Previous Topへ Next

OSXのtips3-12

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

Macの著名ビデオ変換アプリにトロイの木馬「Proton」が混入して相当数のMacが感染している恐れが出てきた〜KeyChain、1Passwordの情報が狙われているようだ

5月8日のMalwarebytes Labsが取り上げた情報で、Macのビデオ変換アプリHandBrakeのサーバーがクラックされ、Macの個人情報・セキュリティ情報を抜き取る新型のトロイの木馬「OS X Proton B」が混入していたというニュースが流れた。

ソースによるとサーバーのクラックとマルウエアの混入は5月2日に起こったと見られているということだ。
このトロイの木馬はキーチェーンのパスワード情報や1Passwordの情報を抜いて特定のサーバーに勝手に送信する動きをするとのこと。

該当のHandBrakeのバージョンは1.0.7。





早速アプリケーションフォルダのHandBrakeのバージョンを確認すると1.0.7でビンゴ!
1.0.7にアップデートした日付をTime Machineに入って確認したところ5月1日で
HandBrakeが汚染したのが5月2日というのは現地時間だから微妙なところ




マルウエアに汚染されたHandBrakeは初回起動時に特徴的な振る舞いをする
これは「Malwarebytes Labs」で掲載された画像だが
HandBrakeは追加のコーデックをインストールするか?」とパスワードを求めてくる
通常のHandBrakeの起動でパスワードを求められないしこの時に感染が起きるようだ
今回のアップデート後にパスワードを求められたかどうかは記憶がはっきりしない
そういうことはなかった気がするがいつも注意しているわけではないのではっきりしない




そこで念のために久しぶりにClamXavで起動ボリューム全域スキャンを実施した
その結果いくつかのスパムメールと古い既知のブラウザ、ゲームアプリを検知しただけだった

anchor

Malwarebytes
(Freeware)
OS10.9Mavericks対応OS10.10Yosemite対応OS10.11El Capitan対応
OS10.12Sierra対応WindowsXP~7対応

Macでも被害を出している特定のトロイの木馬を検知する専用セキュリティアプリ。

Mac版はMalwarebytes for Macという名称でフリーウエアで配布されている。

今回のOS X Proton Bマルウエア騒動の最初の情報元のMalwarebytes Labが発表後すぐにこれに対応するMalwarebytesシグニチャーをリリースして対応した。

ClamXavで一応陰性の結果が出たが、念のためにこのマルウエアに対応したMalwarebytesでもスキャンしてみた。





Malwarebytesは初回起動時ヘルパーツールのインストールを求められる




Malwarebytesの使い方はとても簡単
スキャンボタンをクリックして結果を待つだけ




動きを見ていると特定のアドウエア、トロイの木馬の
パターンで全域をスキャンするという仕組みのようだ
シンプルな仕組みなので動作は軽快で非常に早い




結果は「マルウエアは見つかりませんでした」とのことでまずは一安心
もし問題が起きたらリンク先のページへ飛んで解決せよと言われる
マルウエア発見の画像を見るとユーザライブラリの中に
RenderFiles、VideoFrameworksというファイルを生成するようだ
通常は存在しないこのファイルがインストールされたマルウエア本体らしい




Malwarebytesのメニューにはシステムスナップショットという項目がある
現在どんな機能拡張などのプラグインがインストールされているかスナップショットをとって
問題が起きた時何が増えているかを比較することで新種のマルウエアの発見が早くなるかもしれない



2017年5月10日








セキュリティに関するtips

anchor

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

昨日『Appleサービス』を名乗るアカウントから「アカウント情報の一部が誤っているためログイン、リアクティベーションできない、AppleID情報を確認せよ」という意味合いのメールが届いた。

最近流行りのAppleID乗っ取りまたはクレジットカード認証情報抜き取りの詐欺メールっぽいのだが、身に覚えがあるメールアドレスだし確認することにした。

その過程で思ったのは今までのおざなりの詐欺メール・詐欺サイトと違ってかなり騙す方も本気になってきていることを感じた。

以下その詳細を。





ある日自称『Appleサポート』からAppleIDが
ログインできなくなっているとのお知らせメール




アカウント情報が間違っているので今すぐ
確認サイトに行って認証せよという内容




最後のサポートやプライバシーポリシーが
リンクではなく単なる青文字なのがご愛嬌だが
本当に作り込んだらこういうリンクも作って
本物そっくりのポリシーページを作る奴も出てきかねない
今回はそう思った根拠が幾つかある




htmlをブラウザで表示して認証ページのリンク先を表示したら短縮URLが使われていた
こういうリンクを短縮URLで記述すること自体ありえないのだが
スマホだと「こう見えるのかな?」と思ってタップしてしまうケースもあるに違いない




リンク先はAppleのサイトそっくりのログオンページになっているので
まずここで信じてしまうとAppleIDとパスワードを抜かれてしまう可能性がある




よく見るとドメインはapple.comではなく某国のドメインなのだが
app-renew.usaと書かれるとアメリカのサイトかなと勘違いする人もいるかもしれない
その下のApple商品ページへのリンクはすべてダミーなのがまだ作りが甘い




例によって存在しないメールアドレスと存在しないパスワードでログインしてみた




ログインできた
アクティベーションコードとか書かれているがこれを入力するフォームは
どこにもなく「次の」ボタンをクリックする以外にない
これまでの詐欺サイトと比べ日本語はかなりこなれてきているが
「次の」ボタンで相手は日本人ではないことがばれてしまった




そして個人情報を入力させるフォーム
しかし目的はこれではないだろうから
相手は日本人ではないのだし意味不明の内容を適当に入れた
国名と電話番号だけはさすがに国の名前と数字を入れないと
ダメとチェックされたがそれ以外はすべて素通しだった




つまり彼らの最終目的はこれ
カード番号とセキュリティ番号、有効期限を名前やAppleID、
パスワードととセットで抜き取りたいということ




こんなもんに引っかかる奴がバカとかなめていてはいけない
パソコンで見たらチャチな作りでもスマホだと本物と偽物の区別がつきにくい
スマホでは先ほどのリンクのドメインが見えないの真偽の判定がしにくい上に
差出人のアカウント、アドレスもフル表示されないのでここで偽物を見抜くことも困難だ




そのメールアドレスをタップすると
これまたAppleサービスっぽいドメインのメールアドレスが表示される(.co.jpだが…)




こちらが本物のAppleのAppleID確認・リセットページへのリンクメール
本物はちゃんと受取人のメールアドレスを特定して本文に乗せているが
ここまでこまめに偽装するニセメール制作者が現れればここを真贋の識別ポイントにもできなくなる
実際そういう奴が出てくるだろう




本物はサポートページやプライバシーポリシーへのリンクもちゃんと本物
しかしこのように見た目でそっくりなだけでなくポリシーなどへのリンクも
ちゃんと 本物っぽく作る奴が現れたらスマホでは真偽が判断できないに違いない
実際この時は不正アクセスされたかと思って出先でiPhoneを使ってAppleIDのパスワード変更をした
思い当たる節がある時にiPhoneで本当に絶対ニセメールに引っかからないかは確信が持てないかも




一応Appleの本物のAppleID認証サービスのサポートメールはこのアカウントで送られてくる
ちゃんとapple.comなのに注目
しかしスマホの場合メールのヘッダにこの送信者のドメインが
しっかり表示されないのがやはり一種のセキュリティ的弱点だと思う




このニセメールの差出人だがパソコンで見てもAppleサービスが差出人になっている




しかしヘッダを詳細表示するとこのアカウントは認証された差出人ではなく
mail-lf0-f100.google.comというGoogleメールアドレスが詐称していることがわかる
問題はここまでの確認がスマホだとできないことだと思う
PCを使わずにスマホだけでネット接続しているユーザも多いので
ユーザ側もこういうところを確認する習慣が失われているかもしれない



これはスマホ、とりわけiPhoneを狙い撃ちしたフィッシングメールなのが明白で、Macなどでメールをよく見ればすぐにフィッシングだとわかるのだが、そういう識別がしにくいiPhoneの弱点を見事に突いている。

最近実際アカウントに不正アクセスされてパスワードを変更した直後のユーザだったら、身に覚えがあるから出先で急いで確認せずにiPhoneで変更をかけたくなって引っかかってしまうかもしれない。

詐欺サイト作者がもう少しリンクなどを作り込んで、もう少し日本語の間違いも減らせば本当に騙される人も出てくるだろう。
出先でiPhoneなどを使って慌ててパスワードの再認証や変更などをかけないこと、カード認証の情報の確認はiTunes StoreなどのユーザーリンクからAppleサイトに入ることなどを心得ておくことが必要になると思う。




2017年6月24日








セキュリティに関するtips

anchor

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ!

またもや「あなたのAppleIDの情報を24時間以内に確認しないとIDが凍結される」というスパムメールが来た。

おなじみの手口なのだが、だんだん精度が高くなってきてメールとメールから誘導される詐欺サイト共に嘘くささがなくなってきて、日本語の間違いも減ってきた。

IDの認証についてトラブっている最中にこういうメールが来たら、うっかり騙されるということもあるかもしれない。

毎度言っていることだが、こういうメールのリンクからサイトに入ってアカウント情報を更新したりしないこと。
どこにでもパスワードなどの情報をうっかり入力したりしないこと…防衛策はここらに尽きると思う。





Appleを名乗る差出人からAppleIDがロックされるというメールが来た




差出人はAppleを自称するapleid.comのドメインのメール
今回はもうヘッダの確認も省略したがこれ自体が詐称差出人だろうし
オリジナルのメールサーバーは中国か南米かプロキシサーバ経由なんだろう




アカウントの確認をするためにアカウント情報の追記をしろ
という内容でその入力のリンクが張られている




リンク先は嘘くさいチャラチャラしたAppleサイトもどきではなく
かなり本物っぽいAppleサポートサイトが現れる
URLを確認すれば明確なのだがもちろん本物ではない
例によって実在しないAppleIDと使ったことがないパスワードでログインする




そしてこの詐欺サイトの目的はやっぱりこれだ
AppleIDとひも付けたクレジットカードのカード番号、セキュリティコード、パスワードを要求される



2017年8月6日








セキュリティに関するtips

anchor

『Dropboxのアカウント登録確認の認証をせよ』というメールでアカウント・パスワードをだまし取る偽メールがお馴染みの手口で登場

「Apple IDが無効になったのでAppleの確認ページで認証をしろ」
という趣旨の偽メール、それもきちんとした日本語でちゃんとリンゴマーク入りヘッダの付いたものを、Apple.co.jpで送りつけてくるメールが相当出回っているという話はここでも過去何度か取り上げた。

「あなたのAppleIDが凍結されている。至急リンク先ページでIDの確認をせよ」という内容のno.reply@appleid.ssl.comのメールはフィッシングだから気をつけろ!<さらに追記あり>

「あなたのAppleIDが凍結されている、直ちにロック解除してください」というメールがまた来ている〜リンク先を覗いてみたがおなじみの手口だった…

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ!

どれも明確にスマホユーザー狙いで、スマホが表示領域の問題でパソコンと比べると偽装のボロを出しにくいという特性を悪用している。
総体にスマホユーザーの方がパソコンユーザーよりも情弱が多いということも関係あるかもしれない。

ほぼ同じ手口で(おそらく作者も同じ?)今度はDropboxのアカウント情報狙いの偽メールが昨日から飛び交っている。





「サインアップを完了する前にアカウントを認証する必要がある…」というアカウントを
作った直後に飛んでくるようなメールが昨日複数アカウントに飛んできた
認証が切れたのかと思わせたいのかリンクに誘導する




差出人はdropbox.comの本物っぽいメールアドレスなので(もちろん偽装だが)
ここでフィッシングを見破ることはできない




リンク先のサイトのデザインも本物っぽいので
ここまでで見破れるポイントはURLフォームしかない
これについては後述




ちなみにこちらが本物のDropbox社からのアカウント確認メール




差出人は本物も偽メールと同じno-reply@dropbox.com




本文は翻訳調の日本語なのでAppleID偽メールがそうだったように
偽メールの方もすぐにこの程度のこなれた日本語版が出てくるだろう




偽メールのリンク先をMacのブラウザで開いてみた
サイトデザインはもっともらしいが下の「Click Here」をクリックしても
このページに戻ってくるだけで結局右上の「サインイン」に誘導して
アカウントとパスワードを盗むのが目的だった
個人情報狙いかな?




左上のDropboxアイコンをクリックしたらCentOS版のApacheの
テストページが出てきたのはちょっと面白かった
まだいろいろ試行錯誤中なんだろう…




ちなみにこちらが本物のDropboxのサインインページ
サイトのデザインなんて簡単に真似ができるのでアイコンの違いとか
フォームの有無などは識別の参考にはならない




URLウインドウでサイトのURLを確認するのが古典的だがやはり一番確実な方法だと思う
SafariならURLに認証が付いていたらこんな感じで緑の被認証社名が出る
認証がない場合もドメインがちゃんとしているかどうかが確実な識別ポイントだ
上の公式サインインページのURLはwww.dropbox.comという公式ドメインになっているのが見て取れる



2017年9月2日













Previous Topへ Next





site statistics
青木さやか