんなところ.

     んー.土地勘も何もないからなんとも言えない...

     そして本題.添付ファイルはExcelだったので,VirusTotalで調べてみた.

    ...続きを読む

     件名が違うだけで2023年10月のキャンペーンと同じだな.
     ただ,1400ドルから1800ドルも値段が上がっている.211,505円から271,935円の値上げだ.その値段だと警察通報案件だよね.

    引用:
    Hello there!

    Unfortunately, there are some bad news for you.

    Some time ago your device was infected with my private trojan, R.A.T (Remote Administration Tool), if you want to find out more about it simply use Google.

    My trojan allowed me to access your files, accounts and your camera.

    Check the sender of this email, I have sent it from your email account.

    To make sure you read this email, you will receive it multiple times.

    You truly enjoy checking out porn websites and watching dirty videos, while having a lot of kinky fun.

    I RECORDED YOU (through your camera) SATISFYING YOURSELF!

    After that I removed my malware to not leave any traces.

    If you still doubt my serious intentions, it only takes couple mouse clicks to share the video of you with your friends, relatives, all email contacts, on social networks, the darknet and to publish all your files.

    All you need is $1800 USD in Bitcoin (BTC) transfer to my account.

    After the transaction is successful, I will proceed to delete everything.

    Be sure, I keep my promises.

    You can easily buy Bitcoin (BTC) here:

    こんにちは!

    残念なお知らせがあります。

    少し前、あなたのデバイスが私の私用トロイの木馬、R.A.T (Remote Administration Tool)に感染しました。
    私のトロイの木馬によって、あなたのファイル、アカウント、カメラにアクセスすることができました。
    このメールの送信者を確認してください。あなたのメールアカウントから送信しました。
    このメールを確実に読んでもらうために、何度も受信してもらいます。

     送金咲きのビットコインアドレスを見ると,既に動きがある模様.
     こういうの本物なのかなぁ.

    https://www.blockchain.com/explorer/addresses/btc/15PjLxvFvVuUASkWLTReBDf1SAnGboiE3Q

    追記2023/12/17

     2日ほど前からまた増えてきました.
     ビットコインアドレスに変更があるようだけどチェックするとびっくり.

    https://www.blockchain.com/explorer/addresses/btc/1EV3qSyz4XKoZAWvB1eVSYqHyqCNRdv9i7

     今日現在で,Total Receivedが0.16818603 BTCで$7,029.37分だそうです.998,978.92円.
     うちの場合,DMARCレポートは毎日送られてこないのだけど,立て続けに送られてくる事態に.そしてそれらのドメインに対してメールを送った覚えがないので,これはスパムメールで送信ドメインを騙るように使われたのだろうなって思った.

     まず最初は,GoogleからのDMARCレポートメール.

    ...続きを読む

     2008年から使っている某Webサーバのファンが唸りをあげているので調べたら,データベースのCPUが高負荷.
     Webアクセスログを調べると,SQLインジェクションを受けていました.

     フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.

     単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.

    $ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
       1616 193.56.113.14
        986 193.56.113.69
        941 193.56.113.62
        765 193.56.113.7
        709 193.56.113.47
        679 193.56.113.52
        618 193.56.113.24
        592 193.56.113.34
        589 193.56.113.43
        546 193.56.113.29
        431 193.56.113.17
        422 193.56.113.39
    $
     AbuseIPDBで調べると,素性はよろしくない.



     アクセスの多いIPアドレスからのリクエストパラメータを抽出.
    $ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
    index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
    index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
    index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
    index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
    %7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
    %2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
    index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
    $
     最初の1つをURLデコードするとこうなる.

    %2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
    ↓
    -1756 ') ORDER BY 21--
    

    page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
    ↓
    page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%
    

     CHR()という関数があるけど,ASCIIコード表から可視化してみた.

    ...続きを読む

     カミさんが応募したスタバのキャンペーンメールがスパム判定された.
     メールの内容はこのような感じ.

    引用:
    xxxx 様
    ━━━━━━━━━━━━━━━━━━
    Starbucks(R) Rewards
    〜Wishing STAR Tree〜 エントリー完了のお知らせ
    ━━━━━━━━━━━━━━━━━━

    いつもStarbucksをご利用いただきまして、誠にありがとうございます。
    「Wishing STAR Tree」 へのエントリーが完了しました。

    ▼応募要項や対象商品のご確認はこちら
    https://www.starbucks.co.jp/rewards/wishing_star_tree/


    ………………………………………………
    スターバックス コーヒー ジャパン 株式会社
    https://urldefense.com/v3/__https://www.starbucks.co.jp/__xxxxxx
    ………………………………………………
    ※本メールは配信専用アドレスですので、返信はできません。あらかじめご了承ください
    ※本メールに掲載された記事を許可なく転載することを禁じます
    (c)2023 Starbucks Coffee Company. All Rights Reserved.


     誘導先のurldefenseってなんだろうとトップページにアクセス.


     Proofpoint社のProofpoint Targeted Attack Protection(TAP)というサービスを使っていると,このドメイン名がついたURLが送付されるそうだ.

    引用:
    本ドメインは標的型フィッシングメールや脅威から企業を守るシステムの一部です。企業、または転送されたメールの送信元の組織が、高度なセキュリティー要件を満たすため、Proofpoint Targeted Attack Protection(TAP)をご利用の場合、本ドメインを含む URL が付いた電子メールが送られることがあります。

    「urldefense.proofpoint.com」で始まるすべてのリンクは、実際には電子メールの本文にある元の URL を書き換えたものです。書き換えることでブラウザが元の URL がマルウェアを含まず、閲覧しても安全であると Proofpoint で確認できます。その後、ブラウザは元の URL が指定している宛先サイトにリダイレクトされます。

    Proofpoint, Inc.に関する詳細は、www.proofpoint.com を参照して下さい。

    Proofpoint に関心をお寄せ頂きましてありがとうございます。

    - Proofpoint チーム
     ちなみにメールにあったURLにアクセスすると,スタバの公式サイトにリダイレクトされた.意図はわかるけど訳のわからんURLはクリックするなと言われているから,普通はアクセスしないような.(つまり儲かるサービスなのかなぁと疑問)

     メールヘッダを確認.

    ...続きを読む

     迷惑メールしか来ないメアドにきた不思議なメール.

    引用:
    1下記日時に 藤田xx さんが帰宅しました。
    ●2023年11月01日(水) 17時35分
    ●ウxxxx中桃山台
    ●部屋番号:xxxx
    ◇株式会社フルタイムシステム
     Fulltime System Co.,Ltd.

    ■本メールに覚えのない方は、恐れ入りますが破棄してください。
    ■本メールは発信専用アドレスから送信しております。本メールに返信されたご質問等は受信することができません。フルタイムカスタマーサイトの「お問合せ」メニューからお問い合わせください。
    ■宛先を非表示 (BCC) にて送信しています。
    ■本サービスを利用する場合、当社もしくは第三者の著作権、プライバシー、肖像権、その他の権利を侵害する行為、またはその恐れのある行為をすることはできませんので、ご注意ください。



     調べてみると,比較的新しいマンションのようだし,警備システムからメール通知が来るような設備が入っていてもおかしくはないね.


     メールヘッダを確認すると,いつもの奴らの仕業なのだけど.

    ...続きを読む

     早朝,スリランカからのほぼワンギリ電話がありました.3年ぶり2回目ですかね.これは国際電話詐欺が高いけど,2022年に経済破綻したスリランカなので治安は良くないでしょう.特に今日はスリランカからのものが増えているそう.Twitter(現X)で検索してもたくさん出てきました...


     去年だけどこんなニュースが.

    「+94」スリランカからの着信に要注意!ワン切り詐欺の可能性も
    https://iphone-mania.jp/news-486621

    引用:
    なお、NTTドコモの携帯電話からのスリランカへの国際電話料金(平日昼間)は30秒当たり148円で、20分間通話した場合は5,920円が課金されます。

     いや,知らない人と20分離さないだろう...

     そしてうちの場合,その数時間後に,MyDocomoのアカウントへのログイン試行がたくさんありました.


     20回くらいあったようだけど,ちょっとした事情で全く気づかなくて,1時間半くらいで20回くらいログイン試行がありました.

     10時間くらい経ってから気がついたけど,承認要求をしてみました.


     ログイン機器がAndroid(iPhone)となっているのは何だろう...そんな機器を持ってないので「いいえ」を選択.

     ちなみに「ちょっとした事情」というのは,ATOM Cam 2をセットアップしていて,窓を開けていると風が吹いてカーテンが揺れると検知して通知がたくさんきてるんですよ.それで通知が来ても放置してました
     中身が無いメール.そしてSpamAssasinのスコアも低い.
     これは,メアドのクレンジングじゃ無いかな.つまり,無難なメッセージを送信して,到達確認してメアドの存在確認をしているという意味.

     ダークモードのメーラだと,よくわかるのだけど,何か本文の後ろに符号が隠されている.



     Thunderbirdで白背景にしていると,目立たない.




    引用:
    Dear tom, good night..0632UQq

     これは返信すると面倒なタイプだろう.

     メールヘッダを確認.

    ...続きを読む



    引用:
    ※本メールは、インターネットバンキングのセキュリティに関する重要なお知らせです。
     商品・サービス等のご案内メールを配信不要でご登録いただいているお客さま、本メールに記載の対策を実行済のお客さまへもお送りしております。何卒ご理解賜りますようお願い申し上げます。
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

    【重要】パソコンのウイルス感染を装った偽の警告画面にご注意ください
                                   三井住友信託銀行
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    平素は三井住友信託ダイレクトをご利用いただき、誠にありがとうございます。

    昨今、パソコンでインターネットを閲覧中に、突然ウイルス感染したかのような、偽の警告画面が表示され、警告画面に表示されたサポート窓口との電話や遠隔操作ソフト等によりインターネットバンキングで金銭を騙し取られる「PC(パソコン)サポート詐欺」が国内で多数報告されていますので、十分にご注意ください。
    【特徴】
    ■ウイルス感染を装った偽のセキュリティ警告画面が表示される
    (1)偽のセキュリティ警告画面には、大手メーカーの名称や実在の企業ロゴが使われる場合がある
    (2)偽のセキュリティ警告画面に記載されたサポート窓口に電話をかけると、セキュリティソフトを装って遠隔操作ソフト等のダウンロード・インストールへ誘導されたり、有料のサポート契約を勧められる
    (3)サポート料の支払い時、インターネットバンキングの会員番号・パスワード・確認番号(乱数表)を聞かれたり、画面上に映す・アップロードするように言われたりする

    【被害に遭わないためのポイント】
    (1)警告画面に表示される電話番号に電話をせず、メーカー等のホームページを調べて相談する
    (2)偽のセキュリティ警告画面が表示されたら、ブラウザを終了したりパソコンを強制終了する
    (3)警告画面に表示されるアプリやソフトウェア等をダウンロード・インストールしない
    (4)相手が「大手企業」「サポート窓口」「セキュリティ担当」を名乗っても、インターネットバンキングの会員番号・パスワード・確認番号(乱数表)等の情報を伝えたりご利用カード画像をアップロードすることは絶対にしない
    ‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
    ▼フィッシング詐欺被害にも引き続きご注意ください▼
    ・三井住友信託銀行では、電子メール・SMSなどにより、お客さまのインターネットバンキングのダイレクト会員番号・ログインパスワードや会員カード記載の確認番号(乱数表)などをお尋ねしたり、入力をお願いすることは一切ございません。また、確認番号(乱数表)の画像送信をお願いすることもございません。
    そのような偽サイトへの誘導メールは当社から送付したものではございませんので、開かずに破棄してください。また、メールに記載されたURLやリンクを開いた場合は、絶対にお客さまの情報を入力しないでください。
    ・電話認証サービスをご登録の場合、電話認証が必要になるのは(1)新しい振込先を指定して振り込む場合と(2)振込先を事前登録する場合のみとなります。銀行口座やサービスの利用継続のために、電話認証が必要になることはございません。
    ・不正払出防止の観点からインターネットバンキングをご利用されるすべてのお客さまに電話認証サービスのご登録を強くお薦めしています。インターネットバンキングログイン後トップページよりご登録をお願いします。
    ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    ・本メールの送信元のアドレスは配信専用です。ご返信いただいても返信内容の確認およびご返答ができません。あらかじめご了承ください。
    ■三井住友信託ダイレクトヘルプデスク 0120-983-381
    【受付時間】
    平日 9:00~20:00 土・日・祝 9:00~17:00
    サービスによってはご利用いただけない時間がございますのでご了承ください。
    ◆◇◆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◆
    Copyright (c) Sumitomo Mitsui Trust Bank, Limited. All rights reserved.
     内容を見るとまぁ,サポート詐欺に気をつけろ,ってことなのだけど,うちのSpamAssasinだとジャンク扱いになっている.

     メールヘッダを確認.

    ...続きを読む

     宛先に複数の知らない人のメアドが含まれたフィッシングメールがきた.このタイプって,同報メールでメアドが流出したとして漏洩報告して謝罪するタイプくらいのやつ.

     件名の「Get Cash and stop maintenance fees for your Timeshare」をDeepLすると「タイムシェアの維持費を止め、現金を手に入れる」となる. 意味がわからないが本文を.

    ...続きを読む

    GREYNOISE

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2023/10/26 0:36
     今回は,GREYNOISEというWebツールを使ってみた.

     まず,どういうWebツールなのかは,サイトの説明から引用.
    引用:
    Solving internet noise.
    We collect, analyze, and label data on IPs that scan the internet and saturate security tools with noise. This unique perspective helps analysts spend less time on irrelevant or harmless activity, and more time on targeted and emerging threats.

    インターネット・ノイズの解決
    インターネットをスキャンし、セキュリティツールをノイズで飽和させるIPのデータを収集、分析、ラベル付けします。このユニークな視点は、アナリストが無関係または無害なアクティビティに費やす時間を減らし、標的を絞った新たな脅威により多くの時間を費やすのに役立ちます。

     ということで早速うちのサーバをポートスキャンしてログインしてこようとしているIPアドレスを1つ使って調査してみました.

    https://viz.greynoise.io/

    ...続きを読む

     NISTはCSF 2.0の最終版を2024年初頭に発表する予定.


    NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?
    https://www.itmedia.co.jp/enterprise/articles/2309/16/news024.html

    引用:
    NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。

     米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。
     自分に影響があるのかないのかわからんな.

    県立高で卒業生約1万人分の指導要録が所在不明 - 広島県
    https://www.security-next.com/150204

    引用:
    県立高校において1984年度から2011年度までに卒業した全日制普通科9049人と家政科835人、1989年度から2002年度に卒業した定時制普通科130人に関する指導要録の所在がわからなくなっているもの。

     これからの人生で,高校時代の「単位修得証明書」なる書類が必要になることなんてないだろうし.

    ●参考
    指導要録(参考様式) - 文部科学省
    https://www.mext.go.jp/b_menu/hakusho/nc/attach/1415204.htm
     少しづつうちに到着してきている.
     ちょっと文体が新しいかな.
     送信者のメアドを確認しろとあるけど,これは簡単に偽装可能.そして「その後、痕跡を残さないようにマルウェアを削除した。」とあるので,安心だね.

    引用:
    Hello there!

    Unfortunately, there are some bad news for you.

    Some time ago your device was infected with my private trojan, R.A.T (Remote Administration Tool), if you want to find out more about it simply use Google.

    My trojan allowed me to access your files, accounts and your camera.

    Check the sender of this email, I have sent it from your email account.

    You truly enjoy checking out porn websites and watching dirty videos, while having a lot of kinky fun.

    I RECORDED YOU (through your camera) SATISFYING YOURSELF!

    After that I removed my malware to not leave any traces.

    If you still doubt my serious intentions, it only takes couple mouse clicks to share the video of you with your friends, relatives, all email contacts, on social networks, the darknet and to publish all your files.

    All you need is $1400 USD in Bitcoin (BTC) transfer to my account (Bitcoin equivalent based on exchange rate during your transfer).

    After the transaction is successful, I will proceed to delete everything without delay.

    Be sure, I keep my promises.

    You can easily buy Bitcoin (BTC) here: www.paxful.com , www.coingate.com , www.coinbase.com , or check for Bitcoin (BTC) ATM near you, or Google for other exchanger.

    You can send the Bitcoin (BTC) directly to my wallet, or install the free software: Atomicwallet, or: Exodus wallet, then receive and send to mine.

    My Bitcoin (BTC) address is: 1CK41adce6KuM3UM2eySnzUyR9SAJnf4wu

    Yes, that's how the address looks like, copy and paste my address, it's (cAsE-sEnSEtiVE).

    You are given not more than 2 days after you have opened this email.

    As I got access to this email account, I will know if this email has already been read.

    Everything will be carried out based on fairness.

    An advice from me, regularly change all your passwords to your accounts and update your device with newest security patches.

    こんにちは!

    残念なお知らせがあります。
    少し前、あなたのデバイスが私の私用トロイの木馬、R.A.T (Remote Administration Tool)に感染しました。
    私のトロイの木馬によって、あなたのファイル、アカウント、カメラにアクセスすることができました。
    このメールの差出人を調べてみて。あなたのメールアカウントから送信している。
    あなたはポルノサイトをチェックしたり、スケベなビデオを見たりして、変態的な楽しみを満喫している。
    私はあなたが(あなたのカメラを通して)満足するのを録画した!
    その後、痕跡を残さないようにマルウェアを削除した。
    もしまだ私の真剣な意図を疑っているのなら、マウスを数回クリックするだけで、あなたのビデオを友人、親戚、すべてのEメール連絡先、ソーシャルネットワーク、ダークネットで共有し、すべてのファイルを公開することができます。

    必要なのは、ビットコイン(BTC)で1400米ドルを私の口座に送金することだけです(送金時の為替レートに基づくビットコイン相当額)。

    取引が成功した後、私は遅滞なくすべてを削除します。
    私は約束を守ります。

    ビットコイン(BTC)はこちらで簡単に購入できます: www.paxful.com , www.coingate.com , www.coinbase.com , またはお近くのビットコイン(BTC)ATMをチェックするか、他の交換業者をグーグルで検索してください。

    ビットコイン(BTC)を私のウォレットに直接送ることもできますし、フリーソフトをインストールすることもできます: Atomicwallet、または: Exodusウォレットをインストールし、受信し、鉱山に送信します。

    私のビットコイン(BTC)アドレスは以下の通りです: 1CK41adce6KuM3UM2eySnzUyR9SAJnf4wu

    私のアドレスをコピー&ペーストしてください、

    www.DeepL.com/Translator(無料版)で翻訳しました。

     今現在は,このビットコインアドレスに送信されてない模様.

    https://www.blockchain.com/explorer/addresses/btc/1CK41adce6KuM3UM2eySnzUyR9SAJnf4wu

    セキュリティ構成ミス

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2023/10/18 2:03
    よく見られるセキュリティ構成ミスは? - 米当局がランキング
    https://www.security-next.com/149985

    引用:
    1位:デフォルト構成でソフトウェアやアプリケーションを利用する
    2位:ユーザー権限と管理者権限の不適切な分離
    3位:不十分な内部ネットワークの監視
    4位:ネットワークセグメンテーションの欠如
    5位:粗末なパッチ管理
    6位:システムアクセス制御のバイパス
    7位:脆弱あるいは構成ミスによる多要素認証(MFA)の利用
    8位:ネットワーク共有、サービスに対する不十分なアクセス制御リスト
    9位:貧弱な認証情報の衛生管理
    10位:無制限のコード実行

     デフォルト設定,キツすぎるとうまく動かず,緩和しすぎていると脆弱性になる.本来は,ちゃんと作用について理解した上で設定するのだろうけど,GUI世代だと「なんか触ってたら動くようになった」みたいなことも多い.キツいと訳もわからず緩和しちゃうというのもよくある話.

     最近は知らないけど,昔のSQL Serverは,デフォルトの表領域ががシステムデータベースになっているから,訳もわからず使い始めるとすぐdisk fullになって止まるようになってた.そこで表領域の概念とか,拡張作業とかとかエクステント設定・設計を仕方なくしなければいけないことに気づく絶妙な設定だったと思う.
     Oracleのchange_on_installというパスワードは,そのまま運用されているのをみたことがある.
     news zeroでもトップニュースで取り上げられてた. 

    NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)
    https://www.nttactprocx.com/info/detail/231017.html

    引用:
    1.概要
    当社が利用するコールセンタシステムを提供するNTTビジネスソリューションズの同システムの運用保守業務従事者(NTTビジネスソリューションズに派遣された元派遣社員)が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、お客さま情報を不正に持ち出し。
    (1)不正に持ち出された件数

    お客さま数:約900万件 クライアント数:59(現時点判明分)
    ※今後新たな情報が判明いたしましたら、随時公表してまいります。

     2013年7月ごろから発生していたそうだけど,その頃のログとか残ってないだろうね.

     NTTはセキュリティ・ソリューションをやっている部署や子会社などがたくさんあって,きめ細やかなプロダクトをたくさん扱っているけど,今回のNTTグループ企業にはそれが適用されて無かったようだ.

     他社に売る前にまずは自組織から,というのは優しいけれど難しいんだろうね.

     今回難しいのは,自分自身が被害者か否か解らないということかな.コールセンターのアウトソーシングって事だからら.まぁ,時が有耶無耶にしてしまうだろう.

     大量に持ち出して名簿屋に売っていたというので思い出すのはベネッセだけど,2014年の事だったか.


    お客様本部TOP > お客様本部について > 事故の概要 - ベネッセ
    https://www.benesse.co.jp/customer/bcinfo/01.html

    引用:
    事故発覚の経緯
    2014年6月27日、株式会社ベネッセコーポレーションは、お客様からの問い合わせによりお客様の個人情報が社外に漏えいしている可能性を認識し、緊急対策本部を設置するとともに、これらの問い合わせで提供された情報を手がかりとして社内調査を開始しました。
     There is an overdue payment under your name. Please, settle your debts ASAP.(あなたの名前で延滞金が発生しています。早急に解決してください。)という件名.
     大量に出回っているわけではなさそうだけど,うちには2通到着.

    引用:
    Hi!

    Sadly, there are some bad news that you are about to hear.
    About few months ago I have gained a full access to all devices used by you for internet browsing.
    Shortly after, I started recording all internet activities done by you.

    Below is the sequence of events of how that happened:
    Earlier I purchased from hackers a unique access to diversified email accounts (at the moment, it is really easy to do using internet).
    As you can see, I managed to log in to your email account without breaking a sweat: (mailaddress).

    Within one week afterwards, I installed a Trojan virus in your Operating Systems available on all devices that you utilize for logging in your email.
    To be frank, it was somewhat a very easy task (since you were kind enough to open some of links provided in your inbox emails).
    I know, you may be thinking now that I'm a genius.....^^)

    With help of that useful software, I am now able to gain access to all the controllers located in your devices
    (e.g., video camera, keyboard, microphone and others).
    As result, managed to download all your photos, personal data, history of web browsing and other info to my servers without any problems.
    Moreover, I now have access to all accounts in your messengers, social networks, emails, contacts list, chat history - you name it.
    My Trojan virus continues refreshing its signatures in a non-stop manner (because it is operated by driver),
    hence it remains undetected by any antivirus software installed in your PC or device.

    So, I guess now you finally understand the reason why I could never be caught until this very letter...


    こんにちは!

    悲しいお知らせがあります。
    数ヶ月前、私はあなたがインターネットを閲覧するために使用しているすべてのデバイスに完全にアクセスできるようになりました。
    その直後、私はあなたのインターネット上での行動をすべて記録し始めました。

    以下は、その経緯です:
    先に、私はハッカーから多様な電子メール・アカウントへのユニークなアクセス権を購入した(現在、インターネットを使えば、それは実に簡単にできる)。
    ご覧のように、私は汗をかくことなくあなたのメールアカウントにログインすることに成功しました:(mailaddress)。

    その後1週間以内に、私はあなたが電子メールにログインするために利用するすべてのデバイスで利用可能なオペレーティング・システムにトロイの木馬ウイルスをインストールしました。
    率直に言って、それは非常に簡単な作業だった(受信トレイのメールに記載されたリンクのいくつかを開いてくれたのだから)。
    私は天才なんだ・・・とお思いでしょうが・・・^^)

    その便利なソフトウェアの助けを借りて、私は今、あなたのデバイスにあるすべてのコントローラにアクセスすることができます。
    (例えば、ビデオカメラ、キーボード、マイクなど)。
    その結果、あなたの写真、個人データ、ウェブ閲覧の履歴、その他の情報を問題なく私のサーバーにダウンロードすることができました。
    さらに、メッセンジャー、ソーシャルネットワーク、電子メール、連絡先リスト、チャット履歴など、あらゆるアカウントにアクセスできるようになった。
    私のトロイの木馬ウイルスは、ノンストップでシグネチャを更新し続ける(ドライバによって動作しているため)、
    そのため、あなたのPCやデバイスにインストールされているアンチウイルスソフトウェアでは検出されないままです。
    www.DeepL.com/Translator(無料版)で翻訳しました。

    ...続きを読む

     アマゾンで「プライム感謝祭」なるセールをやっていた関係か,ここ1週間ほど「Amazonアカウント認証通知」という件名のフィッシングメールのキャンペーンが実施されている.



    引用:
    【Amazon】お客様のアカウント認証に関する重要なお知らせ
    Amazonをご利用いただき誠にありがとうございます。システムによる定期的なチェックの結果、お客様のアカウントについて再認証が必要となりました。

    【認証手順】
    当社の公式ウェブサイトにアクセスしてください

    https://amznjd.🄲🄾🄼/?loginid=XXXXXXXXXXXXXXXXXX-𝐡𝐭𝐭𝐩𝐬://𝐰𝐰𝐰.𝐚𝐦𝐚𝐳𝐨𝐧.𝐜𝐨.𝐣𝐩/

    画面に表示される指示に従い、必要な手続きを完了してください。
    【注意事項】
    このメールを受信してから24時間以内に認証を完了してください。そうしない場合、お客様のアカウントは一時的に凍結される可能性があります。

    ご理解とご協力をいただき、誠にありがとうございます。今後とも、Amazonはお客様の安全と利便性を第一に考え、より良いサービスを提供するために努力してまいります。

    敬具

    Amazon株式会社
    カスタマーサポート部


     SpamAssasinで引っ掛けづらい状態があったけど,SPF_FAILのスコアをあげる事で体感95%以上補足できるようになった.

    X-Spam-Status: Yes, score=17.156 tagged_above=-99 required=9
    	tests=[BAYES_20=-0.001, CTE_8BIT_MISMATCH=0.001,
    	FROM_LOCAL_NOVOWEL=0.5, FUZZY_AMAZON=3, PHP_ORIG_SCRIPT=0.705,
    	RCVD_IN_BL_SPAMCOP_NET=3.5, RDNS_NONE=0.793, SPF_FAIL=3.5,
    	SPF_HELO_NONE=0.001, SUSP_UTF8_WORD_COMBO=3,
    	TVD_SPACE_RATIO_MINFP=2.157] autolearn=no autolearn_force=no

     誘導先のサイトは,ほとんどテイクダウンされているようだけど,メールだけは遅延してたくさん送られてくる感じ.

    Microsoft SBOM Tool

    カテゴリ : 
    セキュリティ » ツール
    ブロガー : 
    ujpblog 2023/10/14 1:13
     ソフトウェアに脆弱性があると「対策された修正アップデートを適用」「入れ替える」「利用を止める」などの対策があるけど,ソフトウェア本体ならまだしも,ライブラリとかどこで何が使われているか分からな場合,それを管理するのがSBOM.


     マイクロソフトが公開している,Windows,Linux,macOSに対応しているツール.

    SBOM Tool
    https://github.com/microsoft/sbom-tool

    引用:
    The SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts. The tool uses the Component Detection libraries to detect components and the ClearlyDefined API to populate license information for these components.

    SBOMツールは、様々なアーティファクトに対してSPDX 2.2互換のSBOMを作成する、拡張性の高いエンタープライズ対応ツールです。このツールは、コンポーネント検出ライブラリを使用してコンポーネントを検出し、ClearlyDefined APIを使用してこれらのコンポーネントのライセンス情報を入力します(Safariで翻訳)

    SBOMツールは、さまざまなアーティファクト用のSPDX 2.2互換SBOMを作成するための、高度にスケーラブルでエンタープライズ対応のツールです。このツールは、コンポーネント検出ライブラリを使用してコンポーネントを検出し、ClearlyDefined APIを使用してこれらのコンポーネントのライセンス情報を入力します。(DeepLで翻訳)

    引用:
    SBOMとは 「SBOM」とは、「Software Bill Of Materials」の略で、「ソフトウェア部品表」という意味があります。 SBOMはアプリケーションなどの製品に含まれるすべてのソフトウェアコンポーネントや、ライセンスなどをリスト化したもので、食品の成分表のようなものです
     マイナポイントは9月末で終了したけど,フィッシングサイトは勝手に10月末に延長.さらに今回は「この活動は2023年10月末まで続きます。」とまで言ってますね.


    引用:
    マイナポイント事業とは?

    マイナポイント第2弾は、20,000円相当のマイナポイントを提供しています。
    QRコード決済や電子マネーなどのキャッシュレス決済サービスで利用できるマイナポイント
    このプログラムは、マイナンバーカードの利用普及と消費促進を目指しています。
    (1人2万円分)を付与する事業です。

    ★ポイントをもらえますか?

    はい、初回イベントに参加してポイントを獲得しても、
    ただし、今回もイベントにご参加いただけます。

    この活動は2023年10月末まで続きます。お早めのお手続をお願いします。
    ----------------------------------------------------------------------
    マイナポイントの申請手続き
    以下の手順に従って、約1分で申請を完了させることができます。
    ----------------------------------------------------------------------
    ★STEP1
    専用の申請サイトにアクセスし、必要な情報を入力

    ★STEP2
    マイナポイントの申込みをしよう

    ★STEP3
    20,000円分 マイナポイントを取得して使おう!
    ━━━━━━━━━━━━━━━━━━━━━
    以下のボタンから申請を開始してください!
    申請をはじめる


    ━━━━━━━━━━━━━━━━━━━━━

    なお、本メールの送信アドレスは「送信専用」ですので、
    返信してお問い合わせいただくことはできません。
    © マイナポイント第2弾
     誘導先URLにアクセスしてみると,まだブロックされていませんでした.

     ETCを騙るフィッシングメールは頻繁にくるけど,実際にやられたってことか.でも発生から発見・対応策実施・報告までは速い気がした

    ETC利用照会サービスサイトへの不正アクセス・ログインについてのお詫びとお知らせ
    https://www.etc-meisai.jp/news/231004.html

    引用:
    令和5年9月30日~10月2日にかけて、海外のIPアドレスから当サービスへ大量のアクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされたものです。当サービスに記載されているお客さまのメールアドレス、登録ID、秘密の質問・答え及び利用履歴について閲覧された可能性があります。ETCクレジットカード番号、車載器管理番号の漏洩の可能性はございません。

     まぁ,ETCマイレージサービスはシステム障害が多い件にもある通りな感じなので,ずっとログ監視してそうだね.
     不思議だけど,スパムフィルターを通過してしまった.

    ・送信者はソフトバンク風
    ・件名はAmazonのフィッシングメール
    ・メール本文はマイナポータル
    ・誘導先URLとか無し



    引用:
    新しいお知らせが届いています。
    マイナポータルにログインして確認してください。
    マイナポータルでメール通知を希望された方へ配信しています。
    このメールへの返信はできませんのでご了承ください。
    メール配信停止はマイナポータルにログインし、画面右上の「メニュー」から「アカウント設定(利用者登録変更)」を選択して、「行政機関等からのお知らせ通知」チェックを外してください。

    --------------------
    マイナポータルでメール通知を希望された方へ配信しています。
    このメールへの返信はできませんのでご了承ください。
    メール配信停止はマイナポータルにログインし、画面右上の「メニュー」から「アカウント設定(利用者登録変更)」を選択して、「行政機関等からのお知らせ到着通知」チェックを外してください。

     メールヘッダを確認.

    ...続きを読む

    Find YOUR DATE

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2023/10/4 1:20
     ラッキービジターだけど,メールの中に3つもURLが入ってる.



    引用:
    .

    CHOOSE YOUR MATCH

    Glgac41GM56yUzJai7A8P4kGwuoWGpvdBBdDw59906xLw7LE4b
    zJc1MFoIFnyBK9XHKsCLWcHAiZzE34ftDhkgMyOhMcJmcxUNPm
    YPd9VQxAY9DxmFU6jAjx2ykUWWbOrmKf2OeOvCekCIHOesLnTV

    http[:]//shulstead.com/4C030a2nqz0z2dgj-15vu2qp1zoi2lk1kduep700001
    http[:]//shulstead.com/1C030a2nqz0z2dgj-15vu2qp1zoi2lk1kduep700001
    http[:]//shulstead.com/1C030a2nr10z2dgj-15vu2qp1zoi2lk1kduep700001
    


     そのうちの1つがラッキービジター.

    ...続きを読む

     久々にfacebookにログインしたら,ログイン通知が来た.
     メールアドレスが
     

     それ自体は想定通りなのだけれど,SpamAssasinの評価で興味深いものを見つけた.




    X-Spam-Status: No, score=-10.638 tagged_above=-99 required=7
    	tests=[BAYES_00=-1.9, DKIMWL_WL_HIGH=-0.001, DKIM_SIGNED=0.1,
    	DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, ENV_AND_HDR_SPF_MATCH=-0.5,
    	HELO_MISC_IP=0.248, HTML_FONT_LOW_CONTRAST=0.001,
    	HTML_IMAGE_RATIO_08=0.001, HTML_MESSAGE=0.001,
    	RCVD_IN_DNSWL_BLOCKED=3.5, RCVD_IN_MSPIKE_H2=-0.587, RCVD_IN_PSBL=2.7,
    	RELAYCOUNTRY_UNTRUSTED=1, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001,
    	TVD_RCVD_IP=0.001, USER_IN_DEF_DKIM_WL=-7.5, USER_IN_DEF_SPF_WL=-7.5]
    	autolearn=no autolearn_force=no

     RELAYCOUNTRY_UNTRUSTEDで海外からのメールだと分かりますが,RCVD_IN_PSBLやRCVD_IN_DNSWL_BLOCKEDのスコアを見るとブラックリストに登録されているにもかかわらず,最終的なスコアは-10.638となっています.これはUSER_IN_DEF_DKIM_WL=-7.5とUSER_IN_DEF_SPF_WL=-7.5の結果が効いているから.

     AbuseIPDBで調べると,該当メールサーバは悪性報告されているけれど,コメント付きになっている.

    ...続きを読む

     第2弾マイナポイントの申し込みは9月末日に終了したけれど,そんなの関係ないと言わんばかりのフィッシングメールが来ました.


     「お早めに回収」って書いてあるけど,ポイントを貰うのを「回収」っていう言葉で表現するのは,やっぱりその業界の人って感じがするんだけど,どうなんですかね?

     メールヘッダを確認してみます.


     SBI新生銀行を名乗るメールサーバを経由しているっぽく偽装しているけれど,うちのメールサーバの調整だと,X-Spam-Scoreは27.505です.Supmailerも出てるし.

     ちなみに誘導先のサーバはダウンしているようだったので,割愛.
     うちは電気代はTEPCOに払ってねンだわ.東京電力について何か意見があるわけじゃなく,電力自由化で東京ガスに変更すると安くなるって言われたから変えただけだ.そういえば,昔,東京ガスのガス管作っていた会社の子会社に勤めてたという縁もあるし.(こじつけ)

     そして来たメールはこんな感じ.



    引用:
    ■□■ TEPCOよりご利用料金のご請求です。 ■□■

    下記内容をご確認の上、至急お支払いください。 万一、支払期日を過ぎると、 wruvfrfkmxbbhcc

    サービスのご供給を【停止】致します。 dv1b4ipn8

    ▼ 支払いの詳細リンクエント

    <未払い金額: 19,811.32 円 (税込)> at71i4fj



    ※ 本メールは、TEPCO にメールアドレスを登録いただいた方へ配信しております。 r9pmn7nv

    以上、ご不明な点に関しましては、お気軽にお問い合わせください。 jwf4s5vr

     テキストにすると何か変なものが隠れてる.

    ...続きを読む

     今年2023年4月以来のキャンペーンという感じかな.

    引用:
    こんにちは!
    残念ながら、とても悲しいお知らせがあり、ご連絡を差し上げております。
    数カ月前に、普段からネット閲覧にご利用のデバイス全てへの、完全なアクセス権を私は手に入れました。
    その後、ネット上でのあなたの全ての活動を監視、追跡を始めました。

    どのようにして起きたのか、経緯をご説明します。
    少し前に、複数のメールアカウントへのアクセス権をハッカーから購入しました。(最近では、オンラインで結構簡単に購入可能です。)

     Bitcoinのアドレスが,16tApRkQNxtJhfN2Ym26biDJq2skNQjP8Yとなっているけれど,それに該当するものがないんだよね.なんだろう.

    広告スペース
    Google