「[日本郵便]集荷依頼申込み完了のお知らせ」を騙るスパムメール。

 追記: 2 通めをもらったんで追記しやした。 (@20:47)
 久々のスパムネタ。

 ここのところ,メインのメールアドレスに急にスパムメールが増えた。当該メールアドレスは,ごく近しい人と銀行関係くらいにしか使っていないのだが,どこかで漏れたかな?まあ,長年同じアドレスを使っていればやむを得ない仕儀である。 “「[日本郵便]集荷依頼申込み完了のお知らせ」を騙るスパムメール。” の続きを読む

気を付けよう,ランサムウェア。

投稿アップデート情報  追記(12/7) 追記2(12/8)

 怖いですねぇ,ランサムウェア。最近,国内で増えてるみたいですね。記事も増えてます。こんなんとかこんなんとか大分前にランサムウェアの記事読んだ気がするけど,どこだったかな。昨日はリアルワールドが忙しかったので,今になって探してみたんだけど,これでしたねぇ。 ☞ 2015年6月の呼びかけ “気を付けよう,ランサムウェア。” の続きを読む

「日本年金機構から個人情報 125 万(?)件が流出」の件。

 これだよ。夕べもあちこち,アサってて,出るのは長ーい溜息ばかりだったんだが,あまりにも不毛だし,疲れてたんで,早々に床に入った。でもって,朝見たら,セキュリティホール memo さんにまとめが出ていた。まだまだ,のちのち追記は出るだろうが,これね→「日本年金機構から個人情報 125 万件が流出」。

 なんか,末尾の「(もう寝る)」という書き込みを見ると,彼も私と同じ感情に襲われたように見えるな。

 こういうのを「頭痛がしてきた」と表現するが,頭痛ではおさまらないよナァ。

 この記事は英語版は書かない。書かなくても読む人は読むだろうが,あえて全世界に恥をさらす気になれない。身内の恥を聞かれもしないのに吹聴して回るようなものじゃないか。

 しかし,自分が不始末をしでかしたんなら,恥をさらしてでも早急に対処するのが当事者の義務と責任だと思うのだが,いろいろ読んでると,どうも隠そうとしたんじゃないかと勘ぐってしまう。まわりへの影響が大きいから隠すというスタンスは確かに存在するが,それは,公開した場合より被害を小さくでき素早く解決できるという前提での話だ。その場合でも,事態が収拾してからは経緯を公開すべきダロ。

 無能な集団が,不毛な対処を続けていても,傷口は広がるばかりだ。

 書いてたら,えんえんと愚痴を垂れ流しそうなので,もうやめるワ。ハァーッ

バッファローダウンロードサイトのウイルス混入について。

投稿アップデート情報  追記(6/7)

 バッファローにユーザ登録してあるので,昨日付で,「バッファローダウンロードサイトのウイルス混入によるお詫びとご報告」というメールが来た。

 ここまでの詳細は<ご参考:これまでの経緯>に記載がある。またもや,Adobe Flash Player の脆弱性利用のネットバンキングがらみの話のようだ。

 当該日にバッファローのダウンロードを使った方は,自PCをチェックしたほうがいいだろう。バッファローのメールでは,Infostealer.Bankeiya.Bというものだとなっているが,これはシマンテックの命名で,他のウイルス対策ソフトでの名称は,virustotalなどの情報でわかる。たとえば,こんな感じ

追記(6/7):
 バッファローから,続報が出ている。
ダウンロードサイトのウイルス混入に関するご報告(6/5付続報)
 さらに続報(6/11に追記)。
ダウンロードサイトのウイルス混入報告に関する訂正とお詫び(6/9付続報)

「.do が時節柄気になる~」にふいちゃった。

 くりくりさんのコメントに,「おなかいっぱいです」と書きつつも, Gigazine の「IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし」内の「IEのFlashプラグインを無効にすることが有効な対策」という表現にふいちゃった件も書き添えたが,も1個,セキュリティネタでふいた件を書いておこう。

 例によって,徳丸さんとこを見に行ったら,「三井住友VISAカードのフィッシングサイト」って話で,よくあるフィッシングメールの検証をやってくれていた。

 まっ,ためになる話ではあるんだがよくある話だし,私としては,検証結果より,彼が使っている検証環境が,どんなものかのほうを教わりたいなと思う,今日この頃,ナンチャッテ。「中身を見てやろうと検証環境を起動しました。閲覧しただけでマルウェアに感染するかもしれませんので…」と書かれてあるもんで,ハハハ。

 で,最後の一文でふいちゃった。
   「拡張子の .do が時節柄気になるところではありますね。」
だってさ。だよねー。もしかして,これが書きたいばっかりに,このネタで記事を書いたのではないかと,勘ぐったりして(爆)。

ハーーァ。

 レベルは違うけど,いろいろ「ハーーァ」な話を順不同で列挙。列挙というと辣韭と書きたくなっちまうなぁ。 —> 我ながら,アホだね(汗)。

 正月でバタバタした後,寝込んだせいでいろいろセキュリティネタを書く元気がないので,あちこちチラチラ見ながら「ハーーァ」と溜息をついている始末。ハーーーーーーーァ。

BOT for JCE.

 セキュリティネタを2つ。

 ひとつ目は, Mozilla の MFSA 2013-103 の件。「重要度:最高」になってた。すぐにアップデートしよう。

 ふたつ目は,表題の件。
 さっき, AWStats のスタッツを見たら,たった1日で HTTP エラーコード 400 がメチャ増えてて,ビックリ。

 アクセスログを調べてみたら,すべて同じ IP アドレス ( xxx.254.253.246 こういう場合さらしちゃっていいのかな,有名どころの不正アクセスサーバとは違うみたいだが。よくわからないので,頭だけ伏せとくワ ) からでずらっと POST かつ 400 が並んでいた。調べたところ, JoomlaJCE というコンポーネント狙いのボットらしい。

 というわけで,我が家は 400 と 404 でもあるし,直接の関係はないわけだが,いろいろ読んでみると, Joomla 1.5 上の JCE1.5.7.4 の脆弱性狙いの攻撃のようで, Joomla にしても JCE にしても,それ用に対処されたパッチはすでに出ているようだ。しかし, Joomla 遣いのサイトにおいても,我が WordPress 同様,セキュリティパッチが施されていないサイトは多い模様で,攻撃されたら危ないよというのは多いらしい。メソッドが POST だから,何か悪いものを仕込んでやろうとしているんだよネ?うまくいったら,そこから次の段階で盗み出しとかに進むんだろう。

 Joomla 本体をアップグレードするなり, JCE を最新にするなりが対策としては手っ取り早い。各サイトで事情もあろうが,しっかり,取り組もう。

今更ながらのアクセス制限-#2。

 半年くらい前に,こんな記事を書いた。 wp-login.php に対するアクセス制限の話だ。その後, SSL を有効にして,モバイルアクセスもできるようにしていたのだが,本日,また少し変更した。

 あのときに作った, access-denied.conf を開けて以下のように変更した。見ていただくと分かるように, wp-login.php と同じ制限を wp-admin にも加えたわけだ。

旧:
<Files “wp-login.php”>
  Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> 新: <Files "wp-login.php">   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名 </Files> <Directory "drive_DC:/WEB/htdocs/wp-admin">  <<--- drive_DC:/WEB/htdocs/ は自鯖のドキュメントルート   Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス   Require host モバイルのホスト名   <Files "wp-admin-ajax.php">     Require all granted   </Files> </Directory>  このルールから, admin-ajax.php を外しているのは,「Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目」に書いてあったからだが,実際に調べてみると,我が家のプラグインのいくつかも, wp_ajax_(action) フックを使用していたので,前もって, wokamoto さんのメモに気づいていてよかったと思った。でなかったら,きっと,ハマりまくっていたことだろう。

 変更は,ちゃんと効いている。メデタシ。 (^^)

2013年4月マイクロソフト定例。

投稿アップデート情報  追記(4/12)

 2013年4月のセキュリティ情報が出ました。緊急が2つもあります。Adobe Flash Player の新版その他も出ましたね。

 ここのところ,いろいろセキュリティ関係で気になる記事があったのだが,なんか体調がよくないもので ― 鼻炎は,今年のデビューだが,春のわが身にはありがちなこと ― 放りっぱなしになっている。覚え書として,リンクだけでも貼っておくかなあ。

  1. ソーシャル詐欺 : 古い手口を再利用してブラウザ拡張機能のインストールを誘導 #1 #2
  2. BHEK2 による大量改ざん #1 #2 関連記事
  3. eBook Japanの発表資料の話
  4. 「T-SITE」に不正ログインの話
  5. 旧バージョンの Parallels Plesk Panelの脆弱性の話
  6. 昨年からちょくちょく出るBINDの今年になってからの話

以上,順不同。
 他にもいろいろあるけど,上記の1.2.3.4.件は,サーバ構築をしていない一般ユーザにも関係ある話かなと思う。5.6.については,レンタルサーバなんかだと,業者が対応してくれないと,どうしようもない気がする。とにかく元気がないので,細かく読めてないんだが,こうやって書いていると,キリがないのがよくわかる。やれやれ。

追記(4/12):
 2013年4月定例の関係で,Windows Vista,Windows Server 2008,Windows 7,および,Windows Server 2008 R2 において,MS13-036 2823324 適用後の問題についてというのが,あるらしい。関係のある方は対処を。

Your eTicket。

 この間,invite+~@facebookmからのメール。というのを書いた。で,その中に

> 私の憶測が正しい場合に限っての話だけど,営業の方とか,ついうっかり,仕事用の携帯でやっちゃいけない
> 私用のfacebookアクセスして,「問題のリンクをタップ」とかしたら,最悪だねぇ。

と書いたけど,仕事関係についてのSNSの使い方は,こんなのも見とけば,「設定」なんかもしっかりやる気になるんじゃないかと思うよ。話の結末は,ちょっと,釣り気味で,どうかと思ったけど。
 まぁ,見ようと思う人は,最初から気をつけてる人だというところが,この辺の話の困ったところなんだが。知人にセキュリティの話をしてても,その辺が困るんだ。いろいろたとえ話をしても,実際に痛い目に合わないと,ピンとこないみたい。遭遇した痛い目が,「灸を据えられる」レベルで済めば,御の字だが,そううまくいくとは限らないからなあ。
 とはいえ,注意を促すといっても,今は仕事じゃないから,その点は昔に比べると,気は楽だ。

 今日も今日とて,Twitterを眺めてたら,Fujisawa さんのこんなのがあって,思い切り苦笑してしまったんだが,実務屋としては笑えないだろうな。

 そういえば,今日,「Your eTicket」という題名の英文フィッシング・メールを受け取った。公開しているメールアドレス o6asanATyahooDOTde に来たもので,yahoo が端から[Bulk]付で回してくれてたから,「フーン」で済んだけど,日本語メールだったらやっちゃったかもしれない。起き抜けだったし(爆)。文面は,よくある「購入ありがとうございます」の英文版。
 文中の http://www.delta.com にリンクが貼ってあるが,跳び先は,デルタ航空の正規のホームページ。ソース等を調べただけで,クリックはしてませんよ!!! http://ja.delta.com/ じゃなくて,http://www.delta.com 。ただし,ついてた添付ファイルが,怪しげだった。 eTicket.zip というアーカイブ。展開してみたい誘惑にかられたけど,やめておいた。やるんだったら,それ用にPCを用意してからじゃないと,ヤバイ。なんか感染したら,復旧のほうが手間だし(汗)。

 で,デルタのホームページにも,案の定,お客様へのフィッシングメールに関する警告というのがあったが, zip の添付ファイルというのは警告にないな。こういうメールって,「下手な鉄砲も数うちゃ当たる」方式だと思うが,うっかり, eTicket.zip をダブルクリックしたりしたら,最悪だな。まぁ,大概は,これにウイルスとかが仕込まれているんだろうから。

 そういえば,差出人のドメインは, primrosehomesinc.com になっていたけど,これ自体は,まともなドメインようだ。ただ,ヘッダの詳細を見ると, SPF について,
     Received-SPF: softfail (transitioning domain of primrosehomesinc.com
     does not designate xxx.xxx.xxx.xxx as permitted sender)
と softfail がでている。 primrosehomesinc.com の transitioning domain は xxx.xxx.xxx.xxx を使うように設定されていませんということだから,何か変なことがあるわけだ。実際,Twitter なんかも SPF 対応だが,お知らせメールの場合なんかは
     Received-SPF: pass (domain of yyyy.twitter.com designates zzz.zzz.zzz.zzz as permitted sender)
と,ちゃんと pass になっている。

 でも,寝ぼけ眼でメールを見るときに,いちいちここまでヘッダを見ないからね。気をつけなくちゃ。