UJP - スパム・フィッシングカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ スパム・フィッシング の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - スパム・フィッシングカテゴリのエントリ

 三井住友カードについては,たびたびフィッシング対策協議会のページにでているけれど,国際ブランド別のシェアでは三井住友も扱っているVISAカードはシェア50%なので狙いやすいでしょう.


 メール本文にあるIPアドレスはOCNのものでした.以前調査したものはアメリカだったので,ちょっと改善したのでしょう...
引用:
◆ログイン情報
・ログイン日時 :2020/9/23 8:57:14
・IPアドレス  :x.x.x.x

VpassIDおよびパスワードを他のサイトと併用している場合には、
漏えいした情報より、悪意のある第三者によるネットショッピン
グでの悪用の可能性もございます。
VpassIDおよびパスワードは他のサイトでは使用せずに、定期的
にご変更いただきますようお願いいたします。VpassID・パスワ
ードのご変更はこちらをご覧ください。
 今回気になったのは,この本文.


 テキストメールに見えてHTMLメールなのでURLが隠蔽化されているから,MIMEデコードしないとURLが発見できないことかな.

 そしてリンク先にアクセスをして見る.


 すでに対策がされているので警告が出た.
 「この警告を無視する」でアクセスしてみる.


 すでに止まっていました.
 アマゾン,楽天,三井住友のフィッシングメールがやたらと増えているけれど,Emotetを失敗したような迷惑メールがきました.



引用:
経理ご担当者様

お世話になっております。
株式会社トラベルエージェントの笹原です。

お忙しい中、ご連絡をいただきありがとうございます。
ご指摘の通り、9月度ご請求書を修正いたしましたので、ご確認頂けますと幸いでございます。

ご迷惑をお掛けし、申し訳御座いません。

取り急ぎ要件のみとなりますが、
今後とも何卒よろしくお願い致します。
 なにか悪意のあるマクロがしこまれているであろう,添付ファイルがついていません...

 同じ内容のメールが,いつも迷惑メールが来る迷惑メール専用の2つのメアドに届きましたが,宛先の名前が伊東さんだったり佐藤さんだったりしました.(フルネームはマスク)


 送信したメールアドレスは同じものだったので送信サーバのIPアドレスを調査.


 ロシア,モスクワからか.

 AbuseIPDBを見ると,IPアドレス的には汚れてない模様.


 kingserver.comは,VPS/VDSのサービス会社の模様.DomainKey,Dkimも問題ないのでブロックは難しいかな.

テーマ: 商業オファー。

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2020/9/9 2:04
 ふと,いつもSPAMメールが来るアドレスのメールボックスが騒がしいのでみてみた.

件名「テーマ: 商業オファー。」

 基本的には全部脅迫メール.使い古しか.

引用:
それならば、ご提案があります。
1500 USD相当の金額を私のBitcoin ウォレットへと送金していただけると、私は全てのことを忘れることにします。さらに、全てのデータやビデオを永久的に削除しましょう。
 1500ドルって今どうなのか.

1,500 アメリカ合衆国ドル は
158,893.50 円
9月8日 17:00 UTC
 なるほど.そしてメールの中にある振込先のBitcoinのアドレスは7件中6件が1tj9z9upErKtYCf9MJ78hAcTAfd2xxxなので同じ.

 いつものようにビットコインの流れを確認.


 0.15ビットコインが送金されている!
0.15 ビットコイン は161,332.58 円
9月8日 17:00 UTC
 一人送ったのか...大儲けだな.でも,これ,しばらく後で見たら増えてたりするのかな.
 楽天でアカウントを持ってないメアドに,こんなメールが来ていた.


引用:
上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバーを使用してアカウント情報を確認してください。

続けるにはこちらをクリック

万が一、身に覚えのないご利用やご注文が確認された場合は、楽天市場トップページより「ヘルプ」をクリックいただき、「ヘルプ・問い合わせトップ」画面下部の「楽天市場へ問い合わせる」から「楽天市場お客様サポートセンター」へお問い合わせください。

※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。

楽天株式会社

 ログインしたというIPアドレスは,アメリカのもので汚れてない模様.


 汚れてないIPアドレスを用いることでブロックを回避か.


 クリック先のURLは,ドメインは中国.その先にopenidへリダイレクトされるようなパラメータがついているので,そこでログインさせて搾取するのかなぁ.

 ちなみに,.cnになっているけれど,digした時のIPアドレス,112.175.150.110は,Korea Telecomでした.


 リンク先のURLをurlscan.ioでチェックすると,フィッシングだと出ますね.


 興味深くアクセスすると,こんな感じ.


 オレオレSSL証明書.この時点で敷居が高くなっている.(ブラウザによっては,直接アクセスできない)

 アクセスした先は良くあるログイン画面.興味深いのは,Englishや中文などのリンクがあるけれど,それらのページは用意されていません.

 それで,フィッシング協議会の通報メールアドレスを用いて,パスワードは「つうほうしました」をローマ字で入力してログイン.

 ログイン成功.

 面白そうなので,続けてみる.


 カード番号登録画面.丁寧に,カード番号の最初の4297は楽天カードの番号.これを適当な数字で入力してみる.


 数値を入れてカード有効期限にフォーカスを移すと,「無効カードの疑いがある。」とエラーがでた.最低限のチェックロジックはある模様.

 今日はこれぐらいで終了.

実例で見るネットの危険:国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764

 管理ツールの8080は空いてないようだけれど,Maltegoによって22番が空いているというので,確認してみた.
$ ssh root@rakuten.co.jp.cookiesget.ol7g[.]cn🆑
The authenticity of host 'rakuten.co.jp.cookiesget.ol7g.cn (112.175.150.110)' can't be established.
ECDSA key fingerprint is SHA256:yTya7bjFTvyHEXTc+8x7TOUK7HKZgxeJK3L2X2BCfhY.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'rakuten.co.jp.cookiesget.ol7g[.]cn,112.175.150[.]110' (ECDSA) to the list of known hosts.
root@rakuten.co.jp.cookiesget.ol7g.cn's password:
 パスワード認証か...
 最近,こんなメールが届く.


 やっぱり添付ファイルがついていると,ワクワクする.

Здравствуйте. У меня есть предложения для
 владельца сайта.
Передайте пожалуйста мои предложения
 и контакты руководству, которые указаны
 в прикрепленных файлах.

Hello. I have suggestions for the site owner. 
Please pass on my suggestions and contacts to the management,
 which are indicated in the attached files.  

 ちょっと,まず何を書いてあるのか,DeepLで確認して見る.
こんにちは。いくつかの提案があります。
 サイトオーナーの
私の提案を伝えてください
 と管理者の連絡先が表示されています。
 を添付ファイルに記載してください。

こんにちは。サイトへの提案をさせていただきました。
私の提案や連絡先を運営側に伝えてください。
 のように、添付ファイルに記載されています。 
 ロシア語と,同じことを英語で書いてあるのか.


 添付ファイルを保存してみたけれど,これは偽リンクじゃなくて,ちゃんとファイルでした.

 Microsfot Wordだけれど,macOSを使っていたらWordを開かずともQuickLookで参照可能. 一応,VirusTotalにアップロードして検査.

 ファイル自体には問題ない模様.


 コミュニティをみると,スパムだと書いてある.ただし,うちに来た時とは違うメールアドレスだな.

 そしてWordの中身の1つ.
引用:
Hello. Are you interested in setting up and maintaining contextual advertising?
I have been setting up and running contextual advertising for over 9 years.

My WhatsApp /Viber for fast communication: +380973510878
My Skype: mayboroda[_]aleks


What benefits do you get?

1. The lowest cost of attracting the buyer of your goods or services.
2. Only the target audience, ready to buy your product or service.
3. Save time on finding customers.
4. Payment is only for going to the site of an interested buyer.
5. Instant result. You don’t have to wait 5-7 months as when promoting a site in order to start receiving targeted traffic or looking for it in other ineffective ways that lead in the majority to non-target audience.
6. Return on investment in the first month.
7. Savings on staff who deal with inefficient ways to attract customers.
8. A regular customer. Since the customer’s contacts are saved when ordering
in the future, he can be offered other goods and services through the newsletter.

What I suggest:

1. Analysis of competitors and recommendations for improving the site, to increase the conversion of the visitor into a real, regular customer.
2. Gathering only targeted sales inquiries that will lead buyers who are ready to buy.
3. Setting up contextual advertising based on an analysis of your site and competitors' sites.
4. Create ads for each request.
5. Launching and maintaining contextual advertising, filtering out unnecessary requests that do not bring effect, changing ads to more effective ones that will increase conversion and save the budget.


Monthly cost of service

For the work on setting up and running advertising, I take 42$ per month.
An advertising budget is also needed - I recommend from 144$ per month.
You can pay once a week: 11$ for work + 36$ per week of the advertising budget
= 47$ per week.


Warranty:

1. Immediately after the launch of advertising, you will be able to see your site for certain queries in the top 3 search engines. And you do not have to wait and believe for 5-7 months, the site will be in the top 3 with advancement or not.
2. Already in the first week of the launch of advertising, you will receive real orders.
3. You can make money in advertising and for work once a week.
4. I, as well as you, are interested in the effectiveness of advertising and the continuation of long-term cooperation. Since if you will benefit, then I will benefit - long-term cooperation.
5. Reporting. You will receive a list of requests for which phrases your ad is showing in the top 3 search engines and you will be able to evaluate the quality of the created ads and the presence of your site in the first positions of Yandex and Google. As well as the number of orders from the site.

My WhatsApp /Viber for fast communication: +380[9]73510878
My Skype: mayboroda[_]aleks

Sincerely, Alexander, a specialist in setting up and maintaining contextual advertising.
ということで,Web広告の営業メールでした.

have i been pwned? その2

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2020/5/27 23:21
 去年も紹介したこのサイト.

https://haveibeenpwned.com

 前回は迷惑メールがくるメールアドレスを投入して検索したのだけれど,これをドメイン管理者であればドメイン名ごとに検索できることを知ったので試してみました.

ドメイン毎にメールアドレスの流出を調べた

 結果はJSONとかExcelで入手できるのでチェックが楽だね.

 去年,スパムばかり来るので該当のメアドは止めていたのだけれど,最近,Maltegoで分析が面白いので逆に迷惑メールが届くようにオンにしてみました...

 ちなみに,最近よく迷惑メールが来るメアドは,このhave i been pwned? には登録されていません.

  • 去年止めた迷惑メールが届くメアドは,アメリカのサービスを利用.HIBPで登録あり
  • 今現在迷惑メール届くメアドは,日本のサービスを利用.HIBPで登録ナシ

     ちょっとだけ違いがあるので,サンプリングとしては面白いかなぁ.
  •  今日,いつも迷惑メールが届くメアドに,ルイ・ヴィトンのアウトレット販売っぽい迷惑メールが来た.
     せっかくの機会なので,この迷惑メールを教材に,Maltegoを使って調べて見た.


     IPinfoやHaveIbeenPwnedを使って,迷惑メールの発信元を調べて見たけれど,中国のものとしかわからず.ただし乗っ取りされている風でもなかった.
     そして本文にあるURLは,シンガポールにあるアリババのサーバのようだけれど,すでにロックアウトされていたので内容を見ることはできずじまいでした.

     Maltegoで迷惑メールを可視化してみる2020.05.14版

     普段使いでは無いメールアドレスに,コンスタントに迷惑メールが到着するというのは,こういう趣味?仕事をしていると良いサンプルが手に入ってありがたいことなのかな.
     カミさんのところにも,Amazonを騙るフィッシングメールが届くようになった模様.
     面白いので転送してもらった.


     差出人の部分がむちゃくちゃだけれど,本文がひどい.

     本文を取り出してみた.


    お前のAmazon ID情報の一部分は不足、あるいは正しくないです、
    お前のアカウント情報を保護するため、アカウントにログインして
    検証する必要があります。
    ログインして画面の指示のように操作したら、
    アカウントのロッグをアンロックしていたたけます。
    
     お前扱いしているのはもちろん,ロッグとされて日本語も変である.
     このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.


     「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
     そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.


     ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
     そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.


     Site is Blacklistedとされ,Crtical Security Riskと出た.
     Scan failedとも出ているので,すでにサーバは停止されて居る模様.

     また,AbuseIPDBで調査してみる.


     ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.

     時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
     最近はAmazonを語る迷惑メールばかりくるので,面白くないのだけれど.



    Hi~ すみません
    私たちがメールの送信の理由は、インターネットのスポーツトトを
    推薦してドリルしようとしているからです。
    58bet 独立行政法人日本スポーツ振興センターのスポーツ振興くじ
    助成金を受けて、体育施設の整備やスポーツ大会などを行っています。
    58betとは、BIG(コンピューターがランダムで試合結果を自動選択する、
    予想のいらない最高6億円のくじ)、
    toto(サッカーの試合結果を予想するくじ)がインターネットで
    買えるサービスです。
    58betに無料会員登録するだけで利用可能!
    便利でカンタン
    夢は「12億円」だけじゃない ついに開催1000回、スポーツくじが築く未来とは……
    お客様の加入を心から歓迎します。
    
     日本人だと「Hi」で始まる文書を作ることはないなぁ.ドメインはアイルランドとかアメリカが絡んでいるようだけれど.
     「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.

    [SENDER_NAME変更完了のご案内

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2019/11/28 23:00
     アマゾンのアカウントを持ってない私にとって,Amazonからのメールは100%迷惑メールなわけなのだが.


     件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.

     そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.


     ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.

    名簿業者からの売り込み

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2019/11/25 22:29
     いつもとは違うメールアドレスに,売り込みがあった.


     ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.


     第124回カントンフェアの出展者データらしい.


     これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.

    China Import and Export Fair (Canton Fair)
    https://cantonfair.org.cn/

     それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.

    RMB:Rénmínbì(レンミンビィ)
    CNY:Chinese Yuan(チャイニーズ・ユエン)

    そして,

    CNH:Chinese Hong Kong(チャイニーズ・ホンコン)

    というのもあるのか.

     ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.

    サギタイ

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2019/11/20 0:40
     前回はナリタイ(なりすましメール対策)のサイトがありましたが,現在はこのサギタイの方を熱心に更新しているようです.

    ビジネスメール詐欺対策
    https://www.sagitai.jp

     まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.

     「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.

    フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
    https://cybersecurity-jp.com/security-measures/34177

    「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.

     でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.

    ナリタイ

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2019/11/19 23:51
     最初,何かの自己啓発サイトかと思った.

    ナリタイ
    https://www.naritai.jp

     なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.

     「ナリタイ製作委員会」という団体が運営しているそうです.

     そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.

     DNSは今でも反映が遅いだろうからなぁ.
     久々に迷惑メール専用メールボックスを覗いたら,また来ていました.


     ということで,例のサイトをのぞいてみると・・・

    フィッシング対策協議会
    https://www.antiphishing.jp


     けっこうな確率でこちらに届いているようだ.良いサンプルなのかなぁ..
     そして気のなるのは,今日,突如として来るようになったこれ.


     一見,よく見かける奴だと思うけれど,これには2つの特徴が.

  • toyota[.]co[.]jpからのメールが来ている.
  • Delivery Errorメールが来ている

     まず,世界のトヨタのメールが奪われる位ことは無いと思うので,SMTPにありがちが偽名で送信したのでしょう.そして2つ目は,私のメアドで迷惑メールを送信したけれど,相手のメアドが無かったのでラーメールが私に帰ってきている状態.

     古典的だけれど,オープンリレーを許しているSMTPサーバがあるから偽名で送信できているみたい.そして漏洩したメアドを使って送信しているから,エンベロープFromのメアドにエラーが返却されている.面倒だなぁ.
  •  facebookを見ていたら,怪しい広告が紛れ込んで来たので,アクセスして見た.


     なんと割引のないApple製品が10分の1以下の価格で販売している! そしてその価格で販売されている数も4700も!


     運営会社を見てみる.
     特定商取引法で提示が必要な日本人の名前,住所の表示はあるが,電話番号がない.あやしい.
     営業時間8時〜18時なので10時間勤務? 休業日は365天.天? 中国語っぽい.翻訳してみる.


     中国語だった.化けの皮が剥がれた瞬間か.

     平成28年現在で120名も従業員がいるというのだから,さぞ大きな会社だろう.国税庁で調べてみる.

    国税庁法人番号公表サイト
    https://www.houjin-bangou.nta.go.jp


     埼玉県にはそういう会社は存在しないようだ.

     まぁ,そんな値段で売られていたら,大ニュースになるからその時点でアウトだね.
     昨日というか昨夜,ブログに書いた迷惑メールですが,調べるとセクストーションスパムという部類なのだそうです.



    日本語「セクストーションスパム」登場から1年、再び被害発生か
    https://blog.trendmicro.co.jp/archives/22509

     流行りのメールが来たって事か...

     そしてこのメールは「トレンドマイクロが確認しただけでも300回を超えるトランザクションがあり、合わせて29BTC(本記事執筆時点の価格で日本円2,850万円相当)が送金されていることが確認されました。」という事です.
     元のメールで「私は$841が良い価格だと思います!」と記載されていて,今日現在の為替レートで計算すると9万円.1件あたりの被害額として単純計算すると,316人が振り込んでしまったという事かな.
     メールによって金額が違うらしいし,ビットコインになるともっと時価な感じになるけれど,大して苦労してなさそうなメールを送るだけで,3000万円近い収入があるのなら,やってしまう人も多いだろうなぁ.
     そして,スパムメールだしアダルトだしビットコインだという事,9万円という価格からプロファイリング?すると,老人ではなく35〜50代男性なのかな.
     類似のものはよくくるのだけれど,今回は今まで来なかったメアドに来た.スペインからはるばると.

    こんにちは!
    
    私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
    あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。
    
    もちろん、それを変更したり、すでに変更したりすることができます。
    しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。
    
    私に連絡したり、私を見つけようとしないでください。それは不可能です。 
    私はあなたのアカウントからメールをあなたに送ったので、
    
    あなたの電子メールを介して、私はあなたのオペレーションシステムに
    悪質なコードをアップロードしました。
    私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、
    インターネットリソースへの訪問の完全な履歴を保存しました。
    また、あなたのデバイスにトロイの木馬をインストールしました。
    
    あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、
    身代金を求める。
    しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。
    
    私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!
    
    だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
    あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
    その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。
    
    これらの写真を連絡先に送信すると素晴らしいことがあります。
    しかし、あなたがそれを望んでいないと確信しています。
    
    したがって、私は沈黙のためにあなたからの支払いを期待しています。
    私は$841が良い価格だと思います!
    
    Bitcoin経由で支払う。
    私のBTCウォレット: 1H2kisMFkvqQhCFPQChKucNzxErXFZmLgq
    
    あなたがこれを行う方法を知らない場合 -
     Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
    指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。
    私のウイルスはあなた自身のオペレーティングシステムからも削除されます。
    
    私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後で
    メッセージを受け取ります。
    
    私はあなたに支払いのための2日間を与える(正確に48時間)。
    これが起こらない場合 -
     すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
    あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)
    
    ばかなことしないで!
    警察や友人はあなたを確実に助けません...
    
    p.s. 私はあなたに将来のアドバイスを与えることができます。
     安全でないサイトにはパスワードを入力しないでください。
    
    私はあなたの慎重さを願っています。
    お別れ。
    
     最近どこかでメアドが漏洩したのだろうか.

     それにしてもBTCウォレットの1H2kisMFkvqQhCFPQChKucNzxErXFZmLgqで検索すると,たくさん出て来るなぁ.
     一度流出したメールアドレスは,使われ続ける...
     某サイトからメールアドレスが流出して,そのアドレスに向けて定期的にスパムメールが来る.いや,逆にいうとスパムメール専用メアドになっている.
     それはそれで面白いので,ハニーポットじゃないけれどウォッチを続けていて,今週来たメールがこれ.


     近年流行りの,HTMLメールじゃないことを偽装したメール.公式サイトへのリンクアドレスは,実は違うドメインへの誘導.
     面倒なのが,「セキュリティ部」とされているところに記載されている電話番号は,実在する本物の電話番号(三井住友銀行 カード発行部のもの)なので,もうこれだけで偽計業務妨害罪に問われる可能性があるね.


     残念ながら,そのドメインはすでに潰されている模様.


     フィッシングメールの注意喚起を行っているフィッシング対策協議会のサイトを確認してみたけれど,今回の事例は,まだ掲載されてないようだ.

    フィッシング対策協議会 Council of Anti-Phishing Japan
    https://www.antiphishing.jp

     SMBCをかたるフィッシングメールは,たびたび出ているようだけれど.

     そしてHTMLメールのソースを見ると,次のようなアドレスからメールが来ていました.
    Received: from a2.amazeonco23[.]jp (unknown [104[.]223.154.204])
    
     AWSがあれば世界中どこでも簡単にサイトを構築できるねーって思ったけれど,whoisして見たら意外と...

    Domain Information: [ドメイン情報]
    [Domain Name]                   AMAZEONCO23.JP
    
    [登録年月日]                    2019/09/04
    [有効期限]                      2020/09/30
    [状態]                          Active
    [最終更新]                      2019/09/04 18:31:12 (JST)
    
    Contact Information: [公開連絡窓口]
    [名前]                          さくらインターネット株式会社
    [Name]                          SAKURA Internet Inc.
    $
    
     さくらインターネットでドメインを取っている.取りたてホヤホヤといってもいいでしょう.先入観怖いなー.
     某サイトから流出してしまったメアドへの迷惑メール.巧妙なものってあまりないが,HTMLメールに見えないHTMLメールというのが来た.


     よく観察すると日本語が変である.


     line.meへのリンクなので一見,正しそうだけれど,実際にはよくわからないアドレスに向いていますね.

     次に紹介するのが,Amazonが更新できなかった件.


     これも日本語がおかしい.そしてURLが,co.jpに様に見せかけてそうで無いというのが巧妙な点かな.これをスマホとかで受けて見たら,ついクリックしてしまいそう.

     これらのメールは日本語がおかしいので判別しやすい様に思うけれど,それらが正しくなって来たら,簡単に判別できなくなるのだろうな.

    have i been pwned?

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2019/4/2 20:54
     特定のサイトでしか使ってないメールアドレスにスパムメールが来ているので,メールアドレスが流出しているかどうかチェックして見た.

     利用したのはhave i been pwned?というサイト.

    have i been pwned?
    https://haveibeenpwned.com

     このサイトは,マイクロソフトの社員が運用しているサイトで,大規模な個人情報漏洩を起こした場合のそのデータが入っているそうで.


     使い方は簡単.メールアドレスを入れてボタンを押すだけ.


     Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)とでました.どういうこと?
     詳細は以下に説明が.



    「MySpaceは、2008年頃に3億6000万件近くのアカウントを公開するというデータ侵害を受けました。 2016年5月、データは「Real Deal」ダークマーケットWebサイトで売り出され、パスワードの最初の10文字の電子メールアドレス、ユーザー名、およびSHA1ハッシュが小文字に変換され、塩なしで保存されました。正確な違反日は不明ですが、データを分析したところ、公表されるまで8年が経過したことがわかりました。」

     まさに,MySpaceにアクセスできなかった件が影響してましたね..
     某サイトでしか使ってない受信専用メールアドレスに,メールが来るようになった.
    あなたのアカウントは他の人に使われています!
    
    Your account is being used by another person!
    
    Hello!
    
    I have very bad news for you.
    12/10/2018 - on this day I hacked your OS and got full access
     to your account mailaddress.
    
    So, you can change the password, yes... But my malware
     intercepts it every time.
    
    こんにちは!
    
    私はあなたにとって非常に悪い知らせがあります。
    12/10/2018  - この日にあなたのOSをハックしてあなた
    のアカウントにフルアクセスできるようになりましたmailaddress.
    
    How I made it:
    In the software of the router, through which you went online,
     was a vulnerability.
    I just hacked this router and placed my malicious code on it.
    When you went online, my trojan was installed on the OS
     of your device.
    
    作り方:
    あなたがオンラインにしたルータのソフトウェアには、
    脆弱性がありました。
    私はこのルーターをハッキングして悪意のあるコードを
    載せただけです。
    あなたがオンラインになったとき、私のトロイの木馬は
    あなたのデバイスのOSにインストールされていました。
    
     んー.個人用のルータで脆弱性が放置されている件が話題になっていたけれど,それを狙った脅しのようだ.
     残念ながら,うちのルータはそんなことができないやつだ.
     夜になって,ケータイに着信があったようなので見て見たら,SMSが昼過ぎに来ていた.



     もう,22時過ぎているし失礼なので折り返しの電話は控えます.メッセージくれるときは事前に連絡してくれないと.
     あ,それとアマゾンのアカウント持ってないんだけど.
     URLを意識しないことも多いけれど,.downloadドメインというのがあるのだなぁ...

     こんなメールが来た.


     英文のシンプル.感度の高い人が「添付ファイルを開かないで!」と言っていたのだけれど,よく見ると添付ファイルが本質ではない.残念ながら,添付ファイルの部分の画像が荒いので画像ファイルをつけていることがわかる.
     ソースファイルを確認.
    Content-type: text/html;
    charset="UTF-8"
    Content-transfer-encoding: quoted-printable
    
    <html>
    <head>
    <meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">
    <title></title>
    </head>
    <body>
    <p><a href=3D"https://newXXXdrive18.downlXXXXoad/wp/file.php?
    login=ZZZZZ@XXXXXXX.jp&amp;name=ZZZZZ@XXXXXXXX.jp">
    <img border=3D"0" alt=3D"doc (1).gif" src=3D"cid:123456789"
     width="200" height="42"></a></p>
    <p>Good Day,</p>
    <p>Revised Document is for your ref.</p>
    <p>Best Regards.</p>
    </body>
    </html>
    
     普通にAタグでURLをリンクしてある.word文書に見せかけの画像ファイルをクリックしたら飛んでいくわけだ.
     まずは,直接ソースに書いてあるURLにアクセスしてみた.


     なんもない.cgi-binとかWordPressを思わせる部分は,一応見ることができないようになっていた.
     URLにSPAMを受けたメールアドレスのパラメータが付いているので,それを存在してなさそうなアドレスに書き換えてアクセスして見たら,本質のものが出た.


     gmailのログインをかたる詐欺サイト.パスワードをランダムにいれてみた.


     一応,リダイレクトでチェックしているかこれも偽物かもしれないけれど,エラーメッセージはでてきた.パスワードは記録されているでしょう.


     ということでURLを確認するとパスワードは普通にURLパラメータとして送信されている単純なものでした.作者はPOST/GETもわからん素人か.
    こんなメールが来ていた.
    from:マイクロソフトセキュリティチーム <ocjbognrx@xxxxxxxxxxx.jp>
    Subject:警告!!マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。
    
    Body:
    
    
    セキュリティに関する警告!!
    
    あなたのオフィスソフトの授権が間もなく終わってしまう可能性があります。
    
    マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクト
    キーが何者かにコピーされている不審の動きがあります。
    
    何者かがあなたのオフィスソフトのプロダクトキーを使って、他のソフトを起動しようと
    しています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をする
    ようお願いします。
    
    検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態が
    まもなく終わりますので、ご注意ください。
    
    今すぐ認証
    
    *ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを
    防止する技術で、手続きは簡単に実行できます。 またこの手続きは匿名で行われるので、
    お客様のプライベートな情報は保護されています。ご安心ください。
    
     「今すぐ認証」の部分をクリックすると,Microsoftっぽいログイン画面がでてきて,ユーザIDとパスワードを入れさせる模様.私がアクセスして見たときには,既にサイトは潰されていました.

     気になるのは2点.

    ・このメアドがどこから漏れたか.
    ・Fromで使われているドメインも,どこから漏れたのか.

     Fromのメアドは岩見沢市が管理しているドメインが使われているのだけれど,メールだけした使われてなく,たくさんの病院で使われている模様.メアド的にはランダム偽装なのは間違い無いのだけれど.

     どこで使っていたメアドが漏れたのかなぁ.ショックだ.
     某メールサーバへの海外からの不正サクセスの試みが増えてきた.現在のトレンドはイタリアドメイン.ブルートフォースの回数も半端ないので,そろそろ閉じる.

    架空請求のSMSが届いた

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2016/2/1 23:15
     データ通信専用契約のスマホに,SMSで次のようなメッセージが来た.


     「最終通告です.有料動画閲覧履歴があり,登録解除の連絡を頂けない場合,至急身辺調査及び強制執行の法的措置に移ります.」この文章からすると,有料動画を閲覧できるのだから,会員登録していると想定できます.登録解除すると会員じゃなくなるので,事業者側としては不利益なのでは? それと強制執行できるって国家権力的なものだと思うけれど...

     それで12月に来たやつを思い出した.こっちは音声回線しか契約してないケータイ.


     「有料動画閲覧履歴があり,登録解除のご連絡を本日頂けないと,身辺調査及び債権移行となりますので至急ご連絡ください.相談窓口」・・・にたような文書だなぁ.
     どっちのSMSも身辺調査されるんだな.なんだろう.調査しないと解らないくらい登録情報を持ってないということか.

     ま,どうも毎月1日にSMSを送ってくるみたいだ.こういうのは警視庁のサイバー犯罪対策に連絡すれば良いのかなぁ...

     それで困ったことが.

    ...続きを読む

     前回調べた時は1118件のスパムメールが溜まっていたのだけれど,あれからnnnヶ月・・・再度数えたら3928通弱だね.624日なので,1日当たり6.3通か.

     ロシアからのSPAMメールが大半なので,それらをブロックする事にした.さて,その後どうなるのか...

    Mac OS X 10.6 Server Admin: 特定のサーバからの SMTP 接続を拒否する
    https://support.apple.com/kb/PH8753?locale=ja_JP&viewlocale=ja_JP

    ワードサラダ

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2014/3/4 23:43
     SPAMメールはアルファベットものが多いので,単純に2バイト文字が入ってなければSPAM率を挙げて判断するのが一般的.たまに中国語のメールはすり抜けるらしいけれど,意外と中国語のSPAMは無い.

     そんな時にスパムフィルターをすり抜ける技の1つにワードサラダを使う事があるそうです.

     Wikipediaによると,「ワードサラダ(Word salad)とは、コンピュータによって自動生成された、文法は正しいが、意味が支離滅裂である文章のこと。」なのだそうです.どちらかというとアフィリエイトブログに沢山使われているようで.

     現在は支離滅裂な文書しか作れないようだけれど,本気になれば「受けの良い冒険小説」とかなら作れちゃうんじゃなかろうか.魔法使いとか怪獣とか聖なる剣とか,出てくる要素は似たり寄ったりなので.
     いくつかの施策をしている中で,ブラックリストデータベースを使ってみたら効果があった.

    ---------------------
    RCPT
    blocked using all.rbl.jp (total: 1)
    1 210.183.179. 38
    blocked using zen.spamhaus.org (total: 6)
    2 hinet .net
    1 veloxzone. com .br
    1 147.30.10. 236
    1 178. 122.108.42
    1 193. 34.173.27

     それでも最近はSASL LOGIN authentication failedの方が気になる.半端無い回数になっているので...
     SPAMメールが多くなって来た.昨晩は5分間で4〜10通程度が継続している模様.そうは言っても継続的にでているわけだからそれなりのストレスもある.



     ただし週刊グラフでみると先週の月曜日〜火曜日の間の方が多かった.



     最近の傾向は,Fromアドレスがjpドメインの物が多い.当然FromはRecipientToじゃないのだけれど海外アドレスを止められないSPAMフィルタが存在するかも...

    SASL LOGIN authentication failed

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2014/2/12 23:41
     maillogをみて pflogsummで集計してみたら,沢山SASL LOGIN authentication failedがでていた.

     というかこれはブルートフォース.アタックアクセスの多いIPアドレスをwhoisしてみたらこんな感じ.

    第1位 オランダのECATELという会社 http ://www.ecatel.net/

     事業内容をみるとデータセンタ事業をやっているみたいで,その中の腹貸しているサーバからの模様.

    第2位 台湾の学校 http ://www.edu.tw

     学校だから,しかたないか...

    第3位 中国の何か fjdcb.fz.fj.cn

     なんだかwwwにアクセスすると重たいページにとばされるので途中で止めた.だからいったいなんなのかは不明.

     他にも沢山あったけれど,このトップ3が70%を占める.

     とりあえずざっくりと/8でFWでrejectしてみる.
     ちょっとメールサーバの調子を見ていたら,SPAM判定されたメールが1118通も溜まっていました.暫く見なかったからなぁ...

     これくらい迷惑メールが溜まってしまうと,消すのに一苦労.これが動いているお陰で無駄な労力が少なくて良いのだけれど,サーバ能力も無限じゃないのでたまに消してあげないと! しかし,SPAMエンジンも完璧ではないので,ただ消すだけだと間違ってしまうかもしれない.

     そんな時に再度SPAM判定と一括で消してくれるソフトが,Mac用だけれどMyPopBarrierです.サーバ上で直接消してくれるのでネットワークトラフィック等も低減できます.このサイトでダウンロードできます.





    Site de Famille Rob
    http://throb.pagesperso-orange.fr/site/Prg_AutresRB.html#MyPopBarrier

     Windows版もあるようです. 日本語に対応してないけれど,ほとんどのSPAMはアルファベット対応だからその意味ではこれで十分ですね.たまに実行する様にスケジューラにいれときました.

     グラフをみているとここ数日SPAMが増えてしまった.

     wordpressで運営しているサイトでSPAMコメントが増えたのでブロックを検討.

     Akismetがスタンダードのようですけど商用利用だと有料と言う事なので躊躇してみた.そして調べてたどり着いたのはThrows SPAM Awayという日本製.しかしあまり効果が無い状態だ.

    ・SPAM判定されたiPアドレスは自動ブロック→IPアドレスを変更してくる
    ・コメントに日本語が含まれてないとSPAM→中国語っぽいのは通過してしまう

     そもそもSPAMコメントの反応が速くて,新規に情報公開した直後にアクセスがあるのです.RSSの更新PINGを情報源としてやってくるのだろう.
     絶え間なくくる迷惑メール...と思ったら絶えていた.


     15日は土曜日,17日は月曜日.

     そんな事より最初は「1億円振り込みますので口座教えろ」だったのに今は「260万円振り込みます」に減額されているよ...
     最近,iモードのアカウントを取って4〜5年?の義母の所に迷惑メールが来たと騒ぎになった.これまでそういうものがこなかったからびっくりしていた. そして,妹が迷惑メールが大量に来るのでメアドを変えたと言っていた.最近増えているのかな?

     そして斜め前の人が,業務用のシステムテストで,ケータイのメアドを変更して登録する部分のテストをしていたのだけれど,変更後,2時間程度で迷惑メールが来たと言っていた.

     そして,自分.SPモードを契約したので,メールアドレスを取得してみた.それが12月5日.夕べの大きな地震で,緊急地震速報が来てないかな?と思ってみたら,6通程メールが来ていて,中身を見ると全て迷惑メールだった.


     ハッピーハッピーメール.1億円振り込んでくれたりするらしい.恐るべし.
     ヒューリスティクスフィルタを使って迷惑メールを管理しているのですが,最近の捕捉状況は,このグラフの通り. 



     専用メールボックスには94通のメールがあったのだけど,正解率100%でした.スパム認識も100%.かなり良い結果です.

     増えたと言っても,1年半前の様にスパムメールが常時大量に送りつけられてくる状態とは,異なります.


    ブラジルから大量に送られていた時
     15年くらい使っている某プロバイダのメールですが,6年程前にアドレスを変更しました.迷惑メールが多くなって来たから.
     そして,突如として今年の7月から迷惑メールが来る様になりました.

     あまり使ってないアドレスなので,知り合いの何かから漏洩したのかな.
     スパムメールの送信者偽装を防ぐ為のドメイン認証技術にSPF(Sender Policy Framework)という方法があります.
     それが正しく設定されているか否かを調査するiPhoneアプリが公開されたというので使ってみました.

     まずは,settingの中でDNSサーバを指定します.このサーバが信頼性が無いとそもそも意味がありません.
     今回はGoogleが提供するDNSサーバの8.8.8.8を設定しました.そして次の様にメールサーバとヘッダをセットします.


     Submitボタンを押してみると結果が表示されます.

    ...続きを読む

     9月から携帯電話のメアド宛に広告メールが届く様になり以下の様な問題がありました.

    1)停止機能を保有していない.
    2)不要通知をしてからもメールが届く
    3)運営業者か記載されてない

     よって,財団法人日本データ通信協会に,違反メールの情報提供をしてみました.

    違反メールの情報提供
    http://www.dekyo.or.jp/soudan/ihan/

     今回の場合,「特定電子メールの送信の適正化等に関する法律」の以下の2つに違反することになります.

    1)第3条第1項(特定電子メールの送信の制限)
    2)第4条(表示義務)

     さて,今後どのような事になるのでしょうか.協会からは個別に通知が無いそうなので,このまま放置して迷惑メールが停止すれば,それで効果があったと判断できます.


    ●特定電子メールの送信等 に関するガイドライン(PDF 平成22年4月以降)
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/m_mail_081114_1.pdf

    Realtime Blackhole List

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2010/9/21 13:37
     RBL(Realtime Blackhole List/Realtime Blocking List)というSPAMメールのブラックリストを保持するサイトがいくつかあるのですが,その1つに,当サイトが登録されていました.

    検証で使用したサイト.
    http://rbls.org/

    検証結果
    http://rbls.org/ujp.jp



     bogusmx.rfc-ignorant.orgというサイトで登録されているという事なので,そのサイトを訪問してブラックリストからの削除をお願いする.

     依頼作業は簡単で,クリックするだけ。



     それで自動的にリストから削除作業が受け付けられている. 以下の点が不明なので,定期的にチェックしてみる.

    1)自動的にリストから削除される,,,とは思えない.
    2)それなりにチェックされて問題ないと判断されたら,ブラックリストから消えるはず.
    3)どれくらいタイムラグがあるのか,確認したい.


    2022年3月1日現在このサイトは使えないので新しいブログをご覧ください.

    ヒューリスティクス

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2010/4/19 15:14
     アンチ迷惑メールソフト等の売り文句の中に「ヒューリスティックフィルタ(Heuristic Filter)」なんてものがあります.なんか賢い人工知能的なものなのかな?とおもったりするのでっすが,言葉の意味から調べてみます.

     ヒューリスティクスとは次の様なものだそうです.

    1.必ず正しいと言えないが,ある程度正解に近い答えが導ける.
    2.答えの精度は保障されないが導きだす時間が少ない.

     アンチ迷惑メールソフトだと,各ソフトウェア毎に「迷惑メールの特徴」に関する得点を持っていて,それを積み重ねる事で迷惑メールの疑いが高いと判断しているという事ですね. 迷惑メールの場合だと単語,文章,リンク,ヘッダ情報等で判断する様です.

    スパム発信国ランキング

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2010/3/26 13:04
     スペインのセキュリティ会社のパンダセキュリティから,スパム発信国ランキングが発表されました.

    1月-2月のスパム分析: ブラジル、インド、ベトナムがスパム発信国ランキング2010年初のトップ
    http://www.ps-japan.co.jp/pressrelease/n89.html

     昨年10月にまとめた統計「私家版 迷惑メールを出す国ランキング」で現れている国と同等ですね. このラインキングに日本が居ない事は,誇らしい事だと思います.

    ブラジィールdropその3

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2010/1/17 13:50
     独自調査によってうちはブラジルからの迷惑メールが大半だったのでブラジルからのアクセスをdropするようにしたら圧倒的な効果がありました.

     そこで,JPCERT/CCでもブラジルからの迷惑メールの増加に対応して発信者情報の交換をブラジルのCERTと行う様になった様です.

    ブラジルとの迷惑メールに関する情報交換の開始について
    http://www.jpcert.or.jp/press/2010/PR20100108_brz.pdf

     この資料によるとブラジルからの迷惑メールはここ2009年にその前年より倍増している感じですね.
     同資料では日本からの情報提供は既に1月13日に行われている様なので,ブラジルからの提供された情報がどのように後悔されるのか気になります. IPアドレスが後悔されたら,それをFirewallに設定してdropすればよいのかな.
     フィッシング対策協議会から注意喚起です.

    【注意喚起】 携帯サイトを装ったフィッシングサイトにご注意下さい
    http://www.antiphishing.jp/alert/alert1032.html

     モバゲー,ミクシィ,グリー,イクセンを語っているとの事. モバイルサイトでのフィッシングは珍しいのですが,今回見つかったサイトではメールアドレス等の個人情報等を収集している様です.

     イクセン(ixen)というのは知らなかったんだけど,シーエーモバイルが運営しているんですね.アメブロのサイバーエージェントの子会社です.

     キャリアの対策のおかげで総当たりでの迷惑メール配信が出来なくなっているので,少々短いメアドでも大丈夫なのですが,色々なサイトで遊んでいるケータイサイトのユーザは,どこから情報が漏れるようで迷惑メールが到着している様ですね.

    ブラジィールdropその2

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2010/1/7 9:02
     スパムメール対策としてブラジルからの通信を遮断したのが11月7日なので,2ヶ月経過しました.この間に到着した迷惑メールは219通.2日で1800通届いていた初期の頃に比べて大幅に削減できました.
     そこでグラフで実績を振り返ってみます.


     グラフをみて一目瞭然なのは,スパムメールの到着数が圧倒的に減ったという事が判ります. このグラフでは平均化されているので最大20通となっていますが,この頃1日あたり400通程度の迷惑メールが届いていました. 週刊グラフでみると次の通り.


     届かない日もあるようです.
     これで裏付けられるのは,うちの場合はブラジルからのSPAMメールが多かったという事です.

     今回の迷惑メールの特徴は,次の2つです.

    1.サーバに存在した事の無いアカウントへのメール
    2.当ドメインを偽装して送信したメールのエラーメールが戻ってくる

     この1の場合,受取人が居ないのでエラーメールを相手に返しますが,偽装されているので相手が存在しないので返却できません.いわゆるバウンスメールですが規定の回数のリトライ後,削除する様にしています. 面倒なのはメールサーバにウイルススキャナを入れているので,メールが到着する都度スキャンされるのでサーバのCPU負荷が上がります. 

     メール配送プロトコルのSMTPは性善説で作られているので送信者アドレスの偽装が出来てしまうのですが,2の場合それを利用して当サイトのメールアドレスを偽り,未承認広告メールを大量に出している様です.そして送信先のアドレスが無いと当サイトへエラーメールが返送されてきますが,そのアドレスも無いので後は1と同じ現象になります

     これの種類の場合は対策は比較的容易で,メールヘッダにMail DaemonからのDelivery Errorが記録されているので,フィルタリングし削除可能です.

     今回の対策としては当初エラーメールをフィルタリングで定期削除と,バウンスメール化しないようにメールの宛先として使われる存在しない約20アカウントをダミーで全て受け取って作成し,集約して削除を行っていましたが,受け取る時のウイルススキャンの負荷の低減が難しかったので,発信先のIPアドレスを検出し,その傾向からブラジルのIPアドレスをメールサーバ側でリジェクトとしました.

    ブラジィールdrop

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2009/11/7 23:00
     SPAM対策の一閑として,うちのサイトではブラジルからの迷惑メールが多い事が判ったのですが,FirewallでさっくりとブラジルあたりのIPアドレスをブロックしました.

     このグラフを見ると,朝9時過ぎに設定して,それ以降のグラフの動きで効果がわかりますね.
     でもまぁ,ブラジルだけじゃないのので他の国からのメールがガツンときたりしますが,それでも結構効果がありました.しかし,Firewall機能川の負荷が高くなります.
     迷惑メールが送信される国を調べてみました.
     検査対象は我がサイトへ10月27日〜29日に届いた1769通です.Receivedヘッダを抽出し,以下のPerlスクリプトを使用しました.

    アクセス元がどこの国か調べるスクリプト

     昔,調べた時には中国・韓国・アメリカくらいの順番でしたが,今回はこんな感じです.

    1.ブラジル(248)
    2.アメリカ(128)
    3.韓国(125)
    4.ベトナム(120)
    5.インド(98)
    6.ポーランド(66)
    7.ルーマニア(56)
    7.コロンビア(56)
    9.ロシア(53)
    10.エジプト(43)
    11.アルゼンチン(41)
    12.中国(40)
    13.ウクライナ(35)
    13.イギリス(35)
    15.チェコ(32)

    ※国名の後の括弧内の数値は,メール数.

     国別で集約すると97カ国あったのですが,上位5カ国で40%になりました.国内からのメールは15通で同着の25位でブルガリア,モロッコ,トルコと同じでした.国毎に割り当てられているIPアドレスを簡単にFirewallでDrop出来る様になれば拒否率が高くなります...

     ということで,MRTGでグラフ化したスパムメールのグラフです.

     このグラフは5分おきのスパムメール到着数を表したものですが,拒否する事によっての効果を調べてみます.本日現在は,少し少なくなっている後日,経過報告する予定です.

    スパム対策しても・・・

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2009/10/27 11:34
     スパムメール対策として,受信後の処理の最適化を行ってサーバ負荷が下がり一定の効果があったのですが,送られてくるメール数が半端じゃぁありません.

     5分間毎のスパムメール到着数をグラフ化している結果ですが,5分間に288件も到着したりしています. こうなるとスパム&ウィルス判定エンジンが大量に稼働してサーバがメモリ不足気味でとても遅い...

     という事で現在別の対策を投入して効果を計っている所ですが,まずまずの効果がありそうです.
     ひかしそれは根本的な対処ではないので,もっとインターネット側で排除できる様な仕組みを考える必要があるかと考えています.

    スパム対策後の結果

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2009/10/7 23:49
     スパム対策をしました.

     最近は,塩分控えめのライトを買ってます・・・ではなくて,SPAMメールが沢山くるのでサーバの負荷が高くなる現象があったのですが,その対策を行いました.

     これはメールサーバの負荷ですが,SPAMメールが増える事でCPU負荷が高くなっている事が判ります.
     メール到着毎にサーバ上でスパム判定とウイルス検査を実施しているのですが,受信数が多くなるのに比例してCPU負荷が高くなります.

     うちのばあい,ほとんどのSPAMメールは,ドメインを騙って送られたメールのエラーメールで,存在しないアカウントを使われて送信されているので,受信してもエラーを返すんだけど相手も戻してくるので1通のメールが何往復もするという事で負荷が高くなっています.

     ということで,対策を行い,負荷の削減ができました. ただし,到着するエラーメール数は制限できないので,以前よりは負荷が高い状態になっています.
     まぁ,このメールサーバ,2005年に導入したものなので,そろそろ新しいサーバ機に入れ替えようかと思案中です.
     春頃だったかOracle Open Worldのセミナーに登録したのですが,行かなかったんですよね. 行かなかったかどうかは別で,それからというもの,登録した事の無い情報システム系企業からメールがくるのです.

    ・住商情報システム株式会社
    ・TIS株式会社
    ・ネットアップ株式会社
    ・東洋ビジネスエンジニアリング株式会社

     住商情報はメールの巻頭に「このご案内は、先般、住商情報システムがゴールドスポンサーとして協賛いたしましたOracle OpenWorld Tokyo 2009のイベントにご参加・ご登録頂き、スポンサーよりお知らせをお送りすることにご了承頂いている方にお送りしております。」と案内が添えてありました. 入手経路が判る様に説明があり好感度が高いです. たぶん申し込んだ時に,特に何も思わずチェックして許可したんだろうなぁとわかるし.

     その逆はTISでメールの巻末にある解約についての案内に,だと「本メールは、過去に当社主催のセミナーにご出席いただいたお客様、もしくは過去に当社営業担当が名刺をいただいたお客様宛てに配信しております。」と書いてあるのですがTISの営業とコンタクトとった事無いし主催のセミナーに行った事無いんですけど? 入手先を正確に言えないのであれば「未承認広告」をタイトルに入れないといけないのでは?(笑)

     今回はOracleへ専用のアドレスで登録していたのでアドレスの入手先が判ったのですが,同じ悪気の無いメールでもこのように比べると対応力の差がわかるんだなぁと改めて感心しました.

    広告スペース
    Google