ブログ - セキュリティカテゴリのエントリ
現在のところ63通ほど来ていますね.過去に漏洩したメアド,サイト運営用のメアド,キャリアのメアドなど,網羅的に来ています.逆にいうと,このセクストーションメールは,いつも大量のターゲットに向けて送信されていますね.
引用:
今回もビットコインでの支払いで,$1650相当と言っているので,今日現在だと238,846円程度.円安もあるので値上がりしてますね...
そして示してあるビットコインアドレスは,今のところこの2つ.
使っているメーラを調べてみました.
引用:
こんにちは、お世話になっております。
貴方のアカウントに最近メールをお送りしましたが、お気づきになられたでしょうか?
そうです。私は貴方のデバイスに完全にアクセスできるのです。
今回もビットコインでの支払いで,$1650相当と言っているので,今日現在だと238,846円程度.円安もあるので値上がりしてますね...
そして示してあるビットコインアドレスは,今のところこの2つ.
1AwhmWZgkmvGdiy1oo4QwQ5491XvqEStXv
1M11WYRe77q4q5UJTFT3ByuVsiwCDdbPDL
使っているメーラを調べてみました.
インターネット老人の私は,昔,サイトの巡回クローンツールのようなものを会社の経費で買ってトラフィックの低減を目的としたコピーサイトをイントラで運営していたこともあります.著作権とか無視だね.
「pixivをまるごと転載したサイトがある」ユーザー騒然 pixivは「データの取得を遮断」と対応を報告
https://nlab.itmedia.co.jp/nl/articles/2209/01/news193.html
レアもの|価値のあるものを扱っているショッピングサイトのクローンサイトも良く見かけるけどね.
「pixivをまるごと転載したサイトがある」ユーザー騒然 pixivは「データの取得を遮断」と対応を報告
https://nlab.itmedia.co.jp/nl/articles/2209/01/news193.html
レアもの|価値のあるものを扱っているショッピングサイトのクローンサイトも良く見かけるけどね.
謎の絵を入手したので,ステガノグラフィー解析なるものをやってみようと.
とりあえずあまり何も考えずに,そう言うサイトを検索.
このAperi'Solveというのが出来が良さそうな雰囲気.
https://www.aperisolve.com/
引用:
まずは調査対象の画像をアップロードしてみた.
とりあえずあまり何も考えずに,そう言うサイトを検索.
このAperi'Solveというのが出来が良さそうな雰囲気.
https://www.aperisolve.com/
引用:
Aperi'Solve is an online platform which performs layer analysis on image. The platform also uses zsteg, steghide, outguess, exiftool, binwalk, foremost and strings for deeper steganography analysis. The platform supports the following images format: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...
Aperi'Solveは、画像のレイヤー解析を行うオンラインプラットフォームです。また、zsteg, steghide, outguess, exiftool, binwalk, foremost, stringsを使用して、より深いステガノグラフィーの解析を行うことができます。このプラットフォームは、次の画像フォーマットをサポートしています: .png, .jpg, .gif, .bmp, .jpeg, .jfif, .jpe, .tiff...
まずは調査対象の画像をアップロードしてみた.
今回のお言葉.
エアギャップ
https://ja.wikipedia.org/wiki/%E3%82%A8%E3%82%A2%E3%82%AE%E3%83%A3%E3%83%83%E3%83%97
守りたいコンピュータシステムを物理的に隔離しておくと言う対策.
以前見た環境だと,こんな感じでした.
・本番サーバに接続するためには,専用の許可された人だけ入れる専用の端末ルームに移動.
・さらに個人情報を扱う業務の人は,その中のさらに別の施錠管理されて守衛さんのいる端末ルームに.
・個人情報部屋に入室するには部長以上の許可申請書(紙)の持参が必要.
・守衛さんは金属探知機で持ち込み・持ち出しを確認.
・プログラムや手順書などの資材は,あらかじめ別ルートで送信しておく.
・入退室は監視用カメラで記録されている.
守衛さんを24時間配備する必要があるのと,資材を送信するための中間サーバの中を逐一チェックする業務の人がいて,コスト面も大変だけれど中間サーバの中をチェックする人のストレスが大変そうだった.個人情報を捜査しているとその人を特定して問い合わせをかけるのだけれど,「忙しいのにウッセー」みたいに弾かれて病む人が多かったな.
そういう業務の人も権限を明確にするために制服着て威圧的にやったほうがいいのだろうか,なんて思ったもんです.
大体面倒な仕事なので業務委託でアウトソーシングしてるよね,責任重大業務なのに.
ネットに接続していないPCをハッキング 超音波で機密データを盗む攻撃 イスラエルの研究者が発表
https://www.itmedia.co.jp/news/articles/2209/01/news040.html
引用:
エアギャップ
https://ja.wikipedia.org/wiki/%E3%82%A8%E3%82%A2%E3%82%AE%E3%83%A3%E3%83%83%E3%83%97
守りたいコンピュータシステムを物理的に隔離しておくと言う対策.
以前見た環境だと,こんな感じでした.
・本番サーバに接続するためには,専用の許可された人だけ入れる専用の端末ルームに移動.
・さらに個人情報を扱う業務の人は,その中のさらに別の施錠管理されて守衛さんのいる端末ルームに.
・個人情報部屋に入室するには部長以上の許可申請書(紙)の持参が必要.
・守衛さんは金属探知機で持ち込み・持ち出しを確認.
・プログラムや手順書などの資材は,あらかじめ別ルートで送信しておく.
・入退室は監視用カメラで記録されている.
守衛さんを24時間配備する必要があるのと,資材を送信するための中間サーバの中を逐一チェックする業務の人がいて,コスト面も大変だけれど中間サーバの中をチェックする人のストレスが大変そうだった.個人情報を捜査しているとその人を特定して問い合わせをかけるのだけれど,「忙しいのにウッセー」みたいに弾かれて病む人が多かったな.
そういう業務の人も権限を明確にするために制服着て威圧的にやったほうがいいのだろうか,なんて思ったもんです.
大体面倒な仕事なので業務委託でアウトソーシングしてるよね,責任重大業務なのに.
ネットに接続していないPCをハッキング 超音波で機密データを盗む攻撃 イスラエルの研究者が発表
https://www.itmedia.co.jp/news/articles/2209/01/news040.html
引用:
エアギャップ・ネットワークは、インターネットから隔離され、データ漏えいのリスクを最小限に抑えることができる。そのため、重要なインフラ(電力会社や原子力発電所など)や軍、政府機関などはエアギャップ・ネットワーク内にデータを保存しているケースが多い。
このエアギャップ・ネットワークをぶち破って、データを盗み出す新たな手口がこの手法となる。今回の攻撃モデルは、送信側のエアギャップ・ネットワーク内コンピュータと受信側のスマートフォンで構成する。この2台のデバイスをマルウェアに感染させ、攻撃者にデータを送信する。
もうみんな忘れている?あの事件について続報,というか個人情報保護委員会からのリリースが出た.
BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について
(令和4年9月21日)
https://www.ppc.go.jp/news/press/2021/220921kouhou/
この文書を見るとまだ終わってないねってことで.
引用:
「BIPROGY 株式会社は、多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受ける IT サービス事業者」と言うことで厳しくやるけれど,今更業者を取り替えられないのでこれからもよろしくって事だろうな.
BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について
(令和4年9月21日)
https://www.ppc.go.jp/news/press/2021/220921kouhou/
この文書を見るとまだ終わってないねってことで.
引用:
同社の委託元及び再委託先等を
含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい
「BIPROGY 株式会社は、多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受ける IT サービス事業者」と言うことで厳しくやるけれど,今更業者を取り替えられないのでこれからもよろしくって事だろうな.
波紋を呼んでいる?
なんとパスワードも。ChromeとEdge、スペルチェック時に入力データが外部送信される仕組みに注意
https://internet.watch.impress.co.jp/docs/yajiuma/1441451.html
引用:
ブラウザのアドレスバーに入力するだけでサジェスチョンが出てくるこの時代に,何を言ってるんだか.
で,Google Chromeを確認してみた.105.0.5195.125(Official Build)
デフォルトは「基本スペルチェック」となっているし「拡張スペルチェック」にもGoogleに送信されると記載がありますね.
こういうので良くないのは,最初から無断で送信している場合だと思う.
なんとパスワードも。ChromeとEdge、スペルチェック時に入力データが外部送信される仕組みに注意
https://internet.watch.impress.co.jp/docs/yajiuma/1441451.html
引用:
Chromeなど複数のブラウザーで、「拡張スペルチェック」機能を有効にしていると、パスワードなどの情報も外部に送信される仕組みであることが判明し、波紋を呼んでいる。
ブラウザのアドレスバーに入力するだけでサジェスチョンが出てくるこの時代に,何を言ってるんだか.
で,Google Chromeを確認してみた.105.0.5195.125(Official Build)
デフォルトは「基本スペルチェック」となっているし「拡張スペルチェック」にもGoogleに送信されると記載がありますね.
こういうので良くないのは,最初から無断で送信している場合だと思う.
【えきねっと】重要なお知らせ。[RECEIVER_ADDRESS] という失敗したフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/24 1:56
[RECEIVER_ADDRESS]という差し込み文字が入った迷惑メールも多い.多分,フィッシングメールのツールとターゲットになるリストを買ってきて,うまく動かせて無いのだろうと思うよ.
うまく動かせてない件について,今回は,このようなメールが.
引用:
星期一というのは中国語で月曜日なのだそうです.そして"The best way to buy beautiful modern furniture. "で調べると,ARTICLEという人のPinterestのアカウントが出てきますね."Great style is easy. And whatever your style is, we make it easy to create a space you love."ってことで家具に関する何かをする人.フィッシングメールには関係ないと思うけど.
誘導先のURLがローカルのファイルなのね.残念ながらadministratorアカウントでログインしているので送信者の情報は漏れてない模様.
ちなみに誘導先のeki-net.q2i90g.cnにアクセスしたら,現時点では403エラーですね.VirusTotalだとすでにMaliciousになっています.
メールヘッダを確認.
China UnicomのIPでFoxmailを使っています.このFoxmailに差し込み設定があるのだろう.
うまく動かせてない件について,今回は,このようなメールが.
引用:
「えきねっと」の利用規約と会員資格は9月23日(金)に変更されており、アカウント情報を更新してお願いいたします。7月5日(火)の締め切りまでに更新が完了していないユーザーは、会員資格を取り消させていただきます。ご迷惑をかけして申し訳ございません。
t style is easy. The best way to buy beautiful
この問題が24時間以内に解決されない場合、不正行為のために利用される可能性があるので、そちらのクレジットカードが永遠にロックされることになります。
星期一(Getsuyoubi)星期2:星期二(Kayobi)星期3:星期三(Suiyoubi)星期
t style is easy.
下記のURLへアクセスし、必要な情報を入力のうえ
t style is easy. The best way to buy beautiful modern furniture. Tag your p
https: //www.e k i-net.com/ Personal/member/wb/NewReg/NewRegistBasicInfoInput?oneTimeAccessID=1f4b06f738df4756a33f1d2e5622d3734
星期一(Getsuyoubi)星期2:星期二(Kayobi)星期3:星期三
※このURLの有効期間は手続き受付時より24時間です。
星期一というのは中国語で月曜日なのだそうです.そして"The best way to buy beautiful modern furniture. "で調べると,ARTICLEという人のPinterestのアカウントが出てきますね."Great style is easy. And whatever your style is, we make it easy to create a space you love."ってことで家具に関する何かをする人.フィッシングメールには関係ないと思うけど.
誘導先のURLがローカルのファイルなのね.残念ながらadministratorアカウントでログインしているので送信者の情報は漏れてない模様.
ちなみに誘導先のeki-net.q2i90g.cnにアクセスしたら,現時点では403エラーですね.VirusTotalだとすでにMaliciousになっています.
メールヘッダを確認.
China UnicomのIPでFoxmailを使っています.このFoxmailに差し込み設定があるのだろう.
この記事に感化されて...
詐欺サイトのドメイン、この半年で「.cn」「.com」に続き突然「.ci」が急増【デジタルアーツ調べ】
https://webtan.impress.co.jp/n/2022/09/09/43299
うちに毎日来る迷惑メールのストックです.
今年はすでに去年2021年を超えていますね.
取り急ぎ,Fromアドレスを調べてみました.
Fromアドレスは次のようにして抽出.
詐欺サイトのドメイン、この半年で「.cn」「.com」に続き突然「.ci」が急増【デジタルアーツ調べ】
https://webtan.impress.co.jp/n/2022/09/09/43299
うちに毎日来る迷惑メールのストックです.
今年はすでに去年2021年を超えていますね.
取り急ぎ,Fromアドレスを調べてみました.
Fromアドレスは次のようにして抽出.
裏垢?も含めて複数のTwitterアカウントを運用しているけれど,その1つにこんなメールが来ました.
引用: 怪しいメールなので調べてみる.まずはメールヘッダを確認.
引用:
Twitterからのお知らせです。
ご利用のTwitterアカウントが最近の技術的な問題の影響を受けた可能性があるため、ご連絡を差し上げています。この問題が原因で、パスワードを更新した後も、複数の端末やセッションにアカウントがログインしたままになっていました。
アカウントのセキュリティを保つため、すべてのアクティブなTwitterセッションから自動的にログアウトされました。アカウントには、すべての端末ですぐにログインしなおすことができます。アカウント設定で、最近のすべてのTwitterセッションを確認することもできます。
この問題についての詳細は、ブログをご覧ください。Twitterは、Twitterを利用しているユーザーのプライバシー保護に取り組んでおり、新しい情報を受け取り次第、調査を続けてまいります。
よろしくお願いします。
先月のことだけれど,去年に引き続き去年に引き続き参加.オンラインでの参加なので1日目の日中のみ.
サイバー防衛シンポジウム熱海2022
https://www.5th-battlefield.com/purport.html
陸海空に宇宙,そしてサイバーは第5の戦場と言われていますが,主に防衛省のOBの話で最近のきな臭い出来事やウクライナ情勢に関するものばかりで,サイバーっぽい情報はほとんど無かった.
ナンシー・ペロシ米下院議長が台湾訪問したときに,台湾を囲むように6箇所艦隊を配置して軍事作戦していたけれど,それによって民間の船も台湾を避けるようになったという話が興味深かった.いわばたった6箇所の区域を押さえるだけで経済制裁状態を作れるということ.
中国は台湾侵攻の計画は完了しており,タイミングを図っているという見方.中国では習近平の選挙,バイデンも秋に中間選挙があるので何かしら急に動いてもおかしく無いそう.
ウクライナ侵攻を見ているとハイブリッド戦が失敗すれば高烈度戦争になるとのこと.調べると高烈度とは全世界規模での国家・勢力が本格的に戦争する事のよう.
最近のハイブリッド戦の傾向は,国民の認識を標的にしているそうです.偽情報を拡散することかな.賢い人が考えた高度なウソは見抜くのが難しいのだろうね.
「戦場の霧」というナポレオン戦争時代のプロイセン王国のクラウゼヴィッツという軍人によって定義された言葉があって,「指揮官から見た不確定要素」のことらしい.つまりウソの情報を効果的に流せば「戦場の霧」として相手の弱体化を図ることができるということか.真実と虚偽の境界線を曖昧にする.これは普段の生活の中情報から得られるものについても同じだな.
サイバー戦の話で言えば,やはり法整備.ウクライナではテレグラムでIT ARMYというものを組織して,30万人を集めてDDoS攻撃をしていたけれど,民間,他国の人がそういう「攻撃」に参加したらそれは戦争への参加,軍人と同等として扱うのか,という点.
ウクライナ侵攻が始まった時に,ウクライナでは民間人が火炎瓶を作ったり支給された銃火器を持って戦うことを求めていたけれど,戦い始めた途端にそれは軍人として扱われるので軽はずみに火炎瓶作って投げたりできないなんて話もあったけど,日本だと?火炎瓶と聞くと大学闘争を思い出すから?!古い時代の熱い人たちの戯れって感じがする.(私だけかな)
あとはデジタル迷彩というのも面白かった.赤外線を拡散する技術らしい.天下一品のロゴマークを車載AIで「止まれ」標識と間違うという話もあるけれど,戦車とか自動運転技術(つまりドローンだな)で攻撃してきたら,行先を誤魔化すというのが良いのだろうな.
サイバー防衛シンポジウム熱海2022
https://www.5th-battlefield.com/purport.html
陸海空に宇宙,そしてサイバーは第5の戦場と言われていますが,主に防衛省のOBの話で最近のきな臭い出来事やウクライナ情勢に関するものばかりで,サイバーっぽい情報はほとんど無かった.
ナンシー・ペロシ米下院議長が台湾訪問したときに,台湾を囲むように6箇所艦隊を配置して軍事作戦していたけれど,それによって民間の船も台湾を避けるようになったという話が興味深かった.いわばたった6箇所の区域を押さえるだけで経済制裁状態を作れるということ.
中国は台湾侵攻の計画は完了しており,タイミングを図っているという見方.中国では習近平の選挙,バイデンも秋に中間選挙があるので何かしら急に動いてもおかしく無いそう.
ウクライナ侵攻を見ているとハイブリッド戦が失敗すれば高烈度戦争になるとのこと.調べると高烈度とは全世界規模での国家・勢力が本格的に戦争する事のよう.
最近のハイブリッド戦の傾向は,国民の認識を標的にしているそうです.偽情報を拡散することかな.賢い人が考えた高度なウソは見抜くのが難しいのだろうね.
「戦場の霧」というナポレオン戦争時代のプロイセン王国のクラウゼヴィッツという軍人によって定義された言葉があって,「指揮官から見た不確定要素」のことらしい.つまりウソの情報を効果的に流せば「戦場の霧」として相手の弱体化を図ることができるということか.真実と虚偽の境界線を曖昧にする.これは普段の生活の中情報から得られるものについても同じだな.
サイバー戦の話で言えば,やはり法整備.ウクライナではテレグラムでIT ARMYというものを組織して,30万人を集めてDDoS攻撃をしていたけれど,民間,他国の人がそういう「攻撃」に参加したらそれは戦争への参加,軍人と同等として扱うのか,という点.
ウクライナ侵攻が始まった時に,ウクライナでは民間人が火炎瓶を作ったり支給された銃火器を持って戦うことを求めていたけれど,戦い始めた途端にそれは軍人として扱われるので軽はずみに火炎瓶作って投げたりできないなんて話もあったけど,日本だと?火炎瓶と聞くと大学闘争を思い出すから?!古い時代の熱い人たちの戯れって感じがする.(私だけかな)
あとはデジタル迷彩というのも面白かった.赤外線を拡散する技術らしい.天下一品のロゴマークを車載AIで「止まれ」標識と間違うという話もあるけれど,戦車とか自動運転技術(つまりドローンだな)で攻撃してきたら,行先を誤魔化すというのが良いのだろうな.
【重要】緊急連絡、情報を確認してください。 という,えきねっとを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/22 11:26
えきねっとを騙るフィッシングメールが,40分違いで2通,同じメアドに来たのだけれど,それぞれ調べてみたら,色々と違いはありますが行き着く先は同じでした.
メールは中国から送信し,誘導先はアメリカのサーバで攻撃先は日本,というテイクダウンする際に少々面倒な関係にしていますね.
8月末の【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメールと同じ人たちかな.
メール本文はこんな感じ.
引用:
まずは1通目.
うちでは昨日あたりから見かけるRebrandlyという短縮URLサイトを利用しています.
2通目も同じくRebrandlyという短縮URLサイトを利用.
次にメールヘッダを確認.1件目.
メールは中国から送信し,誘導先はアメリカのサーバで攻撃先は日本,というテイクダウンする際に少々面倒な関係にしていますね.
8月末の【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメールと同じ人たちかな.
メール本文はこんな感じ.
引用:
えきねっとお客様
えきねっとおチームはあなたのアカウントの状態が異常であることを発見しました。バインディングされたカードが期限が切れていたり、システムのアップグレードによるアドレス情報が間違っていたりして、あなたのアカウント情報を更新できませんでした。
リアルタイム サポートをご利用ください
お客様のえきねっとおアカウントは 24 時間 365 日対応のサポートの対象となっておりますので、えきねっとお サポートチームにご連絡いただければ、アカウントの所有権の証明をお手伝いします
まずは1通目.
うちでは昨日あたりから見かけるRebrandlyという短縮URLサイトを利用しています.
2通目も同じくRebrandlyという短縮URLサイトを利用.
次にメールヘッダを確認.1件目.
【COVID-19】コロナ\x8C\x9D策、慈善寄付 という日本赤十字を騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/21 16:52
件名が文字化けしているのだけれど,「コロナ\x8C\x9D策」は「コロナ対策」かな? 「貝」(U+8C9D)なんだけど.
誘導先のURLは短縮URL業者を使っていて,既にテイクダウンされているので確認できず.
メールヘッダを確認すると,あちらこちらに中国産を名乗る証拠が多く残っていますね.
誘導先のURLは短縮URL業者を使っていて,既にテイクダウンされているので確認できず.
メールヘッダを確認すると,あちらこちらに中国産を名乗る証拠が多く残っていますね.
【セディナカード】ご登録お客様情報の定期的な確認のお願いにつきまして と言うフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/21 14:52
広範囲に配布されていそうなSMBCのセディナカードを騙るフィッシングメール.
CloudFlareのCDNを使っているのはこれまでにもあったけれど,SSL証明書を Google Trust Servicesで取得しているのは初めてみたかな.
メールのドメインがおかしい.
CloudFlareのCDNを使っているのはこれまでにもあったけれど,SSL証明書を Google Trust Servicesで取得しているのは初めてみたかな.
メールのドメインがおかしい.
残念.e-Tax,やってねンだわw
今年の8月にも「【督促状】滞納した税金がございます。 」ってメール来たけどな.
9月17日の土曜日中に支払って言うのもちょっとなぁ...メールのフッタに法人番号が書かれていたので,ちょっと調べてみた.
今年の8月にも「【督促状】滞納した税金がございます。 」ってメール来たけどな.
9月17日の土曜日中に支払って言うのもちょっとなぁ...メールのフッタに法人番号が書かれていたので,ちょっと調べてみた.
PayPay銀行を騙るフィッシングメールなのだけれど,メールアドレスにジャパンネット銀行の名残があって.
引用: なんかちょっと文章がおかしい.
アクセスすると,既にSmart Screenでは危険対象になっています.画面は典型的な感じかな.
引用:
こんにちは、お客様の口座が異常のため、お客様の口座に振り込む際に、入金することが完了できません、。
ご振込み金額は一応こちらで預かりますので、下記リンクから制限を解除してください。
ご本人確認の上、paypay銀行から送金頂きます。
アクセスすると,既にSmart Screenでは危険対象になっています.画面は典型的な感じかな.
知り合いが論文書いたというのでメモ.買わなきゃいけないのね.それもちょっとお高い・・・
Vol.105 No.8 (2022/08)
https://www.journal.ieice.org/archive.php?vol=105&num=8&year=2022&lang=J
Vol.105 No.8 (2022/08)
https://www.journal.ieice.org/archive.php?vol=105&num=8&year=2022&lang=J
Incoming voicemail: 6:09 というWhatsAppを騙る迷惑メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/19 14:26
使ってもないWhatsAppについてヴォイスメッセージが届いていると通知がありました.
通知があったのは,2013年に漏洩したAdobeのアカウント.
今回の調査では,ドイツ,フランス,韓国と複数のインターネット事業者サービスを使っているという特徴があります.
メール送信者のhtp-tel.deというドメインに心当たりがないので調べると,ドイツのハノーファーにあるインターネット事業者の模様.
まずはメールヘッダの確認から.
通知があったのは,2013年に漏洩したAdobeのアカウント.
今回の調査では,ドイツ,フランス,韓国と複数のインターネット事業者サービスを使っているという特徴があります.
メール送信者のhtp-tel.deというドメインに心当たりがないので調べると,ドイツのハノーファーにあるインターネット事業者の模様.
まずはメールヘッダの確認から.
よくあるやつ.
リモートワーク中に貸与PC使い…去年3月まで勤務していた区役所のデータ削除し業務妨害か 市職員を逮捕
https://www.tokai-tv.com/tokainews/article_20220916_21813
・事件発生は2022年8月に港区役所の地域力推進室のデータが削除された
・容疑者は2021年3月まで港区役所に勤務
・逮捕時は名古屋市会計室出納課の職員
・リモートワーク中に市から貸与されたパソコンでサーバに接続
・容疑者は容疑を認めている
どうなっていれば良かったのか.
・サーバ上の個人アカウントを消してなかった?
・サーバに接続するアカウントは共有のものだった?
・リモート接続しても必要なサーバにしか接続できないようアクセスコントロールしてなかった
気になるのは動機かな.1年半前に異動した前の部署にデータを4年分消す,ということは多分自分が所属していた期間中のデータが消えているということでしょう.消したい何かがあったのかもしれない.不正な資金流用とか.地域力推進室で会計室出納課なのでね...
リモートワーク中に貸与PC使い…去年3月まで勤務していた区役所のデータ削除し業務妨害か 市職員を逮捕
https://www.tokai-tv.com/tokainews/article_20220916_21813
・事件発生は2022年8月に港区役所の地域力推進室のデータが削除された
・容疑者は2021年3月まで港区役所に勤務
・逮捕時は名古屋市会計室出納課の職員
・リモートワーク中に市から貸与されたパソコンでサーバに接続
・容疑者は容疑を認めている
どうなっていれば良かったのか.
・サーバ上の個人アカウントを消してなかった?
・サーバに接続するアカウントは共有のものだった?
・リモート接続しても必要なサーバにしか接続できないようアクセスコントロールしてなかった
気になるのは動機かな.1年半前に異動した前の部署にデータを4年分消す,ということは多分自分が所属していた期間中のデータが消えているということでしょう.消したい何かがあったのかもしれない.不正な資金流用とか.地域力推進室で会計室出納課なのでね...
代表メールアドレスにこのようなメールが届きました.
日本語訳はDeepLを経由してつけました.
引用:
ブラジルに住んでいる死にかけの癌患者が財産を私に寄付してくれるそうです.誘導先のURLもなくて,指示によればメールを返信してコンタクトするタイプ.
メールヘッダを確認してみます.
ブラジル人を名乗る人はドイツのサーバをgmailと偽ってカナダの仮想通貨購入・販売サイトへ誘導しようとしています.
このままメールを返信するとReply-Toの宛先に行くので,意味があるのかどうか...
送信サーバのIPアドレスの評判を確認してみました.
お行儀は良くありませんでした.
日本語訳はDeepLを経由してつけました.
引用:
Good day and God's blessings to you.
My name is Afonso, a dying cancer patient living in Brazil. I am
making this solemn contact to seek your consent in donating my
multi-million US Dollar fortune to you so that you can help
channel it towards charitable courses. Please reply for further
briefing if willing and capable of the task ahead. Do note that
you would be rewarded handsomely for your assistance.
Thanks and God bless.
Afonso.
ごきげんよう、神様のご加護がありますように。
私の名前はアフォンソ、ブラジルに住んでいる死にかけの癌患者です。この度
私の数億ドルの財産を寄付することに同意していただきたく、ここにご連絡いたしました。
私の数百万ドルの財産をあなたに寄付することに同意して頂きたいのです。
寄付させていただきたいと思います。もし、そのようなことができるのであれば、さらに詳しい説明のために返信してください。
もし、この先の仕事に意欲と能力があるのなら、詳しい説明を受けるために返信してください。なお
あなたの援助には十分な報酬が支払われます。
ありがとう、そして神のご加護を。
アフォンソ
ブラジルに住んでいる死にかけの癌患者が財産を私に寄付してくれるそうです.誘導先のURLもなくて,指示によればメールを返信してコンタクトするタイプ.
メールヘッダを確認してみます.
ブラジル人を名乗る人はドイツのサーバをgmailと偽ってカナダの仮想通貨購入・販売サイトへ誘導しようとしています.
このままメールを返信するとReply-Toの宛先に行くので,意味があるのかどうか...
送信サーバのIPアドレスの評判を確認してみました.
お行儀は良くありませんでした.
色々と興味深い事件.
懲戒処分の検討契機に別職員による不正アクセスが発覚 - 小竹町
https://www.security-next.com/139368
・2019年4月より2022年3月にかけて総合行政システムに対して不正ログイン
・誕生日4桁が初期パスワードなので容易に他職員のIDを流用できた.よくあるやつ.
・人事権限のあるIDを使って人事情報を閲覧.これもよくあるやつ.
・人事評価記録書をたくさんダウンロードしていた.ありがち
・USBメモリ接続して持ち出そうとしたが失敗.写真くらい撮ってそう?
引用:
別件で偶然判明したということ.総人口6,940人の町にしては良く記録が残っていたなぁと感心.それにしても該当職員は停職12ヶ月となり退職した模様.
思い出した.昔,同じ職場だったある人が,その後,転職して市役所のIT部門に着任したのだけれど,やっぱり権限のない役所のシステムを勝手に覗いた事で逮捕されて新聞沙汰になっていたと聞きました.その時,事件から数年経っていたけれどネットでその人の名前で検索したらその記事が出てきましたね.失うものの方が多いな.
という教育をすれば良いと思います.
懲戒処分の検討契機に別職員による不正アクセスが発覚 - 小竹町
https://www.security-next.com/139368
・2019年4月より2022年3月にかけて総合行政システムに対して不正ログイン
・誕生日4桁が初期パスワードなので容易に他職員のIDを流用できた.よくあるやつ.
・人事権限のあるIDを使って人事情報を閲覧.これもよくあるやつ.
・人事評価記録書をたくさんダウンロードしていた.ありがち
・USBメモリ接続して持ち出そうとしたが失敗.写真くらい撮ってそう?
引用:
事件が明るみに出るきっかけとなったのは、別の職員が3月に起こした傷害事件。庁舎内にある職員労働組合事務室を勝手に使用した上、労組役員にケガを負わせたことから6月1日に処分を行ったが、同事件の懲戒処分を検討するため調査を行ったところ、今回の事件が浮上したという。
傷害事件を起こした職員は、今回の不正アクセスで処分を受けた職員と職員労働組合事務室へ正当な理由なく入室して密会しており、建造物侵入罪で検察に書類送検されていた。
別件で偶然判明したということ.総人口6,940人の町にしては良く記録が残っていたなぁと感心.それにしても該当職員は停職12ヶ月となり退職した模様.
思い出した.昔,同じ職場だったある人が,その後,転職して市役所のIT部門に着任したのだけれど,やっぱり権限のない役所のシステムを勝手に覗いた事で逮捕されて新聞沙汰になっていたと聞きました.その時,事件から数年経っていたけれどネットでその人の名前で検索したらその記事が出てきましたね.失うものの方が多いな.
という教育をすれば良いと思います.
<みずほ銀行からのご連絡>お客様の口座に違法なマネーロンダリングが疑われるのお知らせ というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/9 18:29
またまた新しい形のフィッシングメールが来ているのだけれど,今回もみずほ銀行を騙っています.マネーロンダリングが疑われているそうで.
今回はランディングページを怪しくなさそうなドメインにしてDigiCertの証明書を使っていたりIIS8.5のサーバを使っていたり,上海,台湾,日本のインターネット環境を使っている点が特徴ですかね.
メール本文を見ると,誘導先のURLとリンク先のURLが異なっているし,アクセス用の推奨環境でサポート終了したInternet Explorerが記載されていることやAndroid 4.0とかiOS6だなんてもう10年くらい前のものを要求している模様.
今回はランディングページを怪しくなさそうなドメインにしてDigiCertの証明書を使っていたりIIS8.5のサーバを使っていたり,上海,台湾,日本のインターネット環境を使っている点が特徴ですかね.
メール本文を見ると,誘導先のURLとリンク先のURLが異なっているし,アクセス用の推奨環境でサポート終了したInternet Explorerが記載されていることやAndroid 4.0とかiOS6だなんてもう10年くらい前のものを要求している模様.
みずほ銀行を騙るフィッシングメールが来た.振り込み失敗,という本文は珍しいので調べてみた.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
謎のURLだけ書かれたメールが来た.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
Broken messages has been foundというGoogle Notificationを騙る不審なメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/8 1:54
テレビのニュースでもやっていたけれど.
政府運営「e-Gov」などにサイバー攻撃か ロシア支持のハッカー集団「KILLNET」が声明 mixiやJCBへの攻撃にも言及
https://www.itmedia.co.jp/news/articles/2209/06/news174.html
今現在,e-Govはアクセスできますね.
e-Govポータル
https://www.e-gov.go.jp/
IPアドレスを調べたら,NTTデータになってました.
電子政府,e-Govを調べると,こんな感じ.
引用: 現在はデジタル庁管理なのね.去年,クラウドはawsとGCPを使うというので批判を受けていたと思うけど,総務省時代からの名残でNTTデータなのだろうか.
ガバメントクラウド
https://www.digital.go.jp/policies/gov_cloud/
ま,対応早くて何より.それにしてもなぜ,mixiを狙うのか...
ロシアを支持のハッカー集団 日本政府サイトにサイバー攻撃か
https://www3.nhk.or.jp/news/html/20220906/k10013806361000.html
引用:
政府運営「e-Gov」などにサイバー攻撃か ロシア支持のハッカー集団「KILLNET」が声明 mixiやJCBへの攻撃にも言及
https://www.itmedia.co.jp/news/articles/2209/06/news174.html
今現在,e-Govはアクセスできますね.
e-Govポータル
https://www.e-gov.go.jp/
IPアドレスを調べたら,NTTデータになってました.
電子政府,e-Govを調べると,こんな感じ.
引用:
「e-Gov」(イーガブ、e-gov.go.jp)と名付けられた総務省行政管理局、現在はデジタル庁が運営するポータルサイト、電子申請の窓口は「e-gov電子申請」などがある。
ガバメントクラウド
https://www.digital.go.jp/policies/gov_cloud/
ま,対応早くて何より.それにしてもなぜ,mixiを狙うのか...
ロシアを支持のハッカー集団 日本政府サイトにサイバー攻撃か
https://www3.nhk.or.jp/news/html/20220906/k10013806361000.html
引用:
ハッカー集団「キルネット」とは
「キルネット」はロシア政府を支持するハッカー集団で、ロシアによるウクライナ侵攻以降、ロシアに敵対的だとみなした国に対して、サイバー攻撃を行っているとされています。
このグループが行っている攻撃の1つは、ウェブサイトやサーバーなどに大量のデータを送りつけ、機能停止に追い込む「DDoS攻撃」で、これまでに、アメリカの空港やイタリア政府のウェブサイトなどを攻撃したと主張しています。
アメリカの国土安全保障省は、「世界中の重要なインフラに脅威をもたらす」などとして、このグループを名指しし、危険性を指摘しています。
ことし6月、NHKの取材に応じたキルネットの幹部は日本を攻撃する可能性について「日本も例外ではない。現時点では優先順位は低いが、日本がロシアに敵対的であるという事実を忘れてはいない」などとする回答を寄せていました。
情報セキュリティーの専門家によりますと、これまで確認されているかぎり、日本はキルネットの攻撃対象になったことはなく、今回、初めて攻撃を主張したものとみられます。
Actie vereist: uw mailbox staat op het punt vol te raken. というwhoisプロテクションからの転送メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/6 2:27
お名前.comのWhois情報公開代行サービスというのを使っているのだけれど,管理しているドメインへの連絡先も代行で受けてくれて転送されてくることになっています.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用: ドイツ語なのね.誘導先のFQDNはchina-in-europe.netとなっているけれど,このindexx.htmlとドメインのパラメータがついたURLにアクセスしてみた.
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用:
Actie vereist: uw mailbox staat op het punt vol te raken.
(3) eingehende E-Mails konnten nicht zugestellt werden.
Bitte gehen Sie zum Nachrichtencenter, um fehlgeschlagene Nachrichten abzurufen.
メールボックスが空いたままになっています。
(3) 受信したメールが届かなかった。
失敗したメッセージは、メッセージセンターで取り出してください。
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
お客様のカードに問題があることが判明しました ! というイオンカードを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/1 12:28
生活圏にないのでイオンカードは持った事がないのだけれど熱心に送ってきますね.やはり利用者が多いのかな.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
8月21日に12時間かけて実施された「防衛省サイバーコンテスト」ですが結果が送られてきました.
322人中77位.と好成績? 鹿に57点中9点の得点だからなぁ...
分布も出ていました.
322人中の10%はログインしてないし,20%はログインしているが0点.0点をどう捉えるかというのもあるけど,わからない問題はさっぱりわからないからなぁ.
問題別の正答率も出ていたので自分に当てはめてみた.
赤丸をつけた部分は自分が正解した問題.
フォレンジック/バイナリ解析の問題で正答率12.42%の問題に正解しているけれど,これはPCAPファイルの分析だったので不慣れで当日インストールしたWiresharkでも読めたというだけで高度なものでは無いですね.
今回のこのコンテスト,正解について教えてもらえるのだろうか?
322人中77位.と好成績? 鹿に57点中9点の得点だからなぁ...
分布も出ていました.
322人中の10%はログインしてないし,20%はログインしているが0点.0点をどう捉えるかというのもあるけど,わからない問題はさっぱりわからないからなぁ.
問題別の正答率も出ていたので自分に当てはめてみた.
赤丸をつけた部分は自分が正解した問題.
フォレンジック/バイナリ解析の問題で正答率12.42%の問題に正解しているけれど,これはPCAPファイルの分析だったので不慣れで当日インストールしたWiresharkでも読めたというだけで高度なものでは無いですね.
今回のこのコンテスト,正解について教えてもらえるのだろうか?
【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/29 15:16
えきねっとを騙るフィッシングメールも多数来るけれど,以前確認したこれとかこれはうまく調査できなかったのだけれど,今回はチェックできました.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
取得してから1週間.
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
Domain Name: ISOO1.COM
Registry Domain ID: 2719938433_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namegear.co
Registrar URL: http://www.brdomain.jp
Updated Date: 2022-08-22T14:35:06Z
Creation Date: 2022-08-22T14:27:45Z 🈁
Registry Expiry Date: 2023-08-22T14:27:45Z
Registrar: BR domain Inc. dba namegear.co
Registrar IANA ID: 1898
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2022-08-29T05:44:46Z <<<
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
たしろ薬品という会社が,USBメモリを紛失したそうだ.
個人情報が記録されたUSBメモリ紛失について ご報告とお詫び
https://www.tashiro-co.com/18408
・ルミネ横浜店のお店を閉店
・撤去作業のために顧客データをUSBメモリに退避
・顧客から問い合わせを受けたので調べたら紛失を確認
・警察や交通機関に届け出
・個人情報保護委員会へ報告
・データはバックアップから復旧
・対象となる顧客に書面で通知
この時点で,USBメモリやデータファイルが暗号化されていたかの記載はありませんね.
個人情報が記録されたUSBメモリ紛失について ご報告とお詫び
https://www.tashiro-co.com/18408
・ルミネ横浜店のお店を閉店
・撤去作業のために顧客データをUSBメモリに退避
・顧客から問い合わせを受けたので調べたら紛失を確認
・警察や交通機関に届け出
・個人情報保護委員会へ報告
・データはバックアップから復旧
・対象となる顧客に書面で通知
この時点で,USBメモリやデータファイルが暗号化されていたかの記載はありませんね.
インスタグラムやTikTokでいいねしてくれる方を募集しています という迷惑メッセージ
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/27 0:37
iPhoneにこんなiMessageが.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用: 止めることができないのなら,また来るのかもね.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用:
送信者の情報とメッセージがAppleに送信され、そのメッセージはデバイスから完全に削除されます。
注記: 迷惑メッセージを報告しても、その送信者からのメッセージ送信を止めることはできませんが、その番号からの受信を拒否して受け取らないようにすることはできます。
Microsoft Exchangeには,不審メールの訓練機能があると聴いたことがあるけれど,日本シーサート協議会からメール訓練の手順書が公開されました.
メール訓練手法検討サブ WG の活動概要
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html
72ページ.
目的の明確化や評価要素について記載があって,あと訓練時に引っかかりそうなプロキシやビーコンについての注意ポイントなどがありますが,実際の具体的なコマンドやツールなどの手順は含まれていません.大企業だと外部ベンダを使うなり戦用チームを作るなりした方が良いのだろうね.
この言葉が気に入ったのでスクショで.(テキストのコピペができなかった・・・)
クリックしない!とかじゃなくて「報告させることが重要」ということ.
メール訓練手法検討サブ WG の活動概要
https://www.nca.gr.jp/activity/nca-mail-exercise-swg.html
72ページ.
目的の明確化や評価要素について記載があって,あと訓練時に引っかかりそうなプロキシやビーコンについての注意ポイントなどがありますが,実際の具体的なコマンドやツールなどの手順は含まれていません.大企業だと外部ベンダを使うなり戦用チームを作るなりした方が良いのだろうね.
この言葉が気に入ったのでスクショで.(テキストのコピペができなかった・・・)
クリックしない!とかじゃなくて「報告させることが重要」ということ.
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件 その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 16:09
タイムラインを見る という 出会い系サイト デートマッチ から来た詐欺メールを調べる
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 15:28
ドコモのキャリアメールへ,次のようなメッセージが.
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
東京都が都内中小企業を対象とするEDR体験導入支援をするそう.
中小企業サイバーセキュリティ対策強化緊急サポート事業
https://security-kyoka.metro.tokyo.lg.jp/
・サイバーセキュリティ対策(EDR)を3か月間無料で体験できる
・攻撃検知時にはアラート通知、端末隔離サービスを受けることができる
・事前診断により、自社のセキュリティ環境の実態を把握することができる
・セキュリティ環境改善のアドバイスを受けることができる
実態としてはアイティフォー社の支援によってCyCraft AIRというツールを導入とのこと.100社程度(1社あたり300台まで)ということでプロモーションなのかな. EDRは誤検知・過検知が多いから,サポートの対応体制の構築・練習が主な目的かもしれない.
CyCraft
https://cycraft.com/ja/about/
CyCraft社は,台湾系の経営者ですね.
~日台コラボレーション~東京都中小企業セキュリティ強化プロジェクトで、CyCraftのAIセキュリティシステムを採用
https://prtimes.jp/main/html/rd/p/000000027.000045349.html
中小企業サイバーセキュリティ対策強化緊急サポート事業
https://security-kyoka.metro.tokyo.lg.jp/
・サイバーセキュリティ対策(EDR)を3か月間無料で体験できる
・攻撃検知時にはアラート通知、端末隔離サービスを受けることができる
・事前診断により、自社のセキュリティ環境の実態を把握することができる
・セキュリティ環境改善のアドバイスを受けることができる
実態としてはアイティフォー社の支援によってCyCraft AIRというツールを導入とのこと.100社程度(1社あたり300台まで)ということでプロモーションなのかな. EDRは誤検知・過検知が多いから,サポートの対応体制の構築・練習が主な目的かもしれない.
CyCraft
https://cycraft.com/ja/about/
CyCraft社は,台湾系の経営者ですね.
~日台コラボレーション~東京都中小企業セキュリティ強化プロジェクトで、CyCraftのAIセキュリティシステムを採用
https://prtimes.jp/main/html/rd/p/000000027.000045349.html
正式サイトの古いお知らせをフィッシングメール本文に貼り付けていたけれど,今度は反省した?のか,本文のお知らせ内容が最新に更新されたフィッシングメールが到着しました.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
NHKアップグレードじゃないメールが来ていたので.
引用: 本文を見ると,なんだかNHKを取り巻く放送受信契約について熟知している感じがありますね.そして最後は強迫のような文面でフィッシングサイトへ誘導.
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
引用:
【 NHK】利用いただき、ありがとうございます。
放送受信契約の未契約世帯への訴訟予告通知の発送について。
NHKでは、テレビ受信機を設置しているにもかかわらず、
放送受信契約を結んでいただけない世帯や事業所に対し、
公共放送の役割や受信料制度の意義などについて誠心誠意説明を行っていますが、
それでもなおご契約いただけない場合、受信料の公平負担を徹底する観点から
民事訴訟を提起することとしています。
重要なお知らせとなりますので下記をご確認お願い致します。
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
このニュースが気になった.
堺市立の共同浴場で職員がゲーム、誕生会、不正打刻 8人を処分
https://www.asahi.com/articles/ASQ8M5V5YQ8MPPTB004.html
引用: この前観た「トップガン マーヴェリック」では勤務時間中にビーチで試合をしているけれど,それによってチームワークを養ったと言ってた.
引用: チームワークは良かった様ですな.タイムカード不正を防ぐための仕組みが3万円程度なのだったら,とっとと採用すべきでした.(登録業務の運用が増えるけど)
堺市立の共同浴場で職員がゲーム、誕生会、不正打刻 8人を処分
https://www.asahi.com/articles/ASQ8M5V5YQ8MPPTB004.html
引用:
堺市立共同浴場(堺市堺区)の指定管理者である公益財団法人堺市就労支援協会(同区)の職員が勤務時間中にテレビゲームをしたり誕生日会を開いたりしていたとして、協会は19日、職員5人を停職5日などの懲戒処分、3人を文書厳重注意処分とし、発表した。
引用:
また、7人はタイムカードを不正に打刻。他の職員が代わりに打刻して勤務を早めに切り上げるなどした分の賃金計約17万円の返還を求めているという。
喫煙していたのは6人。禁煙施設である浴場のボイラー室や事務室などで休憩時間以外に喫煙していた。
協会は再発防止策として控室を倉庫に変えたほか、調理器具も撤去。勤務が深夜に及ぶ職員の出退勤の正確な把握のために静脈認証システム(3万円程度)を導入した。
うちにも届いていました.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
ETCを騙るフィッシングメールも定番になりつつあるけれど,ちょっと文面が異なるものがあったのでよく観察してみた.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
このセクストーションメールがたくさんきていますね.今のところうちには59件.
引用:
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
引用:
こんにちは!
恐縮ながら、悲しいニュースをお伝えします。
約1、2ヶ月前に、あなたがネットの閲覧にお使いのデバイス全てに対する、完全なアクセスの獲得に私は成功しました。
獲得してからは、継続的にあなたのインターネット活動を観察し始めたのです。
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
先月末に申し込みした防衛省サイバーコンテストですが,本日開催されました.
朝9時から21時までの12時間開催.12時間の中で30問の出題を解いていくCTFですが,結果はこんな感じ.
30問中正解5個.不正解3個.あとは未回答...不正解は空振り三振.未回答は見逃し三振という感じかな.
プログラミングの部分は難読化されてい他ものをデコードし直し&変数の置き換えを手でやって行ったり見えてきたコードを読んでみたりして時間がかかって最初の1時間は1問目に費やしてしまい,その結果が「不正解」.普段プログラム読み書きしてないからとはいえ,もうちょっと慎重に紐解いたら必ず分かる問題だっただけに残念.
そのほかのプログラミングはgcc環境があって提示されたソースをコンパイルして動かしてみたりと楽しくやったのだけれどnmapのpcapファイルを読み解く問題が多く出て,Wiresharkをインストールしてなかったので,ソフトをダウンロードするのがとても時間がかかりました.前回も同じ事を言ってたなぁ...ダウンロードした所でキャプチャデータも読み慣れてないのでね...
もうみんな忘れてしまった尼崎でのビブロジーによるUSBメモリ紛失事件の時に話題になった,パスワード長が判明している場合のパスワード解析が出題されていたので,ちょっと時事ネタ入れたのねって気がしました.
トリビアのカテゴリに入っているのが,ステガノグラフィーですね.知識内で想定できるFLAGのありかの抽出は限界があってお手上げだったので,世の中にあるツールを入手したりサイトにアクセスしたりで使ってみたのだけれど,結局わからなかった.糸口さえも...
去年の第1回目の株式会社ラックが運営したコンテストでは,リアルタイムの他の人の参加状態とかスコア,全体でのランキングが表示されるページがあったけれど,今回のデジタルハーツのサイトの場合は他人の状態は全く不明.孤独な戦い.
しかし,実際のサーバに入って調査する質問の時に,1つのサーバとアカウント共有だったようで何人かがそこにテキストファイルで雑談を残しているのが面白かった.historyファイルに何かヒントが無いかと思ってみてたんだけれど,他の参加者のコマンド履歴だったので参考にならない
やっぱりCTF向けの技術取得や本による勉強が普段から必要という感じがしたな.普通のセキュリティ対応組織のフォレンジック業務とはちょっと違って,謎解きクイズ比率が高い感じがした.(負け惜しみ)
そして今回の成績などは,後日送られてくるのだそうです.ランキングがあるとすれば,ひどいんだろうな...
朝9時から21時までの12時間開催.12時間の中で30問の出題を解いていくCTFですが,結果はこんな感じ.
30問中正解5個.不正解3個.あとは未回答...不正解は空振り三振.未回答は見逃し三振という感じかな.
プログラミングの部分は難読化されてい他ものをデコードし直し&変数の置き換えを手でやって行ったり見えてきたコードを読んでみたりして時間がかかって最初の1時間は1問目に費やしてしまい,その結果が「不正解」.普段プログラム読み書きしてないからとはいえ,もうちょっと慎重に紐解いたら必ず分かる問題だっただけに残念.
そのほかのプログラミングはgcc環境があって提示されたソースをコンパイルして動かしてみたりと楽しくやったのだけれどnmapのpcapファイルを読み解く問題が多く出て,Wiresharkをインストールしてなかったので,ソフトをダウンロードするのがとても時間がかかりました.前回も同じ事を言ってたなぁ...ダウンロードした所でキャプチャデータも読み慣れてないのでね...
もうみんな忘れてしまった尼崎でのビブロジーによるUSBメモリ紛失事件の時に話題になった,パスワード長が判明している場合のパスワード解析が出題されていたので,ちょっと時事ネタ入れたのねって気がしました.
トリビアのカテゴリに入っているのが,ステガノグラフィーですね.知識内で想定できるFLAGのありかの抽出は限界があってお手上げだったので,世の中にあるツールを入手したりサイトにアクセスしたりで使ってみたのだけれど,結局わからなかった.糸口さえも...
去年の第1回目の株式会社ラックが運営したコンテストでは,リアルタイムの他の人の参加状態とかスコア,全体でのランキングが表示されるページがあったけれど,今回のデジタルハーツのサイトの場合は他人の状態は全く不明.孤独な戦い.
しかし,実際のサーバに入って調査する質問の時に,1つのサーバとアカウント共有だったようで何人かがそこにテキストファイルで雑談を残しているのが面白かった.historyファイルに何かヒントが無いかと思ってみてたんだけれど,他の参加者のコマンド履歴だったので参考にならない
やっぱりCTF向けの技術取得や本による勉強が普段から必要という感じがしたな.普通のセキュリティ対応組織のフォレンジック業務とはちょっと違って,謎解きクイズ比率が高い感じがした.(負け惜しみ)
そして今回の成績などは,後日送られてくるのだそうです.ランキングがあるとすれば,ひどいんだろうな...
壁紙アプリ、中国人ユーザーになぜ人気? 「検閲逃れ」隠れ蓑に
https://www.technologyreview.jp/s/281386/chinese-gamers-are-using-a-steam-wallpaper-app-to-get-porn-past-the-censors/
引用:
この機能を思い出した.
ボスが来た
https://ja.wikipedia.org/wiki/%E3%83%9C%E3%82%B9%E3%81%8C%E6%9D%A5%E3%81%9F
https://www.technologyreview.jp/s/281386/chinese-gamers-are-using-a-steam-wallpaper-app-to-get-porn-past-the-censors/
引用:
世界最大のPCゲームプラットフォームで、壁紙アプリが上位にランクインしているのを見て違和感を覚えた人がいるかもしれない。実はこのアプリは、当局の規制が厳しい中国人ユーザーがアダルトコンテンツを共有するのに使われている。
この機能を思い出した.
ボスが来た
https://ja.wikipedia.org/wiki/%E3%83%9C%E3%82%B9%E3%81%8C%E6%9D%A5%E3%81%9F
PCがハッキングされた時に現れる10の兆候、修復するための5つの操作
https://news.mynavi.jp/techplus/article/20220811-2422291/
引用: 「ダークウェブ市場でデータやログイン情報が流通している」のを一般の人が把握するのは難しいと思うけどな.このサイト見ろ!ってのもないし.
でもその答えが書いてある.
引用: 「ダークWeb監視ツールに投資」って...口座に不審な動きがないかは利用明細をチェックするってことだね.100円でも見逃さないのがミソだと思うけど.
https://news.mynavi.jp/techplus/article/20220811-2422291/
引用:
・ランサムウェアのメッセージが表示される
・パソコンの動作が遅い
・Webカメラが勝手に起動する
・使用しているアカウントから友人や知人に迷惑メールを送りつける
・画面に表示されるポップアップ広告の数が格段に増える
・Webブラウザに新しいツールバーが表示される
・知らないアイコンがデスクトップに表示される
・パスワードやログインが使えなくなる
・ダークウェブ市場でデータやログイン情報が流通している
・セキュリティソフトから警告がでる
でもその答えが書いてある.
引用:
・ハッキングされたパソコンからアクセスしたすべてのアカウントのパスワードをリセットする
・多要素認証(MFA: Multi-Factor Authentication)アプリをダウンロードし、アカウント漏洩のリスクを軽減する
・ダークWeb監視ツールに投資し、どのようなデータが盗まれ、公開されたかを確認する
・サイバー犯罪者が被害者の名前で新たな与信限度額を設定されないよう、クレジットを使用凍結する
・銀行口座を中心に、すべての口座に不審な動きがないかを監視する
日本シーサート協議会なる組織から,FIRSTの製品セキュリティコミュニティによってまとめられた「製品セキュリティインシデント対応チーム(PSIRT)成熟度ドキュメント 運用能力と成熟度レベル」の日本語訳がリリースされていました.
PSIRT Maturity Document 日本語版
https://www.nca.gr.jp/ttc/first_psirt_maturity_document.html
28ページ程度の読み物です.
追記2022/11/24
JPCERT/CC WEEKLY REPORT 2022-11-24で紹介されました.
引用:
PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html
PSIRT Services Framework Version 1.1は,110ページの大作.
PSIRT Maturity Document 日本語版
https://www.nca.gr.jp/ttc/first_psirt_maturity_document.html
28ページ程度の読み物です.
追記2022/11/24
JPCERT/CC WEEKLY REPORT 2022-11-24で紹介されました.
引用:
FIRSTは、製品やサービスを開発し提供する組織によるPSIRTの設置・継続的運
用・能力の向上を支援するためのガイドとして「PSIRT Services Framework」
を作成し公開しています。本フレームワークは、PSIRTの組織モデル、機能、
サービス、成果などを含むPSIRTのコンセプトと全体像を示し、さらに、PSIRT
が果たすべき責任と、PSIRTがその活動に必要な能力を備え、組織内外との連
携によって価値を提供するために必要となる事項について説明しています。
今回、PSIRT Services Framework 1.1 日本語版と PSIRT Maturity Document
1.1 日本語版は、Software ISACと一般社団法人JPCERT コーディネーションセン
ターによって翻訳された後、KONICA MINOLTA PSIRT、Mitsubishi Electric PSIRT、
Panasonic PSIRT によってレビューされ、公開されたものになります。
PSIRT Services Framework と PSIRT Maturity Document
https://www.jpcert.or.jp/research/psirtSF.html
PSIRT Services Framework Version 1.1は,110ページの大作.
何とも微妙な情報漏洩.リストの悪用の仕方が色々ありすぎる・・・
嫌いな相手に糞尿を匿名配送するサービス「ShitExpress」から顧客情報漏れる。利用者のハッカーが脆弱性突く
https://www.techno-edge.net/article/2022/08/15/177.html
少なくとも2015年10月には存在していたサービスの模様.
嫌いな人に「馬糞」を送りつけるサービスがあるらしい・・
https://tabi-labo.com/190096/shitexpress
暴露サイトにアクセスしてみた.
ファイルをダウンロードできたので中身を見てみたんだけれど,こんな感じ.
・最初は2014年10月10日
・レコード数は29250件
・IPアドレス,住所,名前,メールアドレス,贈り物につけるメッセージ,国コード
・送付した糞の種類(馬とか象とか)
などが入っていますね.
国コードがJPの件数は68件ありましたが,メッセージも日本語で入っているものも多くて,何だか負の力を感じてしまいますね...藁人形を見つけたときのような嫌な感じ.(見つけたことないけど)
やっぱりネット利用では良くも悪くも「ログが残る」事を理解してない人が多いって事かなって思います.
嫌いな相手に糞尿を匿名配送するサービス「ShitExpress」から顧客情報漏れる。利用者のハッカーが脆弱性突く
https://www.techno-edge.net/article/2022/08/15/177.html
少なくとも2015年10月には存在していたサービスの模様.
嫌いな人に「馬糞」を送りつけるサービスがあるらしい・・
https://tabi-labo.com/190096/shitexpress
暴露サイトにアクセスしてみた.
ファイルをダウンロードできたので中身を見てみたんだけれど,こんな感じ.
・最初は2014年10月10日
・レコード数は29250件
・IPアドレス,住所,名前,メールアドレス,贈り物につけるメッセージ,国コード
・送付した糞の種類(馬とか象とか)
などが入っていますね.
国コードがJPの件数は68件ありましたが,メッセージも日本語で入っているものも多くて,何だか負の力を感じてしまいますね...藁人形を見つけたときのような嫌な感じ.(見つけたことないけど)
やっぱりネット利用では良くも悪くも「ログが残る」事を理解してない人が多いって事かなって思います.
久々のセクストーションメール.全く同じ内容のものがうちに来たのは3月11日なのでちょうどいい5ヶ月?
引用:
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
送信メールサーバは台湾とかブラジルとかの固定回線が使われているので,乗っ取られたPCで送信されているのでは?と考えています.
引用:
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
Microsoft Office Outlook 12.0
Microsoft Outlook 14.0
Microsoft Outlook 15.0
Microsoft Outlook Express 6.00.2800.1106
Microsoft Windows Live Mail 16.4.3505.912
Microsoft Windows Live Mail 15.4.3508.1109
Hytbqaa yresp
Xtwelwlf srhafa 7.2
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.20) Gecko/20110805 Thunderbird/3.1.12
Pegasus Mail for Windows (4.61)
3月31日にサービス開始した事業者向けECサイトが,少なくとも4月12日には不正なサイトへ転送されるページを挿入されていた模様.
サイトをベトナムで安く構築したようだけれど,ペンテストやセキュリティレビュー的なものもダイエットしちゃったのかなぁ.
事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
https://www.security-next.com/138595
弊社が運営するオンラインショップへの不正アクセスによる
クレジットカード情報漏えいに関するお詫びとお知らせ
https://shop.diyfactory.jp/
引用:
大都、事業者向けEコマースサイト「DIY FACTORYビジネス」を開始
https://prtimes.jp/main/html/rd/p/000000037.000016894.html
引用:
サイトをベトナムで安く構築したようだけれど,ペンテストやセキュリティレビュー的なものもダイエットしちゃったのかなぁ.
事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
https://www.security-next.com/138595
弊社が運営するオンラインショップへの不正アクセスによる
クレジットカード情報漏えいに関するお詫びとお知らせ
https://shop.diyfactory.jp/
引用:
なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
大都、事業者向けEコマースサイト「DIY FACTORYビジネス」を開始
https://prtimes.jp/main/html/rd/p/000000037.000016894.html
引用:
また、システム開発からコンテンツ制作までをDAITO VIETNAM(システム開発をメインとした子会社)で行うことで高い生産性を実現。今後はビジネス登録された業種情報をベースに、顧客グループ~個々に最適化された検索結果・レコメンドアルゴリズムの開発、さらなる物流拠点の拡大による事業者向け商材の在庫を強化していくことで、高い利便性の実現に向けて尽力いたします。
