Previous Topへ Next

OSXのtips3-11

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

「あなたのAppleIDが凍結されている。至急リンク先ページでIDの確認をせよ」という内容のno.reply@appleid.ssl.comのメールはフィッシングだから気をつけろ!<さらに追記あり>

今朝届いたばかりのホットなフィッシングメールを捕獲したのでご報告。

内容はAppleのサポートと名乗るところからのメールで
「あなたのApple IDがサスペンデッド(凍結)になっている
自動システムがあなたのプロフィールの詳細について確認できない問題を検知しているので至急リンク先のAppleのサイトを開いて認証をして確認してほしい。
48時間以内に認証をしないとAppleサービスの全てを凍結することになる…」

という意味合いの英文の警告メールが届いた。

差出人のメールアドレスを確認すると
no.reply@appleid.ssl.com というなんだかもっともらしいアドレスになっている。

iPhoneで確認できるのはここまでで、リンク先のwebをいきなりiPhoneで開くのは危険なのでMacに移動してそこから確認サイトを開いた。

するといかにもAppleの公式サポートページっぽいデザインのWebサイトが開いて、Apple IDとパスワードをフォームに入力するように要求している。
入力しないで他のページに飛ぼうとしても「手続きを完了してからリンク先に移動する」というポップアップが出るばかり。
プライバシーポリシーや利用規約へのリンクを踏んでも同じで、もうここでフィッシング確定なのだが、URLにも細工がしてあったりで、見た目はApple公式サイトそっくりだしiPhoneだけでネットしているリテラシー低めの人はこれ引っかかってしまうんではないかなと感じた。

なので詳細をキャプチャで上げておく。





iPhoneの普及以来Apple公式サポートを名乗るフィッシングメールは
数限りなく来ていたが今朝届いたこれはなかなか精巧にできている
「利用者様、あなたのApple IDが凍結されています。
お客様のIDが認証できなくなっているのでリンク先ページで再認証してください
48時間以内に認証されない場合はAppleの全てのサービスを停止します」
という内容のメール




差出人はno.reply@appleid.ssl.comというもっともらしいメールアドレスだった




リンク先ページを確認したかったのでiPhoneを閉じてMacに移動
この時点でApple IDに登録しているのと別のメールアドレスにこのメールが来ていたので
フィッシングメールであることは確信していたのだが面白いので細かく見てみたくなった
開いたところ実によくできた、見た目はApple公式ページそっくりのページが開く
IDとパスワードをフォームに入れて確認せよとちゃんと日本語で指示してくれる




上のトップページリンクや他のメニューのどのリンクを踏んでも
「認証を完了させてから他のページに移動せよ」というポップアップが出る
これも公式ページではありえない動きだ




ページソースを見るとリンクはすべてダミーでどのリンクを踏んでも
このポップアップが出るだけの構成になっている
プライバシーポリシーや利用規約のページもそうなっていて
サイトポリシーや規約をログインしないと見られないなんてあり得ないので
ここでもこのサイトがインチキだとわかる




こちらは本物のApple ID認証確認ページのソース
ログオンしていなくても他のページのリンクに移動したりできる
ソースを見てもちゃんと利用規約やプライバシーポリシーページに
ログオン前に移動できるソースになっている




このサイトのURLの出だしはsupport.apple.comともっともらしいドメインになっているが
URLの見方を知っている人なら認証を見なくてもapple.comのうしろが
スラッシュになっていないのは変だろと思うはずだ




ずらずらっと見ていくと最初のスラッシュの前のドメインは
eu0.ssl-eu.comとなっていてAppleとは何の関係もないURLであることがわかる
サイトの目的は…もちろんあなたのApple IDをパスワードを抜いて
勝手に買い物したりという詐欺を意図しているに違いない
この手の詐欺サイトは主に英語サイトが多かったがこのサイトは日本語であることに注目




こちらは本物のApple ID認証確認ページのURL表示
Safariの場合サイト認証が確認できればサイト名が緑文字で表示される
URLもちゃんとsupport.apple.comの後がスラッシュになっていてこれがサーバードメインだとわかる
ここらの見極めができれば詐欺サイトの見分けはかなり高確率でできるはず


<追記>
ちょっとイタズラ心が湧いてきたので嘘のIDで再登録に挑戦してみた。





例のフィッシングサイトに嘘のIDでログオンしたらどうなるかやってみた
mutamac@muta.comなんてApple IDはもちろん実在しない
パスワードもでたらめ
サインインをして確認に進むと…




登録情報を再確認するのですべて入力しろと求められる
もちろんすべて適当だ
カードの種類でBISAカードなんてクレジットカードはないんだけど?




セキュリティの質問を選択すると私の母親は何巫女か質問された
アニメの見過ぎじゃないの?




確認終了ボタンをクリックすると執拗に有効なカード番号を入れ直せと言われる
逆に言うとそれ以外のところはチェックしていないみたいだ
BISAカードはOKなの?
千代田区千代田1-1-1はOKなの?




毎回カード番号のフォームがハイライトするのでApple本家サイトに
カード番号が通るのか照会をかけているのかもしれない
このフィッシングサイトはどうやらIDとカード番号を抜くのが目的のようだ
ここに本当のIDとカード番号を入れたらおそらく本物のiTunes Storeにリンクが飛んで
ある日カードに身に覚えがない請求が来てカード番号を
抜かれたことに気がつくという仕組みかもしれない



2015年10月11日








セキュリティに関するtips

anchor

効果絶大!〜Mac向けのスパムメールフィルタリングアプリSpamSieveを使ってiPhone、iPadにもスパムが来ないようにブロックする方法

先日Mac向けのスパムメールフィルタリングアプリSpamSieveを紹介した。

そのあと数日テスト運用しているが、成績は非常に優秀で気に入らないメールをスパム指定すれば同じホストからのメールをブロックするだけでなく、同じような傾向のメールの特徴を自動学習して初めての差出人のメールもちゃんとブロックしている。
必要なメールの傾向も同じように文字列で自動学習して自動選別してくれるので、必要なメールが知らない間に迷惑メールフォルダに入っていて気がつかないなんて事も数日のうちに起こらなくなってきた。
これは使える!
これは楽しい。

今まで迷惑メールにはうんざりしていたのだが、この数日迷惑メールが来るのが楽しみになってきて別に用はないのにメールフォルダを頻繁に覗くようになった。
このアプリは購入決定かな。


ところでこのアプリのReadMeを読んでいたら気になる記述があった。

SpamSieveを使ってiPhoneやiPadの迷惑メールをブロックする方法」

SpamSieveの動作環境はMac OS Xオンリーとなっていたので、iOSでどうやって動かすのだろうと思って読んでみたらIMAPを使えばiPhoneなどのスパムメールをブロックできるよと書いてあった。

なるほど、そりゃそうだ。

自宅にメールフィルタリングサーバとしてMacを一台常時起動しておいて、メールクライアントを数分ごとに自動受信する設定にしておけば、SpamSieveがスパムメールをスパムフォルダやゴミ箱に移動してくれて、更新のたびにそれがIMAPサーバーにも反映されて、IMAPでメールを受信しているすべてのデバイスのクライアント上でも自動的にスパムメールはゴミ箱行きになるという寸法だ。

スパムメールには今までほとほとうんざりさせられていたのだが、MacやPC上でよりもむしろiPhoneなどのiOSデバイスでこそ迷惑だった。
メールチェックのたびに削除ボタンで受信メールの大部分を削除しないといけないのが本当にバカバカしかった。
そんなことのためにiPhoneの貴重なバッテリーを浪費しているのもナンセンスだと思っていた。

このSpamSieveのようなアプリはiPhoneでこそ真価を発揮すると思っていたが、そこは作者さんもちゃんと心得ていてその手順を紹介していた。

私のところではIMAPメールの便利さは知っていたが、なんとなく面倒で今までメールクライアントの設定はみんなPOPだったが、この際MacもiPhoneも全部IMAPにすることにした。

そして自宅のMac miniを常時起動、常時GyazMailの自動受信状態にしておいて、SpamSieveも常駐させMacBook Proを起動していないときでも自動的にスパムメールをフィルタリングする設定にした。

結果この2〜3日様子を見ているが、iPhoneを開いてもスパムメールが来ていない、あるいは来ていても受信操作をすることで自動的にスパムが消える様子を見るのはとても楽しい!


ところで私の場合個人のメールの主力はGmailとYahooメールで、Gmailにはそもそもスパムフィルタリングがある程度かかっているようでスパムの量もそれほどでもなかった。
問題はYahooメールの方でここから大量のスパムが飛んでくるのだが、サポートを見ているとIMAPの設定は
「iPhone、iPad、AndroidのみのサポートでOutlook、Thunderbirdなどのメールソフトはサポートしていない」
と書いてある。
Yahooメールこそスパムの元凶なのでアカウントを放棄しようかとも考えたが、昔の知り合いにはYahooメールしか知らせていない人もけっこういる。
結局やってみたところできたので、これは例によってYahooのサポートの怠慢による記述だと思われる。

Gmail、Yahoo!メールのそれぞれのIMAPアカウント設定については後でまとめをつけとく。
それ以外のメールサービスを使いたい人は自分で調べてちょ。





設定に入る前に概念図で説明
自宅に常時起動のMac miniをフィルタリングサーバーとして立てておく
すべてのメールアカウントをIMAPで登録したGyazMailを10分間隔で自動受信設定
スパムフィルタリングアプリのSpamSieveを起動しておくので受信したSpamは即ゴミ箱行き
IMAPなので次の更新時にメールサーバー側の元メッセージもゴミ箱に移動される
他のMacやiPhone、iPadなどのメールクライアントもすべてIMAP設定にしておけば
受信時にゴミ箱に入ったスパムメールは受信箱には入っていない
また一旦受信箱に入っても次の更新時には自動的にゴミ箱に行くので
いちいちスパムを削除する馬鹿らしい作業から解放される




Gmailに関しては古くからのユーザの場合はIMAP設定が無効になっている場合がある
WebブラウザでGmailにログインしページ右上の設定ボタンから
アカウント設定に入りIMAPを有効にしておく
なおYahoo!に関してはこういう設定画面は無いようだ




例によってApple MailThunderbirdなどはメールアドレスと
パスワードを入れるだけで自動設定してくれるようなので
GyazMailでの設定手順を解説する
アカウントを追加してメールサーバドメインとメールアドレス、パスワードをこのように入力
サーバドメインはimap.gmail.comで固定で後の説明や名前は自分がわかりやすい任意でいい
なおpopメールアカウントの設定とは衝突しないはずだが私のところではpopアカウントを
削除しないと受信がうまくいかないという現象が起きたので
バックアップを取って先に削除しておくと失敗がないと思う




受信のタブに入ってローカルフォルダにおくコピーの種類を設定しておく
オフラインで使うことが多い人は「開封済みのメッセージのみ」
「すべてのメッセージ」に変更しておくのがいいと思う
問題は下のSSLの設定でIMAPの場合は
直接サーバの中身を表示するのでSSLの設定は必要だ
受信側はオルタネートポートでよいがポート番号が993になっていない場合は
「変更する」にチェックを入れて993を指定する




送信用サーバの設定もやっておく
サーバドメインはsmtp.gmail.com固定で認証はSMTPかIMAP before SMTPを選択
問題はSSLの種類でGmailはTLSが必要なのでSTARTTLSを選択する
ポートは465か587でクライアント同士の衝突を嫌うようなので設定で使い分ける




IMAPアカウントを設定して保存するとすぐに受信を始めるが
そのままだと受信フォルダしか表示されない
IMAPサーバと同期するにはアカウントを右クリックして「同期」をクリックすると
送信済みフォルダや未送信フォルダ、ゴミ箱などが見えてくる
IMAPの場合はiPhoneで送信した自分のメールをMacで確認するなどの操作が可能




クライアントMacのGmail設定は以上だが自宅のMac miniサーバーには
SpamSieveを起動してここでスパムメールを隔離する設定をする
設定内容は前回記事で紹介したそのままだがIMAPの場合
それぞれのアカウントのゴミ箱に隔離して後で必要なメールがそちらに入っていないか
確認したいのですべてのアカウントに個別にフィルター設定をする
削除先もSpamフォルダではなくゴミ箱をここで指定する




上記の右クリックで「同期」をやっておけばゴミ箱が見えるはずなので隔離先に指定
ゴミ箱ならIMAP設定をしているすべての端末から中身が確認できる




Gmailについては以上なのだが実際にはほとんどのスパムメールは
Yahoo!メールから飛んでくるのでこっちをなんとかしたい
ところがYahooメールはIMAPをサポートしてはいるものの対象機器はスマホだけで
MacやWindowsなどのPCはサポート対象外だと本家サイトに明記されている
困った問題だ…困ったが昔からのお知り合いにはこちらのアドレスしか知らせていない人も多いので
アカウントを放棄することもできず駄目元で設定してみることにした




Yahoo!メールサービスの場合はIMAPサーバのドメインはimap.mail.yahoo.co.jp固定となる




あとはSSLを必ず設定すること、SSLはオルタネートポートで993を指定すること
自宅Mac miniのサーバーに関しては新着メッセージ確認間隔は5〜10分おきにした
他のクライアントよりも頻度を上げてレスポンスをよくしたいがあまり頻繁にしすぎても
メールサーバに負荷をかけるので頃合いのいい間隔は各位自分で探ること




Yahoo!の方の送信サーバドメインはsmtp.mail.yahoo.co.jp
SSLはオルタネートポート465固定のようだ




こちらも以下同じ手順で右クリックで同期を実行
ゴミ箱を表示しておく




自宅サーバーはSpamSieveを起動しておくのでメーラのルールで迷惑メールの隔離先を指定しておく
これもアカウントのゴミ箱にした




こうしてMac miniは早速スパムメールをどんどん隔離し始めた
MacBook ProはSpamSieveを起動していないが
これに同期してスパムメールがどんどんゴミ箱に入る動作を確認した




次にiPhone、iPadのメールをIMAP設定に変更する
設定メール/連絡先/カレンダーを開く




Yahoo!、Gmailともにアカウントを追加でIMAP設定のメールアカウントを作成する
POPメールアカウントは衝突を防ぐために停止しておくこと
うまくいかない場合はPOPアカウントは削除した方がいいかもしれない




ここではややこしいYahoo!のアカウント設定のみ開設する
最初にYahoo!にログインすることを求められる
作成したいメールアカウント名でログインしておく




「続ける」をタップするとメールとパスワードの設定画面に入るので入力する




次にアカウントを有効にする画面に入るが
ここのタイトルがIMAPとなっていることを必ず確認すること
選択できるボタンがどこにもないため勝手に向うで選んでいるらしいが
POPアカウントを残しているとどうしてもPOPアカウントしか作成できないようだ
先に削除しておくことをお勧めする




あとはIMAPのサーバードメイン、メールアドレス、
ユーザ名(ログイン名、パスワードの@の前)、パスワードを入力する




詳細に入って一番下を手繰り受信のSSLを有りに
認証はパスワードを選択ポートは993を指定しておく




SMTPサーバの設定はサーバドメインとパスワード、
SSLは必ずオンに、ポートは465を指定




フェッチの設定を見るとiPhoneのメールチェックは15分おきとわかる
なので自宅スパムフィルタリングサーバーのメールチェックの頻度はこれより短くしたい




自宅サーバーはVNCでMacBook Proから操作する設定にして
GyazMailSpamSieveだけを立ち上げている
これでどんどんスパムをゴミ箱に移動しているので出先で
iPhoneのスパムをせっせと削除するバカな作業から解放された




この運用成績があまりにも良好なのでGyazMailに設定していた200あまりの
メーラローカルのスパムフィルター設定を止めてしまった
それほどSpamSieveに惚れ込んでしまったということだ


参考までに
以下はGmail、Yahoo!メールサービスのサポートページに書いてあったIMAP設定の手引きから抜粋。

<GmailのIMAP設定>
受信メール(IMAP)サーバー - SSL が必要
imap.gmail.com
ポート: 993
SSL を使用する: はい
送信メール(SMTP)サーバー - TLS が必要
smtp.gmail.com
ポート: 465 または 587
SSL を使用する: はい
認証が必要: はい
受信メール サーバーと同じ設定を使用する
氏名または表示名: [お名前]
アカウント名またはユーザー名: Gmail アドレス全体(username@gmail.com)。Google Apps をご利用の場合は username@your_domain.com。
メール アドレス: Gmail アドレス全体(username@gmail.com)。Google Apps をご利用の場合は username@your_domain.com。
パスワード: Gmail のパスワード

Googleサポートページより


<Yahoo!メールのIMAP設定>
受信メール(IMAP)サーバー imap.mail.yahoo.co.jp
受信メール(IMAP)通信方法 SSL
受信メール(IMAP)ポート番号 993
送信メール(SMTP)サーバー ybbsmtp.mail.yahoo.co.jp
送信メール(SMTP)認証方式 SMTP_AUTH
送信メール(SMTP)通信方法 SSL
送信メール(SMTP)ポート番号 465
アカウント名/ログイン名 nmuta2004
メールアドレス nmuta2004@yahoo.co.jp
パスワード Yahoo! JAPAN IDのパスワード

Yahoo!メールサポートページより




2015年10月28日








セキュリティに関するtips

anchor

自分から自分宛の身に覚えのない無題メールには気をつけろ…なりすましメールで今後はウイルス送りつけてくる手口にもつながりそう<追記あり>

先日、自分から自分宛の無題メールを受け取った。
もちろん出した覚えがない。

受け取った時間がこの日の明け方頃で明らかに私は寝入っていた時間だし、こんな時間にメールアカウントにログインしたりメールアプリを起動して寝ぼけてメールを出したりもしていないはずだ。

だが差出人のメールアドレスは、まごうことなき私自身のメールだ。

ちょっと冷や汗が流れた。
ひょっとして総当り攻撃でメールアカウントのパスワードを抜かれたか…

と思ってメールサービスのサイトに直接入ってログオン履歴や送信履歴などを調べてみたが、どちらも形跡がなかった。
iPhoneでは詳しい調査ができないので、添付の「ドキュメント2」とかいうファイルもとりあえず開かないで自宅に戻って分析することにした。

以下、皆さんの参考になるように敢えて私の実メールアドレスを晒す。
(といってもサイトトップでもすでに何年も前から晒していて、もう最近はスパム受信専用アカウントみたいになっているアドレスだが…)





ある日こんなメールを受け取った
自分から自分宛の無題・本文なし・添付ファイルのzipのみゴロンとついたメール
差出人の欄に名前が表示されていないことに注目




差出人のメールアドレスは何度も確認したが間違いなく自分のアドレスだった
しかしこんなメールを出した覚えがない…ここで中身を確認するためにzipを開く…
とまんまと敵の手にはまるというのが定石なのでテストしてみた
このメールアドレスの詳細にはなぜか自分の登録名が表示されていない




本当に自分のアカウントから自分宛にテストメールを打ってみた
そしたらこちらにはちゃんと差出人の名前…つまり私の登録名が表示された
メールアカウントのパスワードを抜かれたかと一瞬ひやっとしたが
ここでどうやらなりすましであると気がついた




そこでYahoo!メールのページにログインしてこのメールを出したか確認してみた




こちらでも該当時刻にログオン履歴が見当たらない
なので当然送信履歴に該当メールはない




メール受信履歴には残っていたがやはりこちらには
「なりすましメールの可能性」という警告ポップアップが出ていた




iPhoneではこれ以上詳しい調査ができないので出先から戻った時点でもう少し詳しく調べてみた
メールはこんな感じで無題・本文なし・zipの添付一個のみでこちらでも受信している
さらに実際に個人の通信に使っている別のメールにも同じように自分宛のこんなメールが来ていた
これでほぼ確信した




ヘッダーを詳しく表示させるとこのメールは私が普段使わないIPアドレスから送信されており
私のメールサーバーは「このIPを指定していない」という表示が出ている




ちなみに実際に自分から自分宛に出したメールにはちゃんと
メールサーバーは私のIPを指定したという表示が残っている
ここでこのメールはアカウント乗っ取りではなくなりすましであることが確定した




この添付のzipファイルだが中身を除くとjavascriptのファイルが一個ゴロンと入っているだけだ




テキストエディタで開いてみたが何かのプッシュ広告を強引に
開くような類のものらしいのでウイルス対策ソフトも反応しなかった
最近ではドキュメントと称してWindows向けにscrファイル
(スクリーンセーバだがexeと実質同じ)を送りつけたり
ジェイルブレイクしていないiOSデバイスをロックするランサムウエアも出回っているそうなので
MacユーザやiPhoneユーザもこういうモノには気をつけたほうがいいと思う




差出人のIPをwhoisしてみたところこのメールはパキスタンの
イスラマバードから飛んできているということらしい




詳しく見てみるとパキスタンテレコム社のビル内の個人のアドレスが出てきたが
この人物がスパムメールをばらまいているのかあるいはこの人物は
本当にパキスタンテレコムの社員で踏み台にされているだけで
どこかから知らない間にリモートでスパムメールを発信させられているのかは不明
こういうことがあるからアカウント管理は気をつけようということになる



その後、この手のメールが何本か立て続けに来たので、この手口は相当広がっているらしい。
考えたらもっともらしいメールに偽装して添付のトロイやウイルスをばらまくのは古典的な手口なのだが、その「もっともらしく見せる」という手口がだんだん巧妙化している。

教訓として
1)自分から自分宛にファイルを渡すためだけにメールを送る場合(出先の端末から自宅へとか)でも、必ず自分なりに表題と本文をつけること
2)htmlメールはやめてメールはすべてシンプルテキストにして、必ず本文を確認する習慣をつける
3)表題、本文のないメール、htmlのみにしか本文がないメールは基本的に無視する習慣を徹底する
4)あと本当に乗っ取りだったらいやなので、時々自分のメールサービスのログオン履歴を確認して、明らかに自分じゃないログオンがないか見ること

というところは励行すべきだと思った。
(どこかのひよひよ先生のように「パスワードの定期変更も有効」なんて死んでも言えない)


<追記>

このあと数日の間にいくつか同じように自分から自分宛の添付ファイルつきメールが飛んできた。

ヘッダーを全部表示で見ると、やはりメールサーバーには認証されずに差出人欄は私のメールアドレスを詐称したメールだ。
それで差出人のIPアドレスをまたwhoisしてみた。





今度は自分から自分宛にpdfとかいうタイトルの本文なしメールが飛んできた
SONY Xperiaからメールともっともらしいフッダが付いているが私はXperia持ってないし…




添付ファイルはpdfというタイトルだろうがなんだろうが結局zipで中身は同じようなjsファイルだった
中のコードもほぼ同じような内容なので差出人は同一人物と思われる




ヘッダーに残ったIPアドレスをwhoisしてみた
今度はガーナの首都、アクラから飛んできている




さらに別のメールをwhoisしてみた
こちらはトルコのボーダフォンから飛んできている




もう一つもやってみたところこちらはブラジルの個人アドレスから飛んできている
やはりこれらのIPの人たちは踏み台にされているだけで要するにセキュリティの
甘そうな国のアカウントがどんどん乗っ取られており黒幕は別のところにいるということらしい
最近の傾向でいうとかの隣国の可能性が高い



2016年3月19日








セキュリティに関するtips

anchor

MacUpdateのインストーラが完全にウイルス認定〜正体はアドウエア?気持ちは分からんでもないがこういうのいい加減にしてほしいなぁ

Macユーザにはおなじみのヴェアダルさんところのサイトでこんな話題が上がっていた。

MacUpdateで一部のアプリのインストーラが独自のものに置き換えられていて、別のアプリも一緒にインストールされたり検索エンジンを変えられたりすると話題に - Macの手書き説明書

実は私のところでも、MacUpdateで見つけたオンラインウエアをテストしようとしたところ、そのインストーラがClamXav Sentryのウイルススキャンに引っかかって、自動的に隔離フォルダ行きになるという事件がちょうど同じ頃に起きていた。





Novus Scanというアプリを見つけてMacUpdateからダウンロードしたら
ディスクイメージの中に口絵のようなインストーラが入っていた
このディスクイメージがダウンロード完了と同時にウイルスフォルダに消えてしまった
ClamXavでスキャンしたところPUA.OSX.InstallCoreというマルウエアであるという
念のためSuspicious Packageで中を覗こうとしたがMac標準のインストーラではないらしく中を覗けない
これだけでもMacKeeperなみのうさんくささだ




このインストーラを起動してみたところ確かにMacインストーラ
ではなく完全に別物のアプリとして機能している
アプリケーションフォルダにアプリを移動するrootパスワードも
要求するのでこういうのって完全にルール違反なんじゃないだろうか
念のためにネット接続を切ってスタンドアローンの状態で
インストールしたところ特におかしな振る舞いはなかったようだが



このClamXavがウイルス認定したPUA.OSX.InstallCoreというマルウエアについてはここらが詳しい。

PUA_INSTALLCORE ADW_INSTALLCOREアドウェアとは? installCore広告インストーラ ( ソフトウェア ) - 無題な濃いログ - Yahoo!ブログ

Mac OS向け広告インストーラInstallCore アドウェア危険注意! ( Macintosh ) - 無題な濃いログ - Yahoo!ブログ

これも例によって色々細かいバージョンがあるらしいのだが、共通しているのはイスラエル製のWindows向けアドウエア、アプリ押し売り機能付インストーラがMac向けに改修されたもので2〜3年前から普及し始めていること、
その機能はインストール時に必要ない他のアプリをインストールしないかと提案してきたり、場合によっては勝手にインストールしたり、アドウエアを勝手にインストールしたりということらしい。

インストール時にライセンス規約に同意しているので、詐欺ソフトだとも言えないし、今の所インストールされるものはトロイの木馬や真性のウイルスのような悪質なものではないためグレーゾーンなのだが、MacKeeperのような単に売り方が強引な割には機能が無意味なグレーソフトと違って、かなり黒に近いグレーになると思う。


clamavのフォーラムはウイルス認定の基準が結構厳しくて、例えばWindows向けFTPクライアントのFFFTPは
「バグのためインジェクションを喰らう可能性があるので旧バージョンの使用は避けよ」
と作者さん自身が呼びかけていたにもかかわらず、容赦なくマルウエア認定していた。
一時期アドビのソフトもウイルス定義に引っかかっていた記憶がある。
時々「ちょっと厳しすぎなんじゃないの?」と思う定義がある。

でもこれはMacUpdateの見識を疑うところだ。

MacUpdateの公式インストーラなんだから普通は信用してしまうと思う。
規約に同意しろと求められたらしてしまうと思う。
でもその結果、ある日アプリケーションフォルダに見たこともないアプリが入っているのに気がついたら、いい気はしない。

このような巨大サイトサービスを無償で提供し続けるには、確かに巨大な工数の人手もかかっているはずだから、
「タダで使い続けたいならこれくらいのスポンサー協力は了承しろよ」
という気持ちは分からんでもないけど…
それをやっちゃあおしまいよ…とも思う。

アプリ作者さんには同意を取っているのかもしれないが、アプリ自体もイメージダウンなのでこれはやめたほうがいい。




2016年4月16日








セキュリティに関するtips

anchor

明確に日本人ターゲットの「あなたのPCがウイルスに感染している」という詐欺サイトに遭遇〜フィッシングサイトはみんな英語だから英語リンク踏まななければ大丈夫とか思ってません?

先日ツイッターのリンクからブラウザのとあるニュースサイトが開かれて、開いたと同時にキャプチャのようなポップアップが出るというフィッシングサイトに遭遇した。
ニュースサイトは一見真面目な(だがしかしBBC、CNNなどの有名ニュースソースの記事をそのまま転載しているだけの)サイトだったので、そのサイトの運営主がグルなのか、それともたまたまアフィリエイトに詐欺サイトが乗っかってきたのかは知らない。

このポップアップを閉じると新規タブで新たに
「あなたのPCがウイルスに感染しているのを検知したので、マイクロソフトのソフトウエアの専門家にコンタクトせよ」
という内容のサイトが開いて、でもその専門家のダイレクトチャットは
「現在オフラインなので以下の電話番号に電話せよ」
というような表示があって日本のフリーダイヤルの電話番号が記載されている。

まずこの「マイクロソフトのソフトウエアの専門家」という書き方がまぎらわしい。
マイクロソフトの専門家ではなくマイクロソフトのソフトウエアの専門家だ。
つまりマイクロソフトの関係者でもなんでもなくても間違いではない。
いわゆる「消防署の方から来ました」という消火器セールス詐欺と同じ手口だ。

さらにブラウザサービスで「ウイルス感染を発見した」と表示しているのがまず完全に嘘でブラウザにはそんな機能はないのだが、PCに詳しくない人だと騙されてしまうのかもしれない。

そして一番の注目点はこのコンタクト先の電話番号は日本国内からしかかからないフリーダイヤルだ。
つまりサイトが日本語で、日本人が騙されやすいレトリックを使って日本国内向けの電話番号で引っ掛けようという明確に日本人を騙そうとしたサイトだということだ。

さらにURLをwhoisしてみたらどうもProxyサーバを経由していてリモートホストを追跡できないようにしているらしい。
単なるPC障害のサポートサイトになんでProxyをかませないといけないのか…
もう状況証拠的には真っ黒なグレーだ。

情弱のふりして電話してみようかな…





ある日、Webのなか、ニュースを、開いたら…♪
こんなんでましたよ…閉じるボタンがあるがここで閉じてもタブそのものを閉じても結果は同じ…




PCサポートのページが勝手に開いてチャットで専門家のサポートを受けよとなっているが
当然ソースを見るとチャットのリンクなんかなくて明確に電話させようとしている
さらに「このページから移動しますか/移動する・移動しない」というタブが
ポップアップしてくるがどちらをクリックしても新規ページが開いてまたこのサポートページと
このポップアップが延々と出続けるという凶暴なサイト構造になっている
電話しないとウイルス感染を解決することができない…と思わせる意図を充分感じる




この番号に電話したらどういう対応されるんだろう…知りたい…という誘惑を
グッと抑えてURLのドメインをwhoisしてみたがドメインは秘匿されている
逆引きでネームサーバーを調べると毎回違うところに接続するので
Torか何かで秘匿されているのかとにかくまともなPCサポートだったら
ドメインを秘匿する意味なんかないはずだからこの一点だけでも詐欺サイトだと断定できそうだ
問題なのはこのサイトは明確に日本人をターゲットにしているということだ
今までは詐欺サイトというと大抵英語サイトだったから「踏まなきゃいいんだよ」と
タカをくくっている人も見かけるがこういうものはすぐに応用編が出てくる
ECの注文の確認でパスワードを入れてくれとかカード番号を入力せよとか
あるいはもっと現実世界のように「オレオレ、俺だよ、パスワード入れて」
みたいなフィッシングが現れるのか…



2016年9月28日








セキュリティに関するtips

anchor

AppleIDの乗っ取り攻撃を受けた〜パスワードリセットで撃退したと思ったら今度は登録メールアドレスの乗っ取り攻撃を受けた〜なんとか撃退できたっぽいけど不覚をとったかな

表題の通り

AppleIDを乗っ取られかけた

ことの次第は昨日夕方移動中に、急にiPhoneが
「iCloudのパスワードを再入力せよ」
「iMessageのパスワードを再入力せよ」
「FaceTimeのパスワードを再入力せよ」

というポップアップを出し始め、パスワードを何回入力してもこのポプアップが消えなくなったのが発端。

パスワードの設定が壊れたのかと思い、3回以上入力してしまったのでiPhoneからパスワードリセットをかけた。 それで復旧したのだが、メールの履歴を見るとすでに私よりも前に一回パスワードリセットリクエストとリセット完了メールが届いているのに気がついた。

認証設定が壊れたとかのソフトの不具合ではなく、明確に私以外の誰かによってAppleIDのパスワードがリセットされたということだ。

ただリセットだけでIDを乗っ取ることができるわけではないので、単なる嫌がらせかもしれないと思い直したり…

と、そうこうしているうちにその2時間後と明け方にまたiPhoneがパスワードを再入力せよと言い始め、メールクライアントにはリセットリクエストが来たため明確な意図を持ってやっていると判断した。

パスワードは更に強固なものにして前々からやらなければと思っていた2段階認証の設定を実施することにした。





キャプチャを撮るのを忘れていたのだがiPhoneがiCloud関連のパスワードを
入力せよとしつこくポップアップを出すので確認したところやはり
MacのiTunes StoreやApp Storeもログインできなくなっていた




履歴を見たところ私がパスワードリセットをかける数分前に
別の何者かによってAppleIDのパスワードリセットがすでにかけられていた




そこで相手のパスワードを無効にするためにパスワードの変更と二段階認証の設定をかけた
パスワードリセットはこちらのサイトから またログインできたら
こちらのID管理ページからパスワードの変更と二段階認証の設定ができる




セキュリティの質問は結局正解が答えられないため役に立ったためしがない
しかしやはりこれも設定が求められる




今回何度か立て続けにIDの変更を行ったために3日間のブロックアウトが
かかって二段階認証の設定は待たされることになってしまった
今回のようなことを防ぐために是非ともこの設定はやっておきたい…
と前々から思っていたのだが伸ばし伸ばしにしているうちに自分が被害者になってしまうとは…




AppleIDを盗まれたとは思えないのだが攻撃を受けたのは事実なので
App StoreやiTunes Storeの購入履歴のページ、クレジットカードの購入履歴などを一応すべて確認した
特におかしな履歴は残っていなかったがここで高額な請求が
発生していることに気がつくというパターンもあり得そうだ


これで一旦は落ち着くかと思われたが、今度はなんとこのAppleIDのアカウント名に使っていたメールサービスから「普段使われていない環境からログインがあった」という通知メールが来て驚愕。

どうやらこれが本筋の攻撃のようで、メールのパスワードが破られてしまいそのログインをした上でまたAppleIDをリセットして本格的にIDを乗っ取って悪用するというのが目的だったようだ。





今朝方今度はAppleIDに使っているメールアドレスに
「普段使われていない環境からログイン」の通知が来た
IPアドレスには燦然と「中華人民共和国」の国名が…
もちろん間髪を入れずにすぐにメールサービスにログインしてパスワードを変更した
どうやらこれが攻撃の本筋だったらしい




ちなみに相手のIPをwhoisしたところ中国のチャイナネット江蘇省ネットワークのプロバイダ名
プロバイダネットワークなのでプロクシかどうかまではわからないが
あまり隠していないので個人からのアクセスかも


中国からのアクセスはほぼ確実なので、嫌がらせとかではなく明確なID乗っ取りの意図があったことも明確だ。

認証に使っていたyahoo.mailもパスワードを強度を上げて変更したことは言うまでもない。
一応しばらく様子を見ていたが、その後おかしなログインはないので多分クリアできたと思う。

今回の幾つかの問題点は、以下の通り

1)AppleIDに二段階認証を設定していなかった
今回の最大の私のポカはこれだと思う。
認証用のメールのセキュリティがスカスカだろうが、本丸のAppleIDが他人から操作されないようにしておけば問題ない。
ところが「近いうちにやっておかなければ…」と思いながら先延ばしにしていた私が一番悪い。
この設定ができるまではしばらくすべてのアカウントを厳重監視しないといけない。

2)AppleIDのリセット通知メールにyahoo.mailを使っていた
その次に重大なポカはyahoo.mailなんかでAppleIDを作ってしまったという問題だと思う。
yahoo.mailの何が問題かというとまずログオンしたらタイムアウトしないというセキュリティの低さが最大の問題だ。
一度ログオンに成功したら、そのままブラウザを閉じないで潜伏接続して時間が経ってから悪さすれば気がついて対策する頃にはいろいろ悪さできてしまう。
Gmailにせよ他のメールサービスは大体数分ないし数十分何も操作しないでおいておくとロックアウトされてしまうがyahooにはそういう仕組みがない。

過去にも個人情報を漏洩してくれた実績もあるし、Yahooはとても信頼度は低い。

実はITMSサービスが始まった頃に、お試し気分で安直に作ってしまったIDとパスワードなのでこれが将来そんなに重要なアカウントになるとは思っていなかった。
何曲か買ってみてやっぱり気に入らないなら削除してしまえばいいやと思っていた。

ここのところ気になっていたけども、気になったらその時がセキュリティの更新時だということか。

3)パスワードの堅牢性が低かった

これも上記と同じ理由で、お試しなんだから絶対に忘れないパスワードということで割と安直なパスワードを設定していた。
さすがにパスワードの使い回しをするようなことはしていないが、特にメールのパスワードを破るのに成功した時点で、AppleIDをリセットして乗っ取ったメールから認証してAppleIDもいただきという流れだったのだろう。
今回悪用されなかったのは相手のクラッカーが割と手際が悪かったというラッキーな理由だけで、そうでなければやられていたと思う。
もちろん、AppleID、メールパスワード共に強度を上げて推測不可能な桁数に変更した。

この際yahoo.mailをやめて例えばGMailなどの別のメールをAppleIDのアカウント認証に変えようかと思ったが、そこはちょっと慎重になった。
AppleIDはもうiTunes Storeのログイン鍵だけでなく、AppleTVやその他色々な認証に使っているし、その認証の通知メールに他のメールを使って…といろいろ複雑な関係になっているので、簡単に変えるわけにもいかない。
とりあえずリセットされたらGMailや幾つか他のメールにも通知してすぐにわかるようには設定変更したが。


さらに不安は払拭しておこうと思い、AppleIDやメールだけでなく過去にお試しも含めて登録したことがある認証情報をすべて確認して変更できるところは変更した。


ここで思い出すのはパスワード定期変更オジサンの
「パスワードを90日ごとだろうが、定期変更することによってセキュリティが確保される可能性は全くゼロではない」
のたわごと。
こうして現実に攻撃を受けてパスワードを変更する羽目になると、メールクライアントやらスマホやらタブレットやら色々なデバイスの設定も一斉に変更しないといけないし、関連する認証サービスも設定変更と結構な手間で
「毎月変えればよろし」
とか簡単に言ってくれるな…というより本当に現実を知らない学者の戯言だと思う。

それより二段階認証などでパスワード認証を堅牢に守るほうがはるかに現実的だ。

パスワードの定期変更にまだ現実味があったのは、パスワードなんてメール設定の時ぐらいしか使わなかったような20年前の話だと思う。
今は色々なサービスの色々なクライアント、デバイスの認証が複雑に関わりあっているので90日ごとだろうが180日ごとだろうが定期変更は膨大な手間だ。
そして90日のような長い変更期間はほぼ意味がない。
定期変更を推奨するならワンタイムパスワードだ。

定期変更を推奨するからセキュリティは逆にモラルハザードで劣化するんだと思う。
今回は本当にそれを実感した。




2016年11月3日



anchor

AppleIDを乗っ取られかけた件で二段階認証を導入してセキュリティは確保されたが、登録メールのYahooメールがロックされてしまった…時間が解決してくれたのさ…

前回こちらの記事で取り上げたが、ちょっとした私の油断のせいでAppleIDをリセットされてしまう&Yahooメールのパスワードを辞書攻撃か何かで破られてしまった…という問題が起きたことを書いた。

AppleIDの乗っ取り攻撃を受けた〜パスワードリセットで撃退したと思ったら今度は登録メールアドレスの乗っ取り攻撃を受けた〜なんとか撃退できたっぽいけど不覚をとったかな

AppleIDはやはりアカウント名としてメインの登録メールアドレスが露出しているのが問題だ。

乗っ取りの手順としては
1)まずアカウント登録メールのパスワードを辞書攻撃ないしは総当り攻撃で破っておく
2)ログオンできたらAppleIDを「パスワードを忘れたら」の項目から入ってリセットをかける。
3)リセットがかかったら登録メールに数秒で通知が来るので、通知をみたら間髪入れずにAppleIDを自分の作ったパスワードに勝手に変更してしまう…
4)これで本当のユーザを締め出してしまい、その間にカード情報を盗んだり、勝手に買い物をして高額ライセンス商品をどしどし購入してしまう…
5)本来のユーザが秘密の質問か何かでIDをもう一度リセットできる頃には、もうやりたい放題やって逃走…

この手順で乗っ取り悪用が可能だ。

Torなどのプロキシ経由で接続すれば、被害届を出しても乗っ取り犯の特定は困難だろうから泣き寝入りということになると思う。
今回私のケースでは、手を突っ込んできた中国人(なのか中国サーバーの愛用者なのか)が割と間抜けだったのでIDの悪用はなかったが、こういうことがないようにセキュリティの強化を図った。

1)YahooメールをAppleIDの登録から外すのが最大の対策だが、これはなぜか外せなかった
というより他のメールアドレスが登録に追加できなかったため削除できなかった
2)AppleID、Yahooメール共にパスワードの堅牢性を上げた
総当り、辞書攻撃共に困難な桁数・英数大文字小文字も混ぜた組み合わせでパスワードを作り直した
3)検証した結果YahooメールはやはりWebから接続に成功するとブラウザを閉じない限り永久にタイムアウトで強制ログオフされない仕様のようなので、何回かパスワードを変更してWebからの接続も排除した
4)AppleIDは第三者が勝手にリセットできないように二段階認証をかけた

1)は上記の通り他のメールアドレスで今でもアクティブなものを全部試したが「このアドレスは追加できません」というメッセージでAppleからはねられてしまった。

なぜなのかわからない。
フリーメールはGMailも含めて排除する方針なのかもしれない。
かといって会社のメールや携帯のキャリアメールを使う気にはなれなかったので、ここは諦めることにした。
ひょっとしたら今アクティブな個人メールは、みんな昔AppleID、ディベロッパーIDなどで使ってしまったのかもしれない。
同じメールアドレスを重複して登録はできないということなので、それに引っかかったのかも。
何年も前にお試しで作ったかもしれないが、もうそんなこと覚えていないし…アカウントを作ってパスワードを設定したらすべて一箇所にメモするかパスワードマネージャーで管理しろということなのかもしれないがさすがに10数年前の私にはそこまでの意識はなかったかも…

2)は桁数・文字種ともに大幅に増量したので総当りは不可能だと思う。
ただAppleIDの方はともかくYahooIDの方は何回リトライしてもロックがかかったりしないので、機械的に総当りは可能かもしれない。
そこでYahooに関しては重要な個人情報の送り先はすべて別のメールに振り分けた。ただAppleIDのリセット情報だけはYahooメールにも行ってしまう。
そこで3)の対策でYahooのパスワードを数回変更して現在ログインしている不正規ユーザをロックオフした。
そして4)のAppleIDの二段階認証で第三者が勝手にリセットボタンに触れないようにした。

AppleIDの認証法として「秘密の質問」という手もあるが、これは過去の経験からうまくいったためしがない。
秘密の質問を設定してメモしてもパスワードと同じように紛失するし、メモがあってもそのあとアカウント設定の仕様が変わって秘密の質問も変わっているとか答えをローマ字で書くのか日本語で書くのか忘れているとかで認証が蹴られたりと、結局うまくいかない。

二段階認証なら別のルートからワンタイムパスコードを毎回送る仕組みだから、漏洩しても影響がないし忘れることもない。
欠点としてはもう一つのデバイスをiPhoneにしたので、iPhoneが壊れた時には復元コードから復元しないといけないとか認証が煩わしくなることかな…滅多にないことだから気にしないことにしたが…





二段階認証とはとどのつまりパスワードを入力したら
その都度発行されるPIN番号を次に入力しないとログインもリセットもできないという仕組み




PIN番号は登録メールではなく指定のデバイスに直接送られるので
この時すでにメールアドレスを乗っ取られていてもこれを破ることはできない
これで他人に勝手にIDをリセットされてしまうリスクは回避できる




これでセキュリティは確保されたかに見えたが別の問題が起きた
YahooメールがiPhone、Mac、自宅スパムフィルタサーバ共に
ロックオフされてしまい定期受信ができなくなってしまった
Webでログインすればしばらくはメールクライアントでも受信はできるが
しばらくするとまた認証失敗が出てブラウザ以外では
自動ログインができない状態になってしまった


問題のYahooメールだが何度かパスワードを変更したり、メールクライアントの設定にしくじってログオンに失敗したりしていたらロックオフを食らってしまった。

MacもiPhoneもSafariなどを起動してWebでログインすると、しばらくはメールクライアントでも受信できる。
これでロックオフが解除されたかと思ったら20〜30分後にはまた認証失敗で受信できなくなてしまう。
Webで再ログインし続けるしか受信方法がなくなってしまった。

IMAPメールがダメなのかと思いPOPメール設定も試してみたが、何をやっても同じ。
回線の種類も関係ないようだ。
自宅のサーバーも同じようにロックオフされて、解除してもしばらくしたらエラーを出している。

これはYahooのメールサービスの仕様らしく、ログオンのタイムアウトはないがパスワードの変更を何回かやるとクライアントやデバイスからの接続認証に制限をかける仕組みのようだ。

この問題が発覚して本日で10日目。
やっとロックオフが解除されたのをGyazMailのPOP設定で確認してIMAPメールも復活させた。
iPhoneも復活したのでこれで問題は概ね解決できたと思う…Yahooメールをアカウントから排除できなかった点を除けば…




2016年11月19日








セキュリティに関するtips

anchor

出先のカフェなどで無線LAN通信をVPNを使って安全につなぐための設定〜トラフィックに要注意

最近はあまり聞かなくなったけど、ノマドとかいってスタバとかでMac bookを開いて仕事しているのが一頃はトレンドだったらしい。
あの人たちはどこ行ってしまったのかしらないが…

そんなことはともかく出先のマックとかホテルとかでオープンなWi-Fiサービスで接続することがあると思う。
そういう時にはOpenVPNなどのVPNサービスを使ったほうが良い。
あるいは自宅でVPNサーバを立てているなら、いっそ自宅につないでそこからWebにアクセスしたほうが何かと安全だ。

VPNを使わずにむき出しで公衆無線LANに接続するとネットワーク内でMACアドレスなどがばれてしまうことがある。
MACアドレスが割れるとヤサが割れるという話が一時期あった。
そういう辞書サービスは現存する。

住所とかの個人情報を抜かれたくないならVPNを利用すべきだ。
VPNの利用法についてはいろいろなところで解説されている。

Macで自宅VPN鯖を上げる手順についてはこちらのアプリの項目や以下のTips項目でも解説した。
VPN Activator

WiMAX導入でVPNが便利に使えるようになった〜出先から自宅Mac/PCをリモート、ファイル操作

私個人はセキュリティのためというよりも遠隔から自宅サーバーを操作したいためにVPNを立てていたのだが、これがあれば確かに安全な接続が可能になる。

ただしクライアント側のMacBook Proなどで出先でVPNを使う時には多少設定に注意が必要だ。





VPNの詳細設定に入る
システム環境設定ネットワークに入って
出先で使う可能性のあるVPN項目の詳細ボタンをクリック




オプション項目の中の全てのトラフィックをVPN接続経由で送信にチェックを入れる
これでVPNサーバーとのセッションだけでなくWANとの通信全てがVPNで暗号化送信される


このチェックが外れていると自宅VPNやオープンVPNサービスと通信している以外のWebを見たりメールしたりの通信はVPNを通らないで、つまり暗号化されないで直接無線LANルータへ送信される。
自前のWi-Fiルータを持ち歩いているならこちらの設定の方が高速かもしれない。

しかしオープンな無線LAN環境の場合は自分の通信はすべてVPNで秘匿したほうが良いと思う。
その場合はこちらにチェックを入れる。

このチェックが入っていると一連の通信中にVPNに切り替えた時に通信エラーが出るかもしれない。
入っていない場合は切り替え後も通信中のセッションはその前のオープンな経路で送信され続けるはずなので、通信エラーで失敗ということはなくなる。
どちらもそれぞれメリットがあるから、通信する場所やケースバイケースで選択したら良いと思う。




2016年11月12日













Previous Topへ Next





site statistics
青木さやか