Previous Topへ Next

OSXのtips3-12

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

Macの著名ビデオ変換アプリにトロイの木馬「Proton」が混入して相当数のMacが感染している恐れが出てきた〜KeyChain、1Passwordの情報が狙われているようだ

5月8日のMalwarebytes Labsが取り上げた情報で、Macのビデオ変換アプリHandBrakeのサーバーがクラックされ、Macの個人情報・セキュリティ情報を抜き取る新型のトロイの木馬「OS X Proton B」が混入していたというニュースが流れた。

ソースによるとサーバーのクラックとマルウエアの混入は5月2日に起こったと見られているということだ。
このトロイの木馬はキーチェーンのパスワード情報や1Passwordの情報を抜いて特定のサーバーに勝手に送信する動きをするとのこと。

該当のHandBrakeのバージョンは1.0.7。





早速アプリケーションフォルダのHandBrakeのバージョンを確認すると1.0.7でビンゴ!
1.0.7にアップデートした日付をTime Machineに入って確認したところ5月1日で
HandBrakeが汚染したのが5月2日というのは現地時間だから微妙なところ




マルウエアに汚染されたHandBrakeは初回起動時に特徴的な振る舞いをする
これは「Malwarebytes Labs」で掲載された画像だが
HandBrakeは追加のコーデックをインストールするか?」とパスワードを求めてくる
通常のHandBrakeの起動でパスワードを求められないしこの時に感染が起きるようだ
今回のアップデート後にパスワードを求められたかどうかは記憶がはっきりしない
そういうことはなかった気がするがいつも注意しているわけではないのではっきりしない




そこで念のために久しぶりにClamXavで起動ボリューム全域スキャンを実施した
その結果いくつかのスパムメールと古い既知のブラウザ、ゲームアプリを検知しただけだった

anchor

Malwarebytes
(Freeware)
OS10.9Mavericks対応OS10.10Yosemite対応OS10.11El Capitan対応
OS10.12Sierra対応WindowsXP~7対応

Macでも被害を出している特定のトロイの木馬を検知する専用セキュリティアプリ。

Mac版はMalwarebytes for Macという名称でフリーウエアで配布されている。

今回のOS X Proton Bマルウエア騒動の最初の情報元のMalwarebytes Labが発表後すぐにこれに対応するMalwarebytesシグニチャーをリリースして対応した。

ClamXavで一応陰性の結果が出たが、念のためにこのマルウエアに対応したMalwarebytesでもスキャンしてみた。





Malwarebytesは初回起動時ヘルパーツールのインストールを求められる




Malwarebytesの使い方はとても簡単
スキャンボタンをクリックして結果を待つだけ




動きを見ていると特定のアドウエア、トロイの木馬の
パターンで全域をスキャンするという仕組みのようだ
シンプルな仕組みなので動作は軽快で非常に早い




結果は「マルウエアは見つかりませんでした」とのことでまずは一安心
もし問題が起きたらリンク先のページへ飛んで解決せよと言われる
マルウエア発見の画像を見るとユーザライブラリの中に
RenderFiles、VideoFrameworksというファイルを生成するようだ
通常は存在しないこのファイルがインストールされたマルウエア本体らしい




Malwarebytesのメニューにはシステムスナップショットという項目がある
現在どんな機能拡張などのプラグインがインストールされているかスナップショットをとって
問題が起きた時何が増えているかを比較することで新種のマルウエアの発見が早くなるかもしれない



2017年5月10日








セキュリティに関するtips

anchor

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

昨日『Appleサービス』を名乗るアカウントから「アカウント情報の一部が誤っているためログイン、リアクティベーションできない、AppleID情報を確認せよ」という意味合いのメールが届いた。

最近流行りのAppleID乗っ取りまたはクレジットカード認証情報抜き取りの詐欺メールっぽいのだが、身に覚えがあるメールアドレスだし確認することにした。

その過程で思ったのは今までのおざなりの詐欺メール・詐欺サイトと違ってかなり騙す方も本気になってきていることを感じた。

以下その詳細を。





ある日自称『Appleサポート』からAppleIDが
ログインできなくなっているとのお知らせメール




アカウント情報が間違っているので今すぐ
確認サイトに行って認証せよという内容




最後のサポートやプライバシーポリシーが
リンクではなく単なる青文字なのがご愛嬌だが
本当に作り込んだらこういうリンクも作って
本物そっくりのポリシーページを作る奴も出てきかねない
今回はそう思った根拠が幾つかある




htmlをブラウザで表示して認証ページのリンク先を表示したら短縮URLが使われていた
こういうリンクを短縮URLで記述すること自体ありえないのだが
スマホだと「こう見えるのかな?」と思ってタップしてしまうケースもあるに違いない




リンク先はAppleのサイトそっくりのログオンページになっているので
まずここで信じてしまうとAppleIDとパスワードを抜かれてしまう可能性がある




よく見るとドメインはapple.comではなく某国のドメインなのだが
app-renew.usaと書かれるとアメリカのサイトかなと勘違いする人もいるかもしれない
その下のApple商品ページへのリンクはすべてダミーなのがまだ作りが甘い




例によって存在しないメールアドレスと存在しないパスワードでログインしてみた




ログインできた
アクティベーションコードとか書かれているがこれを入力するフォームは
どこにもなく「次の」ボタンをクリックする以外にない
これまでの詐欺サイトと比べ日本語はかなりこなれてきているが
「次の」ボタンで相手は日本人ではないことがばれてしまった




そして個人情報を入力させるフォーム
しかし目的はこれではないだろうから
相手は日本人ではないのだし意味不明の内容を適当に入れた
国名と電話番号だけはさすがに国の名前と数字を入れないと
ダメとチェックされたがそれ以外はすべて素通しだった




つまり彼らの最終目的はこれ
カード番号とセキュリティ番号、有効期限を名前やAppleID、
パスワードととセットで抜き取りたいということ




こんなもんに引っかかる奴がバカとかなめていてはいけない
パソコンで見たらチャチな作りでもスマホだと本物と偽物の区別がつきにくい
スマホでは先ほどのリンクのドメインが見えないの真偽の判定がしにくい上に
差出人のアカウント、アドレスもフル表示されないのでここで偽物を見抜くことも困難だ




そのメールアドレスをタップすると
これまたAppleサービスっぽいドメインのメールアドレスが表示される(.co.jpだが…)




こちらが本物のAppleのAppleID確認・リセットページへのリンクメール
本物はちゃんと受取人のメールアドレスを特定して本文に乗せているが
ここまでこまめに偽装するニセメール制作者が現れればここを真贋の識別ポイントにもできなくなる
実際そういう奴が出てくるだろう




本物はサポートページやプライバシーポリシーへのリンクもちゃんと本物
しかしこのように見た目でそっくりなだけでなくポリシーなどへのリンクも
ちゃんと 本物っぽく作る奴が現れたらスマホでは真偽が判断できないに違いない
実際この時は不正アクセスされたかと思って出先でiPhoneを使ってAppleIDのパスワード変更をした
思い当たる節がある時にiPhoneで本当に絶対ニセメールに引っかからないかは確信が持てないかも




一応Appleの本物のAppleID認証サービスのサポートメールはこのアカウントで送られてくる
ちゃんとapple.comなのに注目
しかしスマホの場合メールのヘッダにこの送信者のドメインが
しっかり表示されないのがやはり一種のセキュリティ的弱点だと思う




このニセメールの差出人だがパソコンで見てもAppleサービスが差出人になっている




しかしヘッダを詳細表示するとこのアカウントは認証された差出人ではなく
mail-lf0-f100.google.comというGoogleメールアドレスが詐称していることがわかる
問題はここまでの確認がスマホだとできないことだと思う
PCを使わずにスマホだけでネット接続しているユーザも多いので
ユーザ側もこういうところを確認する習慣が失われているかもしれない



これはスマホ、とりわけiPhoneを狙い撃ちしたフィッシングメールなのが明白で、Macなどでメールをよく見ればすぐにフィッシングだとわかるのだが、そういう識別がしにくいiPhoneの弱点を見事に突いている。

最近実際アカウントに不正アクセスされてパスワードを変更した直後のユーザだったら、身に覚えがあるから出先で急いで確認せずにiPhoneで変更をかけたくなって引っかかってしまうかもしれない。

詐欺サイト作者がもう少しリンクなどを作り込んで、もう少し日本語の間違いも減らせば本当に騙される人も出てくるだろう。
出先でiPhoneなどを使って慌ててパスワードの再認証や変更などをかけないこと、カード認証の情報の確認はiTunes StoreなどのユーザーリンクからAppleサイトに入ることなどを心得ておくことが必要になると思う。




2017年6月24日








セキュリティに関するtips

anchor

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ!

またもや「あなたのAppleIDの情報を24時間以内に確認しないとIDが凍結される」というスパムメールが来た。

おなじみの手口なのだが、だんだん精度が高くなってきてメールとメールから誘導される詐欺サイト共に嘘くささがなくなってきて、日本語の間違いも減ってきた。

IDの認証についてトラブっている最中にこういうメールが来たら、うっかり騙されるということもあるかもしれない。

毎度言っていることだが、こういうメールのリンクからサイトに入ってアカウント情報を更新したりしないこと。
どこにでもパスワードなどの情報をうっかり入力したりしないこと…防衛策はここらに尽きると思う。





Appleを名乗る差出人からAppleIDがロックされるというメールが来た




差出人はAppleを自称するapleid.comのドメインのメール
今回はもうヘッダの確認も省略したがこれ自体が詐称差出人だろうし
オリジナルのメールサーバーは中国か南米かプロキシサーバ経由なんだろう




アカウントの確認をするためにアカウント情報の追記をしろ
という内容でその入力のリンクが張られている




リンク先は嘘くさいチャラチャラしたAppleサイトもどきではなく
かなり本物っぽいAppleサポートサイトが現れる
URLを確認すれば明確なのだがもちろん本物ではない
例によって実在しないAppleIDと使ったことがないパスワードでログインする




そしてこの詐欺サイトの目的はやっぱりこれだ
AppleIDとひも付けたクレジットカードのカード番号、セキュリティコード、パスワードを要求される



2017年8月6日








セキュリティに関するtips

anchor

『Dropboxのアカウント登録確認の認証をせよ』というメールでアカウント・パスワードをだまし取る偽メールがお馴染みの手口で登場

「Apple IDが無効になったのでAppleの確認ページで認証をしろ」
という趣旨の偽メール、それもきちんとした日本語でちゃんとリンゴマーク入りヘッダの付いたものを、Apple.co.jpで送りつけてくるメールが相当出回っているという話はここでも過去何度か取り上げた。

「あなたのAppleIDが凍結されている。至急リンク先ページでIDの確認をせよ」という内容のno.reply@appleid.ssl.comのメールはフィッシングだから気をつけろ!<さらに追記あり>

「あなたのAppleIDが凍結されている、直ちにロック解除してください」というメールがまた来ている〜リンク先を覗いてみたがおなじみの手口だった…

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ!

どれも明確にスマホユーザー狙いで、スマホが表示領域の問題でパソコンと比べると偽装のボロを出しにくいという特性を悪用している。
総体にスマホユーザーの方がパソコンユーザーよりも情弱が多いということも関係あるかもしれない。

ほぼ同じ手口で(おそらく作者も同じ?)今度はDropboxのアカウント情報狙いの偽メールが昨日から飛び交っている。





「サインアップを完了する前にアカウントを認証する必要がある…」というアカウントを
作った直後に飛んでくるようなメールが昨日複数アカウントに飛んできた
認証が切れたのかと思わせたいのかリンクに誘導する




差出人はdropbox.comの本物っぽいメールアドレスなので(もちろん偽装だが)
ここでフィッシングを見破ることはできない




リンク先のサイトのデザインも本物っぽいので
ここまでで見破れるポイントはURLフォームしかない
これについては後述




ちなみにこちらが本物のDropbox社からのアカウント確認メール




差出人は本物も偽メールと同じno-reply@dropbox.com




本文は翻訳調の日本語なのでAppleID偽メールがそうだったように
偽メールの方もすぐにこの程度のこなれた日本語版が出てくるだろう




偽メールのリンク先をMacのブラウザで開いてみた
サイトデザインはもっともらしいが下の「Click Here」をクリックしても
このページに戻ってくるだけで結局右上の「サインイン」に誘導して
アカウントとパスワードを盗むのが目的だった
個人情報狙いかな?




左上のDropboxアイコンをクリックしたらCentOS版のApacheの
テストページが出てきたのはちょっと面白かった
まだいろいろ試行錯誤中なんだろう…




ちなみにこちらが本物のDropboxのサインインページ
サイトのデザインなんて簡単に真似ができるのでアイコンの違いとか
フォームの有無などは識別の参考にはならない




URLウインドウでサイトのURLを確認するのが古典的だがやはり一番確実な方法だと思う
SafariならURLに認証が付いていたらこんな感じで緑の被認証社名が出る
認証がない場合もドメインがちゃんとしているかどうかが確実な識別ポイントだ
上の公式サインインページのURLはwww.dropbox.comという公式ドメインになっているのが見て取れる



2017年9月2日








セキュリティに関するtips

anchor

『お前のメールアドレスを乗っ取った、PCも乗っ取った、Hな画像を見てHogeHogeしているお前の顔をWebにあげたので公開して欲しくない場合はBitコインで金を払え』というメールが届くようになった

この数日、表題のような内容のメールが届くようになった。

このメールがいかにもGoogle機械翻訳に頼ったようなたどたどしい日本語なのだが、日本語にわざわざ訳して送りつけてくるところを見るとこちらが日本人であるという個人情報をつかんだ上で送ってきているということらしい。

さらにいうと『お前のメールを乗っ取った、お前のメールのパスワードは◯◯だ』という内容が含まれているということだ。

このパスワードが今では使用していないがまさに15年前にYahoo Japanから漏えいしたパスワードだった。

孫のハゲ!
たった1000円でなかったことにしようとしやがったが、おかげでYahooから漏えいしたアカウントパスワードのリストはスパム業者・ハッカーの間で売買されてついに世界中で流通するまでになったということぢゃないか!





ある日を境にこういうメールが毎日のように飛んでくるようになった
発信者が私のメールを偽装しているのはこれまでもあったことなので驚かない
問題は私のメールのパスワードをズバリ言い当てて(ただし15年前の漏えいの時に変更済みだが)
お前のパスワードでお前のPCのリモートデスクトップを乗っ取ったといっていることだ
おしい!ウチにはリモートデスクトップで遠隔操作できるパソコンがないのだよ
MacBook ProはじめMacはリモートデスクトップでは乗っ取れないのだよ



このメールの本文は機械翻訳の変な日本語なので、正しい日本語に再翻訳すると以下のようになる。

こんにちは!

突然のメールを不審に思っているかもしれないが、私はあなたのアカウント◯◯@yahoo.co.jpをハッキングし、そこからメールを送った。
あなたのデバイスは完全に私の支配下にある!

たとえば、◯◯@yahoo.co.jpのパスワードは◯◯です

あなたが閲覧していたポルノサイトに仕込んだマルウエアにより、RDP(Remote Desktop)であなたのPCを乗っ取った。 キーロガーを使ってWebカメラも乗っ取った。
メッセンジャー、SNS、メールも全部こちらに筒抜けだ。

2画面のHなビデオとそれを見ながら恍惚としているあなたの顔を編集してWebにあげた。
公開して欲しくないなら$850をBitcoinで支払え。
私のBTC住所: 1AVoeWk9HMud7jpiP4sRQ4vS72YqcXwwM2
(大文字小文字を識別するのでコピーして貼り付けてください)

支払は2日以内。交渉はなし。
このメールを読んだことがわかるように特定のピクセルを仕込んだ。

BitCoinが支払われなければ、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。

次回は注意してください!もっとましなウイルス対策ソフトウェアを使用してください!


最後は大きなお世話である。

しかしWebサイトに仕込んだマルウエアでリモートをとって、SNSやカメラまで自由に操れるとか、メールに仕込んだ「ピクセル(?)」により読んだかどうか遠隔からわかるとか、好き放題妄想を描いたものだ。

これだけだったら子供のいたずらと気にも留めなかったのだが、この「お前のパスワードは◯◯だ」という部分が正しく15年前にYahoo Japanから漏れたパスワードだったので、ちょっと、いや、かなりどきっとした。
Macが乗っ取られた形跡がないか、Yahooのアカウントに不正にログインされた形跡がないか思わず確認した。

もちろんパスワードは15年前に変更しているのでそんなことはあり得ないのだが、あの時のリストが未だに海外にまで売買されているのだと思うとちょっとげんなりした。





メールのヘッダを詳細表示してみた
メールの送信者は自分のメールアドレスのように偽装されているが
赤で囲われたところをみると「認証されていないユーザが名乗ってる」と
ハッキリ出ておりメールアドレスを詐称したIPアドレスがしっかり表示されている
差出人の詐称は古典的な手法でこれ自体はよくあるスパムの手口




こうなったらオジサン掘っちゃうぞ…
このIPアドレスはベトナムテレコムで割り当てられているGIPでベトナムから発信されている




ほぼ同内容の機械翻訳スパムメールはメキシコから飛んできていた




そして同じくほぼ同内容の別のメールはポーランドから飛んできていた



残念、このことから察するにメールの送り主はTORかなんか使ってプロキシからこのメールを送りつけてきているのかな。

ビットコインのアドレスはおそらく本物だろうから、ここから問い合わせたら割り出せるのかな。
ビットコインがそんな問い合わせに応えるような真面目な企業によって運営されているようには思えないけど。


【追記】
そういえば当時Yahooのユーザリストは数万だったか、数十万だったかのオーダーで漏出したはずだ。
その全員に「お前のパスワードは◯◯だ」という文面を送りつけているのかもしれない。

ということは何人か引っかかってBitCoinを振り込んでいるのかもしれない。
ランサムスパムとして案外効率がいいかもしれないな。

昔一度だけお試ししたWebサービスとかを、このメールとパスワードの組み合わせで登録したかもしれないので、ひょっとしたらそういうところが乗っ取られるかもしれない。
いずれもWebサイトおすすめリンクページとか、アフィリエイトとかだから直接害はないかもしれないけど。
ただそういう十数年以上前に一度だけお試ししたところが、どんなパスワードで登録しているかなんてもう記録も残っていないのでどうしようもない。

パスワードの使い回しはくれぐれもやめましょうという教訓かな。

それと信頼できないWebサービスには個人につながる情報は登録しない…この2点に尽きるな。




2018年10月9日








セキュリティに関するtips

anchor

「Macが3つのウイルスに感染しています」とかいきなりAppleCare(もどき)のページに飛ばされてセキュリティソフトをダウンロードさせる正体不明の「Mac Cleaner」というソフトについて

自宅の当サイトのバックアップを表示チェックしていたら、いきなり下記のキャプチャのようなAppleのホームページ(?)に飛ばされて、AppleCareが「ウイルスに感染しているからMacをスキャンしろ」という。

AppleCareにそんな機能があったっけ?とかいう以前にうちのMacは一台もAppleCareに入っていないではないか…というところでもうすでに噴飯ものなのだがせっかくなのでちょっとお付き合いすることにした。

ひょっとしたら新手のランサムウエアか何かを釣り上げたんじゃないかと思って。

ただ自分のサイトのリンクを踏んだ時に、ここに飛ばされたのがちょっと嫌な感じなのでサイトバックアップは全消去してローカルのマザーをアップロードし直した。
なにかスクリプトをインジェクトされたような気配はなかったが一応念のため。
この記事を書き終えたらMacServerの本家サイトも全面上書きする。





本日自宅サーバーの弊サイトのバックアップのリンクチェックを
していたらいきなりこんなページに飛ばされた
Appleのホームページのような体裁を装っているが
上のリンクは全部ダミーだしそもそもAppleCareにウイルス検知の機能なんかない




こういう時はまずURLのドメインの項目を確認するのが心得
当然だがこのAppleもどきサイトはapple.comではなくrackcdn.comというドメインだった




さっそく掘っちゃうぞ…ということでwhoisで検索してみたが貸しドメイン屋の情報しか出てこない




虎穴に入らずんば虎子を得ず…でもないが情報が得られないなら乗ってみる
おすすめに従ってスキャンをかけてみた




そうすると2つのウイルスと1つのスパイウエアに感染しているので
駆除ソフトをダウンロードせよというのでダウンロードしてみた
「MacCleaner」というソフトなんだそうだ




ダウンロードが完了したらさっそくClamX AVに捕まった




ClamX AVの判定はこのインストーラはPUA.OSX.AMCに感染しているとのこと
PUAとは PUA (Possibly Unwanted Application)つまり「望ましくないソフトウエア」
夏頃にMacKeeperなんかがPUA認定されて話題になっていたが要は有効な機能もないのに
ユーザを脅してアプリを購入させる強引なマーケティングをするアプリという認定のようだ




ClamX AVに隔離されてしまったがインストーラはしっかり確保したので調べさせてもらう




Pacifistで中身を見させてもらったら中にがディスクイメージが一個ゴロンと入っているだけ
このイメージをマウントするとこの中に本当のインストーラが入っているということらしい
でた!迷惑ウエア特有の入れ子構造…リバースエンジニアリングを嫌っているだけかもしれないが
ウイルス対策ソフトにこんな入れ子構造は必要ない気がするのは私だけ?




このディスクイメージはMacCleanerさんの管理者パスワードで
ガッチリ守られていて中身を見ることはできなかった




そして先ほどのAppleCareもどきのページを
もう一度表示しようとしたらもう逃亡した後でした…
レンタルドメインを次々切り替えてDNSのレピュテーションサービスの
有害サイト認定をかいくぐる気満々ということか



この「MacCleaner」がどの程度有害なソフトかは未テストなので不明。
Appleのサイトを偽装してウイルス感染と脅して駆除ソフトをダウンロードさせて、しかもそのもどきサイトも短時間に逃亡しているという振る舞いだけで、このアプリがどれほど有益なソフトか知れるというものなのでもうテストも省略させてもらった。

かつてMacKeeperがこれと同じようなことをやらかしてすっかり評判を落としていた事例を思い浮かべるが、このMacCleanerはAppleのサイトを偽装しているだけ悪質だ。

やはり夏頃、PUA認定が出ていたAdvanced-MacCleanerと同一ソフトなのか別物なのかは不明。
また世の中にはMacCleanerという別物の真面目なソフトもあるので話はとても紛らわしい。

MacSweeperという真面目なソフトと、MacSweeperというランサムウエアがあったがこういうマルウエアはこういう紛らわしい名前にしたがるので注意が必要だ。




2018年11月21日








セキュリティに関するtips

anchor

「Macが3つのウイルスに感染しています」とかいってAppleのニセサイトに誘導してセキュリティソフトをダウンロードさせる押し売り広告がどうやら蔓延している

先日も取り上げたがブラウザが突然画面が切り替わって「お前のMacはウイルスに感染している、今すぐスキャンしろ」というAppleのサポートサイト(もどき)に飛ばされる手口がどうやら各所で蔓延しているらしい。

詳細はこちらにも触れた。
「Macが3つのウイルスに感染しています」とかいきなりAppleCare(もどき)のページに飛ばされてセキュリティソフトをダウンロードさせる正体不明の「Mac Cleaner」というソフトについて

今回はツイッターのクライアントからリンクを踏んでYouTubeを開いたらいきなり画面が切り替わってキャプチャーのAppleサポートページ(自称)に切り替わったのでYouTubeから何か打ち込まれたのかもしれないと思ってスキャン、ダウンロードボタンを押してしまう初心者がいるかもしれないと思った。

Safariなどのブラウザが開いて「ウイルス感染発見」とか言われたら、いくらAppleのロゴが貼ってあっても100%偽物だから決してスキャン、ダウンロードボタンなどを押してはいけない。

なお「ウイルス対策ソフトを入れていてこういう詐欺サイトはブロックしてくれる機能があるから自分は関係ない」などとタカをくくってはいけない。

このニセサイトは数時間で姿をくらませて別のURLでまた現れるという動きをしており、いわゆるマカフィーやノートンなどの詐欺サイトブロック機能「Webレピュテーション」などの対策の弱点を突くような操作をされている。

その手のウイルス対策ソフトが「有害サイト」として認定した頃にはとっくに該当サイトは逃亡して消えている。

そして貸しドメイン屋から大量にドメインを購入しているようなので、次から次へと新しいニセサイトを移動して表示している。
そしてそのニセサイトに飛ばす広告はYouTubeやまとめ系サイトなどのアフィリエイトに大量に潜り込んでいるようだ。





ツイッタークライアントのツイートのリンクをクリックしたらYouTubeが開いて
すぐにこのページに飛ばされるまでアレヨアレヨという間だった
そしてこのページ、前に紹介した時と違ってAppleのリンゴロゴが赤から
グレーに変わっているし「AppleCare」とかいう間抜けな表示もやめたようだ
どうやらこのページを作っている奴は日本語が堪能、あるいは日本人で
「Appleは今頃あんな赤いリンゴのマークは使っていない」「AppleCareはウイルス対策サービスではない」
とかのSNSのツッコミを読んで常にページを改善しているような気がする




そしてやはりMacがウイルスに感染しているのでスキャンソフトを
ダウンロードしろというページに飛ばされる
ダウンロードが完了したら右上のダウンロードボタンを
押してインストールせよと迫っている




ダウンロードしたスキャンソフトは即ClamXAVSentryに捕まって
隔離フォルダに移動されるところまで前回と全く同じ
そして前と同じ「MacCleaner」というソフトがPUA.OSX.AMC
というマルウエアであるという認定も全く同じ




最初のAppleサポートページをもう一度表示しようとしたらまたもや逃亡した後だった




しかしダウンロードサイトはどうやら固定のURLで運用しているようなので
そのドメインをWHOISで掘ってみたらこんな感じだった
パナマのサーバーを指し示していたがパナマ人が日本人を
騙そうとして仕組んでいるというわけではないだろう
こういう管理が緩い国のサーバーや貸しドメイン屋を使っているだけで
日本人または日本人をターゲットにしている人物の仕業という感触が高い
そしてこのニセサイトはアフィリエイトとしてYouTubeや
あちこちのブログ向けアフィリエイトサービスに潜り込んでいるようだ
対策としては「感染している!」とか書いているサイトが開いたら
何もしないで即閉じる…これに尽きる



2018年12月16日













Previous Topへ Next





site statistics
青木さやか