Previous Topへ Next

OSXのtips3-7

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

Adobe Readerの深刻な脆弱性をカバーするアップデートが出ている

Adobe製品のAcrobatファミリー、FlashPlayerなどに深刻な脆弱性が見つかっている。
詳細はこちらまで。

Flash PlayerとAdobe Readerの最新版が公開、危険な脆弱性を複数解消

記事の詳細を引用しておく。

『アドビシステムズは2009年7月31日、Flash Player バージョン9.xおよび10.x の最新版となるFlash Player 9.0.246.0および10.0.32.18を公開した。最新版で は、危険な脆弱(ぜいじゃく)性を複数修正。一部の脆弱性では、悪用した攻撃 (ウイルス)が確認されているため、同社ではすべてのユーザーに対してアップ デートを推奨している。また、Adobe ReaderおよびAcrobatについても、2009年8 月1日に最新版を公開する予定。

 最新版のFlash Playerで修正された脆弱性の一つは、同社が7月22日に公表し たもの。データの処理に問題があるため、細工が施されたFlashファイル(SWF ファイル)を読み込むと、中に仕込まれた悪質なプログラム(ウイルスなど)を 実行される恐れがある。そのようなSWFファイルを埋め込んだPDFファイルやWeb ページを開くだけでも、ウイルスなどを実行される危険性があるという。
 実際、セキュリティ企業各社によれば、今回の脆弱性を突く悪質なPDFファイ ル(PDFウイルス)を確認しているという。脆弱なFlash Playerがインストール された環境で、このファイルを開くとウイルスに感染。特定のサイトから別のウ イルスを次々とダウンロードして、そのパソコンを乗っ取ってしまう。この脆弱 性については、Flash Player関連のコンポーネントを含むAdobe Readerおよび Acrobat 9も影響を受ける。』


例によってwebなどから感染した任意のコードを実行されてしまうという危険な脆弱性で、しっかり悪用したPDFファイルも確認されているという。

これについてFlash Playerのアップデートがこちらで公開されていた。
Flash Player

Flash PlayerだけでなくAdobe ReaderなどのAcrobatファミリーにもパッチが出たようだ。

これをまだ当てていない人は至急当てた方がいい。
最新のAdobe Readerのバージョンは9.1.2だ。
ただ気になっているのはこの脆弱性の性格上、プラットフォームに関係なくMacなどにも影響がありそうなところだが、Mac版向けのパッチはまだだということだ。

ここいらのきちんとしたAdobeの見解を聞きたいものだ。






Adobe Readerをインストールしている人はこういうアラートを受けた筈だ





上記のようなバルーンをクリックするとアップデートのインストールが始まる
Adobe Readerのヘルプメニューから「アップデートの有無をチェック」を
クリックして確認してもいい





Adobe Readerのバージョンを確認しよう
最新バージョンは9.1.2だ



2009年8月4日





anchor

Adobe Readerの脆弱性に対応したアップデートのモタモタ・ゴタゴタがやっと解決した(のかもしれない)

2009 年 8 月 4 日
Adobe Readerの深刻な脆弱性をカバーするアップデートが出ている

など脆弱性がいろいろ見つかってターゲットにされているAdobe Readerだが、
「悪用した攻撃 (ウイルス)が確認されているため、同社ではすべてのユーザーに対してアップ デートを推奨している」
という割りにはアップデータがグダグダで、ストレートにアップデートできないケースが多々あった。

が、どうやら私の環境ではストレートにアップデートができるように改善されたようなので、改めてAdobe Readerのアップデートを推奨しておく。
現時点での最新バージョンはMac版、Windows版ともに9.1.3、8.1.3なので、このバージョンに達していない旧バージョンを使用している人はすぐにアップデートされたい。

アップデートメニューが見つからなかったり(Mac版)、一度9.1.2から9.1.1にバージョンダウンしないとアップデートできなかったり(Windows版)とかなりgdgd方面の運用をしていたAdobeだがどうやら普通にアップデートできるようになってきたようだ。

もしアップデートメニューが見つからない場合は、一度Adobe Readerをアンインストールして、最新版をダウンロードすれば何とかなる(ものと思われる・・・今でも全ての環境をテストしたわけではないので、まだgdgd状態は残っているかもしれない・・・Adobeに関してはどういう種類の確信も持てないので、多分そんな感じじゃないだろうかという憶測記事しか書けない)





Adobe ReaderのWindows版のアップデートは「ヘルプ」メニューの「アップデートの有無をチェック」から





v.8.1.2を使用しているユーザにはv.8.1.3アップデータがかかってくる





ただしAdobe Readerの最新版はv.9.1.3なのでこの際v9に上げてしまうのもいいかもしれない
Adobeのサイトに行ってOSのバージョンと言語環境を入力する





すると最適バージョンを選択してダウンロードリンクに誘導してくれる





InternetExplorerを使用している場合はこういうアラートが
出るのでダウンロードのブロックを解除する
面倒な機能だがWindowsの場合は必要な機能だからしかたないと割り切るべし





ダウンロードしたバージョンはv.9.1.1だったりするので
「ヘルプ」の「アップデートの有無をチェック」で最新版をチェック
最新版は現時点でv.9.1.3





以下はアップデータの指示にしたがてひたすらOK
administratorでログインしていない時には管理者権限を要求されることがある





こうしてアップデートが完了したらバージョンナンバーを確認する
9.1.3になっていればOK





Mac版の場合は同じく「ヘルプ」から「アップデートの有無をチェック」でアップデートを探せる
このメニューが見つからないという症状があったが概ね治った(のではないかと思われる)





Mac版も無事9.1.3に上がった



2009年8月20日









セキュリティに関するtips

anchor

MacOSXのDNSを乗っ取るようなトロイの木馬が発見された(といううわさ)

トレンドマイクロがMacOSXのDNSをコントロールして攻撃者の望むとおりのwebサイトに誘導してしてしまうトロイの木馬を発見したと、セキュリティレスポンスブログで公表している。

Mac OS X DNS-Changing Trojan in the Wild | Trend Micro | Malware Blog

問題のトロイの木馬はOSX_JAHLAV.D.と名付けられた6月に発見された同名のマルウエアのバリエーションとのこと。
MacCinemaインストーラを偽装して(あるいはQuickTime Playerアップデータを偽装して)配布されている。

これを間違ってインストールしてしまうとDNSをコントロールされてしまい、攻撃者の意図するDNSに飛ばされてフィッシングサイトなど悪意のあるサイトに誘導される可能性があるという。

対策としてはトレンドマイクロがMac対応製品を出していない現時点では、他社からレスポンスが出てこないので「ウワサにおびえる」以外に何もない。
あまり素性がしれないサイトから「ビデオの視聴に必要だから◯◯をインストールせよ」といわれても真に受けないように気をつける以外にない。

これまでMacに関して非常に不熱心だったトレンドマイクロしか今のところ情報源がないので、情報の確度も含めて何もウラが取れていない。
もしガセでないなら、ちょっと心配な話なので一応取り上げておく。




2009年8月13日









セキュリティに関するtips

anchor

Windowsのセキュリティパッチがまた大量に出ているので、漏れの無いようにかけること

Windowsの定期アップデートなのか、またセキュリティパッチが大量に上がっているので、洩れないようにかけること。
最近いろいろアプリケーションにも脆弱性が立て続けに見つかっているから、気をつけた方がいいと思う。
今回はWindowsUpdateをかけた後でまた別のUpdateがかかってきたから、見落としの原因になるかもしれない。

なお、「最近のWindowsUpdateはそんなにクリティカルなものはないから多少飛ばしたって問題はない」ということを言う人もいる。
先日話した元マイクロソフト社員という人もそんなことを言っていた。

これについてはいろんなことを言う人がいて実のところわからない。
しかししっかりゼロデイ攻撃は用意されていたりするから、私は「大したことないからかけなくてもいい」なんて思うことはできないのだが、どうなんだろうか?
真実は「薮の中」だ。






WindowsUpdateに大量のセキュリティパッチがかかってきた
私は神経質にかけた方が良いと思っているのだが





そのWindowsUpdateをかけた後にさらにオートアップデートで
追加のセキュリティパッチがかかってきた
これも合わせてかけておく



2009年8月17日









セキュリティに関するtips

anchor

シマンテックのウイルス情報2題

シマンテックから久しぶりに立て続けにセキュリティレスポンスのプレスリリースが来た。
またシマンテックがやる気を出してくれたのなら嬉しい限りだ。
それはともかく、その内容をできるだけ速くお伝えしたいので、転載になるがあしからず。



無料オンライン映画ブログが、WindowsとMacにトロイの木馬を配布



インターネットに詳しいユーザーは、無料映画をオンライン上で検索して鑑賞していますが、 それらのユーザーは知らない間に悪意のある攻撃者の罠にはまっている可能性があります。
攻撃者は、公開された新作映画を活用して、マルウェアを配布する罠をしかけており、 WindowsとMacの両方のユーザーがこの攻撃を受ける危険性があります。

Symantec Security Responseで発見した内容としては、有名なウェブサイト上にブログを開設し、 ユーザーを騙しているのですが、実際マルウェアをホスティングする悪意のあるウェブサイトに リダイレクトされます。

ユーザーは、2009年4月に公開された映画「Obsessed」をオンライン上で無料で見るために、 「movie」、「free」、「video」、「online」、「watch」などのキーワードと映画名を一緒に検索する と考えます。例えば、“obsessed movie online free full video”という文で検索すると以下のような 検索結果が表示されます。

もし、ユーザーが最初の検索結果の中の一つのリンクをクリックすると、blogspot.com上に 掲載されたブログに誘導されます。

ユーザーが動画再生ウインドウのように見える画像を一度クリックすると、コーデックのダウンロードを 開始しますが、実はこれは偽のコーデックです。更なる調査により、blogspot.comは、複数の攻撃者が 似たようなブログを使って悪用していたことが判明しており、似たようなテンプレートが使われている ことを示唆しています。

例えば、以下の画像は、映画「InkHeart」をポストしたブログです。このブログは、上記のサンプルで 使われたテンプレートに似たものを使っており、マルウェアをホスティングしているウェブサイトにユーザーを リダイレクトします。これらのブログは、通常、様々な誘導先を使ってユーザーを悪質なサイトにリダイレクトし、 サイバー犯罪者が最終的にマルウェアを配布するサイトを継続的に変更することが可能になっています。

興味深いことに、ユーザーがリダイレクトされた悪意のあるサイトは、Windowsのみならず Mac OS向けにもマルウェアを配布しています。Windowsのブラウザエージェントには Windows OS向けのトロイの木馬を、MacのブラウザエージェントにはMac OS向けのトロイの木馬 を配布します。

上記の画像は、同じURLがInternet Explorer 8向けにWin32の実行ファイルを配信し、Mac OSが 使用されている場合にはSafari 4向けの.dmgファイルが配信されていることを示しています。

Symantecのアンチウイルス製品は、この脅威をウィンドウズ向けには「Trojan.Fakeavaler」及び Mac向けには「OSX.RSPlug.A」として検知します。Symantecのお客様は最新のアンチウイルス定義に 更新することで、この攻撃から保護されます。



ということなのでMacだから安心というわけではない。
これは以前ここでも紹介した「Macで利用できるコーデックをダウンロードさせる手口」のバリエーションだと思う。
気をつけていれば、問題ない気もするがこういうシロウト臭い手段にころりとだまされる人もいるから、こういう攻撃が奏功しているということなんだろう。

もうひとつ出ているセキュリティレスポンスのプレスリリースがこちら




Skypeの通話を録音するトロイの木馬

シマンテックの研究員は、SkypeのVoIPユーザーをターゲットとする トロイの木馬のソースコードが公に公開されていることを発見しました。
このトロイの木馬は、Skypeの通話を記録することが可能で、その 通話を記録したMP3ファイルを攻撃者に送信する機能をもっています。
これは、実質盗聴として機能しており、Skype電話の秘匿性を侵害 しています。

シマンテックにより、このトロイの木馬はTrojan.Peskyspyとして検知 されています。Eメール詐欺や他のソーシャルエンジニアリングの 手法などでユーザーを欺き、コンピュータにダウンロードさせます。
コンピュータがひとたび侵害を受けると、この脅威はコンピュータで 音声処理を行ない、通話データをMP3ファイルとして保存する アプリケーションを活用します。MP3ファイルはインターネットを 通じて、あらかじめ定義づけられたサーバに送られ、攻撃者は録音 された会話を聞くことが可能です。MP3ファイルとして通話を録音 することで、音声ファイルの容量を少なく保つことができます。
すなわちネットワーク上に送信されるデータ容量をより少なくする ことで、転送速度を速め、検出を避けることができます。

トロイの木馬は、予定されたアプリケーションの振る舞いを変更する ために使われるWindows APIのフックキングの技術をターゲットに しています。これは、マイクロソフトが音声アプリケーションによって 利用されることを意図したものです。コンピュータがこのトロイの 木馬に感染すると、フッキングの技術を通じて、会話はSkypeや 他の音声アプリケーションに届く前に盗聴されてしまいます。

シマンテックでは現在のところ、この脅威によって引き起こされる 危険性は低いとみています。初期の段階で拡散している証拠は 発見されていません。しかし、ソースコードが公開されているため、 マルウェアの作成者は、このような機能を、自分のカスタマイズした 脅威に組み込むことができます。シマンテックではユーザーに対して、 最新のセキュリティソフトのインストール、またはアップデートを 推奨しています。また、疑わしいEメールのリンクをクリックしない よう呼びかけています。


もともともSkypeは形態は電話に似ているが、通信そのものの秘匿性はメールなみで、これをタップされたからって「プライバシーの侵害だ」とわめくのもおかしな話で、それを録音するトロイの木馬が出ても、そういうリスクも込みで無料で使える電話として利用するべきだと思う。

本当に秘匿するべき通信はSkypeではなく電話でするべきで、洩れたって別にかまわないようなグリーティングのような会話をSkypeでやるべきだと思う。

そういってしまえばこれも大騒ぎするような話でもないとも言えるが、この話の肝はそういう部分ではなくて、こういう音声データの受け渡しのような結構システムの奥深いところのAPIまでタップしてしまうようなトロイの木馬がバラまかれているということだと思う。
Skypeが盗聴できるならもっと違うものを盗聴することだってできるかもしれない。
内蔵マイクや内蔵カメラだってタップできるかもしれない。
さらに言えばタップできるのはAVデータだけではないかもしれない。

キーロガーのようなこともできるかもしれないし、ファイルシステムイベントとかセキュリティログとかそういうところまで盗み見る技術に応用できるかもしれない。

そうだとすると「大して大騒ぎするような話ではない」なんて言ってられないかもしれない。

これ自体がどうこうよりも、今後の経過に要注意な警告だと思う。




2009年8月30日









セキュリティに関するtips

anchor

ノートンの偽ウイルス対策ソフトがあるって話だが・・・・

ITニュース系で話題になっているが、アメリカのシマンテック社の社員が運営するセキュリティブログで、
「Nortel AntiVirus」
という偽ウイルス対策ソフトに注意を喚起している。これ略して「NAV」ということになる。
オリジナル記事はこちら。

Nort “what” AV? | Symantec Connect
(「ノート・・・何AV?」という感じか)

Norton2009にホームページもアプリのUIも「そっくり」だということだが、どうだろうか。

ただノートンにそっくりかどうかはともかく、悪質な偽ソフトだということは間違いないようで、偽再起動画面や偽ブルースクリーンも用意されている。
これで有りもしない「セキュリティ上の脅威」が発見されたとアラートを出して
「完全にこの脅威を取り除きたければ有料版を購入せよ」
と迫るらしい。
一種のスケアウエアの手口だ。

このマルウエアのホームページは現在消えているが、こういう手合いのスケアウエアの常套手段として暫く経ってほとぼりが冷めたらまたビミョーに名前を変えて復活する可能性が高いと思う。
「シマンテックの無料体験版があるぞ!
儲け〜♪」

なんてお気楽なこといっているとやられる可能性があるから、注意が必要だ。






「偽」ソフトの「Nortel AntiVirus」のホームページ〜シマンテックセキュリティブログより〜
ちょっと見た所真面目なウイルス対策ソフトのホームページのように見えるのだが・・・
このURLを入手したが現在このホームページは消えているので自分で確認することはできなかった





このソフトでスキャンをかけると有りもしない「脅威」のアラートを出すという





ちゃんと偽ブルースクリーンまで用意されているが
妙に本物よりもコギレイだったりするのがご愛嬌





再起動画面も用意されているが実際にはこれはフルスクリーンビデオとして再生されるらしい
ユーザは本当に再起動していると錯覚するように作られているそうだ
実際にマルウエアなのかどうか確認はできないのだがこういうものが
用意されている時点で素性がよくないソフトだということは確かだろう
こういうものの常としてすぐに復活したりするので注意するべきだ



セキュリティに関するtips

anchor

Firefox3.5に「きわめて深刻」な脆弱性とのことなのでその対策を導入した(追記あり)

つい先日Firefoxが3.5に上がって「また高速化したね」と喜んでいたら、その3.5に「きわめて深刻な脆弱性」が見つかっているとのこと。
詳しくはこちら。
「Firefox 3.5」にゼロデイ攻撃に悪用可能な脆弱性--モジラ報告 - builder by ZDNet Japan

その内容は「ユーザーが攻撃コードを含んだウェブサイトを訪問すれば、攻撃者は標的としたマシンで悪意あるコードを実行できる可能性がある」とのこと。
これも特定のファイルをダウンロードするとか、メールを開くとかしなくても悪意あるサイトを訪問しただけで攻撃者の意図するコードを実行されてしまうらしい。
ウワサだけではなくちゃんと実証コードも発表されているそうだ。

これに対する対策は勿論
「JavaScriptをオフにする」
というのが一番簡単で確実な対策なのだが、最近のwebサイトは企業のサイトも個人のサイトもどこもJavaScriptを使っているとこが大半で、JSをオフにしているといろいろと不便だ。
特に私の場合、銀行系のサイトがまだSafariが充分に対応しきれていなくて、ちゃんと表示できないのでそういう時はやはりFirefoxが出動ということになる。
ところがその肝心のFirefoxがJavaScriptがオフになっていたら、サブのブラウザとして控えている意味がない。

そこで次善の策としてスクリプトを止めるアドオンを導入することにした。

NoScriptというのがそのアドオンの名前でこちらのサイトで手に入る。

Mozilla Japan - Firefox 用アドオン

他の機能拡張と同じくインストールは指示に従って進めていけばいい。

これの設定で「Scriptを止めた時に情報を提示する」という設定を入れておけばいい。
スクリプトを止めたアラートが出たらそのサイトの内容を判断して「今回のみ許可」「今後ずっと許可」「同じIPアドレスのページは全て許可」などのオプションを選んで許可できる。
これを繰り返していけば安全なサイトのみちゃんと表示できるということになる筈だ。






Firefoxのアドオン入手の手順は以下のようになる
アドオンの管理の画面に入って「アドオンを入手」メニューに入る





するとFirefox用アドオンのページに飛べる
最初からここに来ればいいではないかというツッコミはない方向で





ダウンロードボタンをクリックするとこういうアラートが
出るのでインストールするならこのまま進める





アドオンを取得したら再起動を要求されるので
上のボタンをクリックしてFirefoxを再起動する





NoScriptをインストールすると設定画面に入って設定を確認
重要なのはこの「スクリプトをブロックした時に情報を表示する」という設定が入っていること





NoScriptがスクリプトを止めるとサイトは正しく表示されない
最近は企業サイトも個人サイトもJSを使っているところが多いので表示が崩れるところは多い筈だ





下に出た「ブロック」の表示にある「オプション」をクリックするとどう処理するか選べる
1回きりページ表示を許可するかずっと許可するか、同じIPにあるすべてを許可するかなどが選べる





ブロックを解除するとこのようにちゃんと表示できるようになる



<追記>

昨日の記述でわかりにくかったところの補足説明と、どうやらこの問題に対処したらしいFirefox3.5.1が昨晩発表されたので、これについて。

Firefox3.5.1は7月下旬リリースが予定されていたが、この問題で緊急な対応を要求されたので、Mozilla.orgは突貫で開発をしたようだ。
そのためFirefox3.5.1が昨晩発表された。

この問題に対する対応についてはこちらのSecurity Advisories for Firefox 3.5というページに簡潔に触れられている。
このアップデートは全てのFirefox3.5ユーザに推奨する。

ただしこれでこの問題は解決したのかどうかがまだ確認できていない。
公表されたという実証コードを見つけきれていないので、私は伝聞情報のままでここに書き留める。
もし不安だという場合は前述の通りJavaScriptをオフにする手もあるし、configでJITをfalseにして無効化するという方法もある。
この場合、次回以降のアップデート後もJITはfalseのままなので、いつかは元に戻さないといけない。

私はきっと忘れるだろうから、私の場合は昨晩書いたNoScriptを入れるのが一番安全で面倒も不具合もない様子見の仕方だと思う。
Firefox3.5をメインの環境にしている人にはお奨めしたい方法だ。






設定に入ると「コンテンツ」タブでJavaScriptのオンオフの設定ができる
このチェックを外すとJavaScriptは無効になるが何かと不便なことになる





昨晩Firefox3.5.1のアップデートが出てこれがこの問題に対応したようだ
アップデートをお奨めするが私はNoScriptとの併用を継続することにした



2009年7月17日









セキュリティに関するtips

anchor

Twitterを媒介にして感染する「マイケルジャクソン追悼ビデオ」ワームに注意

シマンテックから久しぶりにセキュリティレスポンスがきた。
Twitterを媒介にして感染するW32.Koobface.Cについてのアラートだ。
「Twitterを媒介にして」とあるがTwitterで直接ワームが侵入するわけではなく、Twitterで
「マイケルジャクソンの遺書のビデオをYouTubeで発見」
というようなスパムコメントが送られてくるが、オモシロ半分でそういうところを覗いてみると、その「ビデオを見るために必要なコーデックプラグインのダウンロード」を求められるという古典的な手口だ。

他愛もない手口だが、Safariの「安全なファイルをダウンロード後に開く」設定をオンにしたままだと手もなくやられたりするから、油断は禁物だ。


以下シマンテックのプレスリリースを転載しておく。


2009年7月16日

Twitter上で確認された新たなワーム「W32.Koobface.C」について

シマンテックセキュリティレスポンスでは、2008年8月に「W32.Koobface.A」
として検知されたワームの亜種「W32.Koobface.C」を確認しました。
W32.Koobface.Cは現在、Twitterを媒介として拡散しています。同ワームに
感染したユーザーがTwitterにログインをすると、アカウントが乗っ取られ、
自動的に次のようなつぶやきがURL付きで書き込まれます。

・ My home video :) 
(私のホームビデオ)

・ Watch my new private video! LOL :) 
(私の新しいプライベートビデオを見て!)

・ michaeljackson' testament on youtube 
(マイケルジャクソンの遺書をyoutubeで公開中)





これを見たユーザーのフォロワー(ユーザーのつぶやきを登録して閲覧して
いる人)がつぶやきに記載されたURLをクリックすると、偽のビデオサイト
に誘導され、ビデオを閲覧するためのプログラムをダウンロードするよう要求
されます。このプログラムは「W32.Koobface.A」である事が確認されています。

この脅威に関する詳細は以下のホームページをご覧下さい。(英文)
https://www-secure.symantec.com/connect/blogs/koobface-turns-other-cheek

Twitterを利用するユーザーは、つぶやきに記載されたURL(特にビデオを
宣伝するつぶやき)のクリックを極力避けて下さい。また、最新のセキュリ
ティソフトウェアを使用し、マルウェアのダウンロードを未然に防ぐ対策を
取る事をお勧めします。




2009年7月17日








セキュリティに関するtips

anchor

あのGumblarが帰ってきたぞ〜サイト管理者は要注意!

5月頃に一時騒然となったGenoウイルス(Gumblar)の亜種がまた、リバイバルしているようだ。
前回のGumblarの流行についてはここでも取り上げた。
2009 年 5 月 24 日
GENOウイルスに注意!〜webサイトを見るだけで感染、自前ブログなどを持っていると他人にまで被害を拡げてしまう最悪シナリオのウイルス

この再流行についての記事はこちら。
「Gumblar」酷似ウイルスが流行の兆し、国内60サイトで感染確認 -INTERNET Watch

こちらによると、手口はやはりAdobeのAdobe ReaderShockwave Player(FlashPlayer)、あるいはActiveXの脆弱性をついてくるという手口らしい。

亜種だから当然出始めの頃はシマンテックアンチウイルスなどのパターンマッチでは防御できないことが充分考えられる。

ActiveXについてはWindowsで無効にするなどの対策を別途とるか、無効にできないものではやたらネットを巡回したりしないことを勧める。
Adobeについてはキャプチャーのとおりパッチが出ていると言っても相変わらずずさんな仕事ぶりなので、アンインストールしてしまうか、プラグインを無効にしてしまうのが安全だと思う。
私のMacではそうしてしまった。
不便だが、サイトにウイルスを仕込まれるリスクを負うくらいだったらのこの方がマシだ。





Adobe Readerのaboutメニューでバージョンをチェック
今の時点の最新バージョンはv.9.2だ




ヘルプメニューの「アップデートをチェック」から最新バージョンをインストールする




インストールは順調なように見えるが・・・




結局失敗する
プラグインが無効だというがどのプラグインが無効なかは全くわからないし
Adobeのサイトに行っても結局どこでその情報を得られるのかもさっぱり分からない
春の騒ぎの時も思ったが相変わらずずさんな仕事ぶりだ




仕方がないので、Adobe Readerの設定画面に入ってJavaScriptを無効にした
この設定をやっておかないとここの脆弱性を突かれる可能性がある




FlashのプラグインはSafariのヘルプメニューの
「インストール済みプラグイン」から確認できる
コマンド+Fキーで「Flash」と打ち込めばすぐに出てくる




これもAdobeのサイトに行って最新版をダウンロードしてインストールしたが
相変わらずバージョン表示は10.0r32のまま
アップデートに成功したのかどうか確認できない(多分失敗している)




仕方がないのでSafariの設定で「プラグインを有効にする」のチェックを外す




これをすることで例えば当サイトのトップページの下の方に都道府県別アクセス比率を
表示するJSのブログパーツを貼ってるがこれの表示ができなくなる
このように一部のサイトの表示が崩れてなかなか不便なことになる




サイトのよってはこのように本当に広告以外何も表示できないところもある
便利を取ってリスクを取るか悩ましいところだが最近では大部分の人が
自分のブログやTwitterなどのアカウントを持っているので神経質になった方が良い気がする
これについては他人の反応が冷ややかなのであまり強く勧めないが私ならこうする



2009年10月26日









セキュリティに関するtips

anchor

フィッシングメール2連発〜お気をつけなされ、ご同輩

今日、なかなか巧妙なフィッシングメールをいきなり2連発受け取った。

これまでにもフィッシングメールは稀に来ることもあったが、大概は
「私はカタールの富豪である。あなたのことを知って内々にあなたに協力してもらいたいことがある・・・」
という類いの絵空事のようなものが多かったのでこれまでは笑っていられた。

しかし今回のはなかなか良くできていて、一瞬私も引っかかりそうになった。


一つ目のメールは連作になっている。
まず
「PayPal」
を名乗る差出人からこういう内容の英文の文面のメールが来た。

「あなたのアカウントに制限をかけた。
その理由はあなたの前回のログインの時にいつもと違うコンピュータが使われたからだ。
またログインの時にいろいろなパスワードを試した形跡を発見した。

確認のためにこのメールに添付したフォームに名前、生年月日、住所、カード番号などを記入して『送信』ボタンをクリックせよ。」

というようなことが書かれている。





添付されたhtmlをブラウザで開くとアカウント情報の確認フォームになっていて
登録情報を書き込んで送信するようになっている



メールにつけてきたフォームにアカウント情報を記入させるのはなんとなく変だなと思い、何も記入しないで「Submit」ボタンをクリックしたところPayPalのトップページのログインページとおぼしきサイトに跳んだ。
そこにIDとパスワードを入力すると、ログインできるかのような体裁のログインページになっている。

それでも何か変だと思い、ログインしなかった。
(最初のメールの差出人が@yahoo.comというようなアドレスだったのが強烈に怪しい。本物のPayPalのサポートなら当然PayPal.comというようなメールアドレスで送ってくる筈だ)


ところが数分するとまた別の
「PayPal」
を名乗るメールアドレスからこういう英文メールが来た。

「あなたの取引コードADXWYY

あなたの以下の注文を受け付けた。
Dell ラップトップパソコン
699.99ドル

以上の取引について何か質問がある場合にはorders@dell.comにお問い合わせください。

この支払いをキャンセルしたい場合は、
http://pw-order.com/login
までどうぞ。」

さらに数分後、上記と全く同じメールがもう一通来た。

ここでちょっと混乱してしまった。
およそ6万円強のカード引き落としのお知らせがいきなり2通来た。
しかも両方の文面を比較すると、ほとんど同じ文面なのだが最初の取引コードがちょっと違う。
つまりカード引き落としは2件通ってしまっているのだ。
この調子でどんどん落とされたら、すぐに請求は雪だるま式に増えていくのではないか。

これはヤヴァいのではないか?

ということで、メールに書かれているキャンセルの場合のリンクをクリックしてみた。





2通目にきた文面はこんな感じで「本体価格、サービス込みで699ドルのご請求」となっている
問い合わせ先としてDellのメールとキャンセル専用のリンクが書かれている
それでキャンセル専用のリンクをクリックしてみると




この通り「クリックしたのはフィッシングサイトの疑い濃厚だよ、
気をつけていきなよ」というアラート
それを押して「無視する」で行ってみると・・・




このとおり最初のメールと同じPayPalのログインページに・・・
でもよく見るとURLがpaypal.comではなく例の怪しいURLになっている
こちらのブックマークから行ってみると正しいPayPalのログインページは勿論paypal.comにある
しかしよく見るとヴェリサインの認証ロゴまで貼ってあったりして本物みたいによくできている
こういう見かけがいかに当てにならないかということだ




ちなみにこちらが本物のPayPalのログインページ
本物はCGI生成のページのようで言語を選択すると日本語サイトになったりする
そしてURLはちゃんとpaypal.comとなっているがサイトの作りはそっくりにマネされている


ということで、リンクに跳んでみるとこれがフィッシングメールだということがはっきりしてしまった。
しかし、もし不正にアカウントを乗っ取られていてカード番号とか抜かれていたらどうしようかと一瞬焦った。
その焦ったままカァーッとなって突っ走ったら引っかかってしまうこともあるんじゃないだろうか。

なんせ身に覚えのない請求書をもらうことほど、気分が悪いことはないのだから。

PayPalには通報しときますた(・∀・)



もうひとつ先ほど受け取ったのがこういうメール。

完全なhtmlメールになっていて、私の場合htmlメールという時点で通常は開かないで削除してしまうのだが、このメールは
「Googleからの重要なお知らせ」
というような表題になっていた。

こちらはたちが悪いことに差出人のメールアドレスも
AdWord@google.com
というような紛らわしいメールアドレスになっている。
(これは偽装と思われる)





Googleからきたhtmlメールはこんな体裁で
「あなたのGoogle AdWordアカウントで異常な活動を察知した
以下のリンクにすぐ行って確認してもらいたい」
というような内容になっている




そのリンクを踏むとまたこの表示┐(´∀`)┌ヤレヤレ




敢えて無視してリンクを踏むとGoogleのログインページそっくりのサイトに誘導される
よく見るとURLはwww2.google-lg.comという紛らわしいもの
フォームにコピペする癖がついていてうっかり
Enterキーなんか叩こうものならヽ(^o^)/オワタとなる


これなんかもGoogle Adsenseなどを自分のブログに貼っていて「何か規約違反でもやらかしたかな?」と思ったりするとつい引っかかってしまうかもしれない。
フィッシングといえば「私はカタールの富豪だ」みたいな他愛もないものばかりではないということを知っておいた方が良い。
こういうフィッシングの手口もだんだん巧妙になってきているということだ。




2009年11月11日














Previous Topへ Next





site statistics
青木さやか