わーいのまとめ

つぶやきや気になったことを適当にまとめるブログ

NTT東日本-IPA「シン・テレワークシステム」試してみた件


テレワーク大全

テレワーク大全

  • 発売日: 2020/06/04
  • メディア: 単行本

身元不明のUSBメモリにはご注意を?

落ちていたり、なぜかそこにあったよくわからないUSBメモリをPCに挿すと災いが降りかかりますよというお話(´・ω・`)。

f:id:wainohito:20161004200528p:plain

うん、まぁこれはUSBメモリに限らずSDメモリカードなんかも同様なわけですが、出所不明で身に覚えの無いものをうっかりPCに繋げると、OSがウイルスに侵食されちゃったり、PCのファームウェアにウイルスが仕込まれちゃったり、最悪のケースではPCが物理的に破壊される結果になったりということが、当り前に起きてしまいかねない世の中になっているということなんですよね...(´・ω・`)。OSがウイルスにヤラレちゃうのは、アンチウイルスソフトとかでラッキーなら防げるかもしれませんが、PCのファームウェアや物理破壊に至ってはもうアンチウイルスソフトでどうこうできる領域じゃないんですよね...。

ファームウェアに仕込まれるウイルスなら、まだOSドライバを経由してごにょごにょされる時点でDefensePlatformとかEMETとかホワイトリスト系のセキュリティソフトで止めようもあるんですけど、物理破壊系はソフトウェア的に負荷掛けるならまだしも電気的になんかされたらもう完全にお手上げなんで、うかつなことをしないに限るということになるんですね。USB焼かれるだけならまだしもマザボがいっちゃうとどうしようもないです、ほんとに。

こういうのは中身がわかれば威力業務妨害とか器物損壊(未遂?)とかで、犯罪化することもできそうな気がするんですけど、たぶん日本の警察でこういうの届けても何も調べてくれなさそうな気がして仕方がないんですけど、実際どうなんでしょうね。むしろ交番のPCにうっかり挿しちゃってやられちゃう可能性が高いような気もw それくらい残念なことに日本の警察のIT犯罪対応力への期待値は低いと言わざるを得ないのですが、最近は変わってきているんでしょうかねぇ...。

インターネットが完全に日常生活の中に浸透してきているので、IT領域の犯罪についても交番レベルで初期対応が適切にできるようにぜひ日本警察の進化を期待したいと思いつつ、部屋の掃除をしたら出てきた身に覚えの無いUSBメモリの中身をどう確認しようか悩んでみたいと思います(´・ω・`)。


マルウェアは火曜にメールでやってくる?

いや、まぁ火曜日に送信されてくるのが多いのは、もしかしてUSのbotネットが稼働する現地の月曜日なのかもしれないなとか思うのでいいとして(よくないけど)。

f:id:wainohito:20160923072546p:plain

メールでマルウェアが送られてくるから、友人とのファイルのやり取りはファイル共有サービスを使いましょう?マルウェアの感染に気付くのが遅れるケースもあるから定期的にログインパスワード変更しましょう?ESETはアホですか(´・ω・`)

以下が本家のURLだけどマジでそう書いてある...(´・ω・`)

https://eset-info.canon-its.jp/malware_info/news/detail/160920_2.html

重要なのはメールは送信元を偽装しやすく、Windowsは偽装されやすい拡張子の仕組みを持っているということなわけだから、友人と安全にファイルをやり取りしたいなら、信頼できるアカウントシステムを前提とした直接のファイル送受信を推奨するのが筋なんじゃないでしょうかね(´・ω・`)。例えばSkypeでもいいでしょう。知ってる相手をあらかじめ登録してのやりとりになるし、拡張子の偽装はしにくい(というか相手が確定しているわけで、ちゃんとアンチウイルスソフトいれてもらってればいいわけで)でしょ。知らない相手のは無視しちゃえばいいし。そっちの方がよっぽどいいんじゃないの?

ファイル共有サービス使って、そのサービスがアンチウイルスやってくれているとしても、アップロードの通知メールが偽装されて別のところに誘導されたら意味ないし、そろそろメールの信頼性そのものをちゃんと議論提起した方がセキュリティ会社としていいんじゃないんですかね...。

というか、マルウェアに感染したことに気付かない可能性があるから定期的にログインパスワード変えろとか、定期変更ですら識者の間で議論になってて、公式にNISTがサービス提供側はパスワードの定期変更をユーザに求めるべきではないとしているのに、ESETさんがそんなこと言っちゃいますか。しかも感染してる前提の状態で変えて意味があるのんですか...(´・ω・`)セキュリティやってる会社として大丈夫なの?

なんだか心配になっちゃいますよ...?個人的にはもうESETからDefensePlatformに乗り換えてるし困る何かもないんですけど、セキュリティをやってる会社がヘンな提案しちゃうのはやっぱりちょっとマズいんじゃないかなぁと思いますね...(´・ω・`)


Defense Platform 標的型攻撃対応セキュリティ導入ガイド

Defense Platform 標的型攻撃対応セキュリティ導入ガイド

Appleを騙るフィッシングメールが来てる件

iPhone7の予約等で世の中騒がしい時期に合わせて来た感じですね(´・ω・`)

f:id:wainohito:20160805214225p:plain

うちに届いたのは2009年ごろ利用したアメリカの転送サービスに登録したメールアドレスでした(´・ω・`) これシステムがやられちゃってる可能性が高いのかなぁ...メールソフトからの流出ならまだマシなんだけど...。まだ営業しているサイトなので一応名前は伏せておきますが、ちょっと心配ですね...。サイトの方にはお問合せフォームから連絡済みです。返信が来るかはわかりませんが、必要があれば情報は追記します。

iPhone7予約している方はうっかりクリックしてしまわないよう注意してくださいね。

f:id:wainohito:20160911175542p:plain


CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

福岡銀行を騙るフィッシングメールが来てる件

ということで、今回のは貴様とか言ってくれちゃってますので、すぐにおかしいことに気付けますね!それにしてもなんというか誰もチェックしないんですかね、いや、チェックされて自然になられすぎても困るわけですけども(´・ω・`)。そして今回はSPFがfailになっているので、それなりに設定されている模様w さすが銀行さんという感じでしょうか。有名企業さんは早めにSPFDKIMを実装して、ちゃんと対処しましょう?ヽ(´ー`)ノ


最新 詐欺撃退マニュアル

最新 詐欺撃退マニュアル

12歳からのインターネット

12歳からのインターネット

CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

Vプリカを騙るフィッシングメール来てます

f:id:wainohito:20160805214225p:plain

こういうのパターン化されてるんでしょうけど、日本語の不自然さなくなってきてますねぇ(´・ω・`)

怪しいメールは開くなとかいう指導って本当に意味があるんでしょうかねー?そんなこと言うより、これもそうなんですけど、SFP情報マトモにないんですよね。付けましょうよ、ね?(´・ω・`)

f:id:wainohito:20160811233442p:plain

リンク先は最後がccになっていますねー。

f:id:wainohito:20160811233511p:plain

ということで、こういうパターンにだまされないよう、リンク先を踏む前にチェックをしっかりしましょうという感じですかね?(´・ω・`) そういうこと言ってると短縮URL使われて、先が見にくくなって対応されている未来が視えます...。(げんなり


最新 詐欺撃退マニュアル

最新 詐欺撃退マニュアル

12歳からのインターネット

12歳からのインターネット

CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

CxO(経営層)のための情報セキュリティ―――経営判断に必要な知識と心得

ハンゲームを名乗るフィッシングメールが来た件

f:id:wainohito:20160805214225p:plain

ということで、届いたフィッシングメールを晒していくテスト。ハンゲームなんかやってないのにいつもの某所流出アドレス宛にこんなメールが届きました。

f:id:wainohito:20160805214424p:plain

ハンゲームやってないんで、こういうメールフォーマットなのかはわりませんが、一見するとそれっぽくおかしい文面感(外人の誤訳系的な?)もないので、ハンゲームにアカウントある人なら「うわ、なんかやられちゃったかな?」とうっかりリンククリックしてしまってもおかしくなさそうですね?もちろんリンク先は画像テキストにある正規サイト(っぽい)URLでなく、似た様な別ドメインに実際には飛ばされるようになっています。

今回あれ?と思ったのは差出人がhangame.co.jpから来ていたのにSPFのエラーもなにもないことでした。よくあるフィッシングメールはyahooなど大手プロバイダのアドレスから送信者名だけを変更してxxxx@yahoo.co.jpとかのアドレスで送られてくるので、SPF的にはおかしくなかったりするのですが、今回のメールのヘッダは以下のようになっています。(一部マスクしています)

f:id:wainohito:20160805214947p:plain

今回のアドレスはChina UnicomのIPアドレスで、hangame.co.jpとはほど遠い感じなのに、ドメインを使っていながら、うちのメールサーバのSPFチェックのエラーヘッダが付いてない...。一応説明しておくとうちではフィッシングメールの判断がしやすいように、SPFをチェックしておかしい場合にはヘッダにErrorを、正常な場合にはPassをメールサーバで明示的に追加するようにしています。何も付けてないということはhangame.co.jpは今時SPFすら付けてないドメインということで(まぁ結構多いんですけど)、これではメールの内容と合わせて引っかかる人が出てもおかしくないなぁと思ってしまうわけですね。実際digでDNSの情報MXやTXTチェックしてみましたが見事に何もつけてませんね(´・ω・`)。

一般の利用者がSPFをチェックすることはなくても、せめて事業者はできる限りSPFDKIM、DMARCを正しく設定して、フィッシングに使われた時に大手プロバイダレベルでならSPFエラーで弾かれるくらいの対処をしておくべきではないかと思います。そうすればこんなメールに引っかかることはなくなるんで。こういう杜撰なメールサーバ設定で運用している事業者は滅びるといいですねぇ(´・ω・`)。いや、マジで。

紹介する書籍を探してみたら、メールサーバ関連ってマジで最近出てないんですね...(´・ω・`)。ちょっとびっくりした...SPFDKIMの説明有りのメールサーバ解説本が検索できない...。まぁそういう時代になったってことですかねぇ...。しかたないので簡単な説明のURLでご紹介です。

www.cuenote.jp


Postfix実践入門 (Essential Software Guide Book)

Postfix実践入門 (Essential Software Guide Book)

3分間HTTP&メールプロトコル基礎講座

3分間HTTP&メールプロトコル基礎講座

実践!  CentOS 7 サーバー徹底構築

実践! CentOS 7 サーバー徹底構築