  |
はてなキーワード: フィッシングメールとは
Akira Ransomwareは、近年特に注目されているランサムウェアの一つで、その動作は高度で多様な手法を取り入れています。以下に、Akiraランサムウェアの動作について詳しく説明します。
侵入経路
Akiraは主にフィッシングメール、リモートデスクトッププロトコル(RDP)の悪用、既知の脆弱性の悪用などを通じてシステムに侵入します。特に、未修正のソフトウェアやシステムの脆弱性を狙うことが多いです。
初期感染と展開
システムに侵入すると、Akiraはネットワーク内で横移動を試みます。これは、ネットワーク内の他のデバイスにも感染を広げるためです。横移動には、認証情報の窃取や利用可能なネットワーク共有の探索が含まれます。
ファイル暗号化の前に、Akiraはターゲットシステムの特定のディレクトリをスキャンし、暗号化対象のファイルをリストアップします。次に、強力な暗号化アルゴリズム(通常はAESとRSAの組み合わせ)を使用して、ファイルを暗号化します。
最近のバージョンでは、部分的な暗号化手法(インターミッテント暗号化)を採用することで、暗号化速度を上げつつ、検出を回避する手法が確認されています (Bitdefender)。
データの窃取
暗号化に加えて、Akiraは重要なデータを盗み出し、そのデータを公開することで二重に脅迫することがあります。これにより、被害者に対する身代金要求の圧力を強化します。
暗号化が完了すると、被害者のデスクトップに身代金要求メッセージが表示されます。このメッセージには、データを復号化するための手順と支払い方法が記載されています。通常、暗号通貨(ビットコインなど)での支払いが求められます。
特徴的な技術
RustとC++の利用
Akiraの一部バージョンはRustというプログラミング言語で書かれており、これによりコードの安全性が向上し、セキュリティ研究者による逆コンパイルが難しくなっています。また、C++で書かれたバージョンも存在し、多様な環境での実行が可能です (CISA)。
VMware ESXiの標的化
Akiraは特にVMware ESXi仮想マシンを標的とすることが多く、これにより企業の仮想環境全体に影響を与えることができます。
Akiraは単純なファイル暗号化にとどまらず、データ窃取やネットワーク内での横移動、他のマルウェアの導入など、多層的な攻撃手法を組み合わせています。これにより、攻撃の成功率を高め、被害者に対するプレッシャーを強化します。
ここの結論を先にいうと,神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった.
これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガク https://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-kanagawa.jp は違う),その状況だけ見ても本物に混じって偽物がスパムやフィッシングを行っていてもほぼ見分けが付かないのである.
Google から見ても,取得が容易なjpドメインで最近取得したドメイン,似たようなドメイン,似たようなメール,が送られてくるのである.ユーザの受信ボックス・迷惑メール・ゴミ箱に大量に届く懸念がある以上,ブロックするのが定石である.
仮にブロックせず受信ボックス・迷惑メール・ゴミ箱に届けた場合,大量送信によってユーザの使用量を圧迫し 15 GB 到達すると,そのユーザは新規のメールを受信できなくなり本当に必要なメールを取りこぼす可能性がでてきてしまう(容量空ければ受信できなかったメールを受信し始めるわけではない).
なので,大量送信 SPAM 判定したメールはできる限りブロックする選択が,Gmail にとってある意味最善手なのである.
なお,神奈川県は令和 4 年度までは @pref.kanagawa.jp をメールで使っていたが令和 4 年度以降から @pref.kanagawa.lg.jp に切り替えているので,ベストは shutugan.pref.kanagawa.lg.jp であったと思われる.
サブドメイン毎にドメインレピュレーションが分かれているためあまり深い意味はないが,少なくとも pref.kanagawa.lg.jp は 2007/04/16 に登録され有効なドメインなので,新規登録に比べて信頼性が高いと判断される.
なお,kanagawa.jp と kanagawa.lg.jp の切り替えもいろいろと謎はあるが,それはまた別の問題.
※webページは kanagawa.jp の方だし他方 e-kanagawa.lg.jp なんてのもあり……ちなみに e-kanagawa.jp は 株式会社つくばマルチメディア 登録ドメインで行政は関係ない.
少なくとも動き始めには DKIM / DMARC が設定されておらず,問題になってから設定し始めてもそれはSPAMを頑張る業者と行動様式が似るので無駄なあがきとなっている可能性が高い.
SPF は 2006年,DKIM は 2011年,DMARC は 2016年に出てきた対 SPAM 技術である.DNS 弄ったりメールサーバー建てるような人でないならこれらの設定方法は知らなくてもしかたない.
だがそれらを生業としている側の人間なら, 2024 年現在, 13 年前に提案された DKIM すらちゃんと設定できないというのは,iPhone 4 や Internet Explorer 9 向けの開発しかわかりませんとか,スマホアプリで LINE 聞いたことないというのを 2024年に言っているのと同じレベルなのである.
そのぐらい前の時代に提案された迷惑メール対策・認証系の機能を未実装で本番環境動かすというのは,語弊のある誇張表現をするなら Windows Update や apt upgrade を 13年間しないで通信を試みるようなもので,自殺行為に等しい.
もちろん,その通信を受ける側はこいつヤバいやつだってすぐわかるので,かなり辛口で評価することになり,ちょっとでも SPAM の雰囲気出してきたらブロックするのは定石.
そしてブロックされた SPAM 側はあの手この手でおかまいなしに SPAM 送ろうとするので似たような内容やドメインでしつこく送ろうとするので,似たようなものもどんどんブロックするのである.
なので初手でヤバいやつ認定されないのが極めて重要にもかかわらず,そこを怠っていたのである.
実際に,2024 年 1 月 12 日時点の mail.shutsugankanagawa.jp はどうなっていたかというと DKIM 設定がないまま本番環境を動かしていたようである. https://archive.md/qykwX
ここで実際いろいろ正常化しても,それは SPAM 業者があの手この手でなんとしてでも SPAM 送り届けようと頑張っている様子と一緒なので,ある意味無駄なあがきなのであるどころか,SPAM認定を加速させた可能性も否定できない.
Gmail も SPAM対 策は馬鹿じゃないので,送信ドメインを変えても文面があまり変わっていないなら SPAM とするし,送信元の IP とかも見て SPAM とするので, Amazon SES 使いつづけたり新 IP で何回も試行するとうまくいかないし,送信元信頼性の高い送信サーバーサービス経由で送れたりするようになっても,SPAM扱いされることもよくある.
ちょっと送信に成功しだしてまたいっぱい送り出して SPAM 業者扱いされるのはやっていることが SPAM 業者と同じことというか,その辺の今時の SPAM 業者より SPAM 業者っぽい挙動をしているのである.
今でもたまに Google anti-SPAM/phishing 網をくぐり抜けてくる えきねっと のフィッシングメールもびっくりするほどであろう.
Gmail ユーザーへの送信ガイドラインみたいな文章は,最近の DMARC 騒動で見る人が多いこのページが一番詳しい https://support.google.com/a/answer/81126?hl=ja .今はその騒動に応じてかなり加筆されているが,このページは開発中はどうであったのだろうか.
まず開発スケジュールについては,この開発は神奈川県の調達情報によると,調達案件番号 0001450060020230089R 業務名『神奈川県公立高等学校入学者選抜統合型WEB出願システム構築及び運用・保守業務委託』で間違いないと思われ,開札日が令和5年3月31日だからプロジェクトの始動はその後だろう.
※税金使途への意識高い県民はご存じの通り,ここから誰でも調べられる https://nyusatsu-joho.e-kanagawa.lg.jp/DENTYO/P6515_10
ちょうどその頃の Web Archive がたまたまあって 2023/03/07 時点ではこうなっていた https://web.archive.org/web/20230307005024/https://support.google.com/a/answer/81126?hl=ja
冒頭では
重要: 2022 年 11 月より、Google Gmail アカウントにメールを送信する新規の送信者は SPF または DKIM の設定が必須になりました。
とさらっと メールを送信する新規の送信者は SPF 「または」 DKIM の設定が必須 である一方,『ドメインのメール認証を設定する(必須)』の重要のところをよく読むと,
重要: 2022 年 11 月より、個人用 Gmail アカウントにメールを送信する新規の送信者は、SPF または DKIM を設定する必要があります。Google では、新規の送信者から個人用 Gmail アカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめします。
のようになっていて,「今後の認証要件をサポートするために、必ず SPF と DKIM を設定することをおすすめ」など,やんわりと新規の送信者は認証しっかり 必ず SPF と DKIM を設定することをおすすめ しているのである.
こういう書かれ方しても,個人のメールサーバーとかなら SPF か DKIM どっちかで運用してみてドメインを駄目にしても笑い話になるけど,自治体で運用するシステムであえて,博打に挑戦する必要あるのだろうか.
まぁ本来発注側の要件定義書とかにちゃんと SPF / DKIM を設定することなどと書いておくべき案件だったかなとは思う(たぶん書かれていなかったんだろう).
とにかく今は全世界の3割弱が Gmail と言われている中で,本当に Gmail が謎仕様のブラックボックスで届かないことが多発していたら国内外もっと騒ぎになるので Gmail 側に今回の件で大きな瑕疵があったとはいいがたい.
設定不備およびその後の作業内容で地雷原を突き進んで自爆しているのだろう.
アホらしいけどアホに一番わかりやすくいえば Google Workspace / Gmail 同士では IP メールサーバーのレピュテーションと無縁になれて,世界中の他の宛先にもだいたい問題なく送れるので,SPF / DKIM / DMARC の設定だけ気にすればよく,かなりシンプルなのである.
Amazon SES 使えていたんだから Google Workspace も不可ではないはず(ISMAPに Google Workspace もいるので,あとは要件しだいだけど).
今日は花金で午後暇になったのでざっと調べて書き出したけど,去年(おそらく最小限の修正などで運用するための発注) 3,600,000円 だったシステムを,今年は全面刷新して 138,600,000 円かけたわけだけど,ちょっとさすがに値段の割にお粗末な印象がある.
まぁ入札調書の開札日付が「平成」のままになっていたりしているの見ると教育委員会側も事務方スタッフが発注前から既に疲れてるんだろうなとも思うなど,ただそういう大人の事情はともかく受験生の心情を考えると,本来あるはずのない余計なストレスを掛ける結果に,大人の一員として恐縮してしまう.
一つ思うのはこれ「一般競争入札(技術審査型)」だけど本当にちゃんと技術審査したのかね?する能力あった?安い方に安易に決めてないだろうな??と,突っ込んでいった方が今後の神奈川県の教育環境のために遠からずなるかなと思ったけど,よく考えたら私は神奈川県民じゃなかったわ
今の入金遅れの云々は知らない。もしかしたらとんでもなくキャッシュが流出するなにかがあったのかな?って思ってる。知らんけど。
以下、人から聞いた話なのでどこまで本当かは知らない。
シンプルな単発のフィッシングメールを宿泊施設に送ってきて、その添付ファイルを実行させることでなんらかの方法で予約サイト管理画面に侵入したらしい。
分かっている事実はバカアルバイトが軽い気分で変なメールの偽装exeを実行したということだけ。
そのあとWhat's Appのアカウントでその施設のマネージャーを名乗って予約者に接触(LINEみたいに電話番号でアカウントに接触できたりするのかな?話うろ覚えなので間違ってたらスマソ)
予約の前払いを装ってクレジットカードで支払いをさせる。
まあ普通にインターネットリテラシーがない人でも、現実世界の感覚そのままで詐欺だと気づける人がほとんどで金銭的被害はなかったらしい。
この反省を活かしたのかその後はかなり手口が巧妙化している。
まず適当な名義で宿泊施設に予約を入れる。このとき支払方法やら保証のカード情報なんかはどうでもいい。
予約直後にカードチェックをまともにかけてる施設なんてほとんどねえから。ちなみに予約サイト側でも全てのカードチェックはしてないっぽい(憶測です) NOSHOWでカード番号からチャージかけたら承認通らんとか普通にあるからね。
話が逸れたけど、そしたらさっきの予約と似たような名前を名乗って、宿泊施設にメールを送るんだよ。
「こんど娘がそちらの施設に泊まりにいく。彼女はダウン症(down syndrome)を持っていて、彼女自身を傷つけることができる(she can hurt herself)
など。これ読んでる宿泊業関係者、一度この英語フレーズでメールボックスさらったほうがいいぞ。
そんで、バカ親切なサービス業従事者は特にこういうハンディキャップ系に弱いから、
「かしこまりました。あなたあとあなたの娘のためにベストを尽くします。何をすればいいですか?」
なんて返信するわけ。そうすると
「このリンク(Google Drive)の中に医師のOKとNGリストがあります。洗剤など、これらに準じてお願いします」
もう後はお察しの通りで、中にはpdfの見た目したexeファイルが入ってて、それを実行したらもう終わりの合図っす。
(これは俺の推測なんだけど、このexeファイルがPC遠隔操作的なやつだと思うんだよね。それならログインの二段階認証も関係ないもんねッ)
そのあとは予約者に片っ端からこんなメッセージを、予約サイトのメッセージプラットフォームから送ります。
「予約サイトの問題により、あなたの支払いに問題が発生しました。予約を確定するために、以下のリンクで再度支払いを確定してください」
これが凝ったことに、ひとりひとり違うURLが送られてて、そのURLの中身がそれぞれの予約の日程や金額と一致するようになっている。
ただたまに取り違えて別人のURLが送られて逆に予約者から「名前違うけどこれ何?」みたいになって気まずい。なんで微妙にヒューマンエラーっぽい間違え方するんだ。
全国ニュースになってた関西のホテルなんか、多分これの2なんじゃないかな。2を聞き始めたのもあのぐらいの時期だし。
ちょっと根拠は言えないんだけど、全国でこれ食らってるホテルかなりあるだろうって話だった。あれからそれなりに時間が経ったけど、この話をしてた人の施設には同じようなメールが来る頻度が増えたそう。
これ手口がダークウェブで情報商材的にバズったりしてるんですかね(笑)そういう世界があるのか知らんけど。
以上、久々に会った元同僚(もうすぐやめるらしい)が言ってた話です。
カモを効率的にゾーニングする装置になってしまうってことなんだよ。
本来シングルマザーだって既存のマッチングアプリで事足りるんだよ、規約違反でもないし、その項目もある。子持ち可ってコミュニティもあるし、男性側だって検索もできる。
専用アプリを使ったからといって、この世の未婚男性が増えるわけじゃない。
まともな判断力がある女性ならそんなことは理解できるから、多分そんなアプリは使わないか、使ったとしてもそれを理解して上手く立ち回れるだろう。
ただ問題なのは、大多数のそこを理解せずアプリに登録してしまう女性だ。
よく、こんなもん誰が騙されるんだという文面のフィッシングメールを見たことはないだろうか。
あれは、不特定多数を騙せる巧妙なものでは意味がない。「誰がこんな稚拙なメールに騙されんだ」という代物を信じて返信をしてくるカモを誘き寄せるためのエサなのだ。
要は、騙しやすいカモをゾーニングしている装置の役割を果たしている。
手当たり次第に騙すより、「騙されやすい」奴を引っ掛ける方がタイパもコスパも良いからね。
恐らく、日本トップクラスのインフルエンサーが大々的に発表したシンママ専用マッチングアプリに謎の期待をして集まってしまう女性は、その胡散臭いメールに返信する「騙されやすい」カモとかなり近い位置にいる。
「シンママでも安心してマッチングアプリを使いたいから」なんてことを言って例のアプリに夢見てる女性は同性からみてもピュアすぎると思う。
そこを理解してる悪い奴らは確実にそれを悪用する、カモを選別する手間をわざわざ省いてくれている媒体なんて利用しない手はない。それが子供狙いなのか、結婚詐欺なのか、ネットワークビジネスなのは知らんけど。
もちろん既存のマッチングアプリにも同様の危険はあるけれど、上記の理由から例のアプリはカモリストと化してしまう危険性がある。個人的にそこが最も問題だと思う。
重ねていうが、シンママ、いいんだよ、今日日離婚もシンママなんぞも珍しくもない、アプリで出会いたかったら既婚未婚ジジババが混在してるノーマルなマッチングアプリを使えばいいんだよ。有象無象が弾除けの役割を果たすんだから、いくばかりか安全だよ。
※このメールは重要なお知らせのため、メール配信を「否」にされている方にも送信しております。
平素は、ゆうちょ銀行をご利用いただき、誠にありがとうございます。
本日、多数のお客さまから、「ゆうちょ銀行を騙った個人情報の入力を求めるメールが届いた」とのお問い合わせをいただいております。
当行からメールやSMS(ショートメッセージサービス)により、お客さま情報の入力等をお願いすることはございません。
不審なメールから誘導されたサイト(メールのリンク先)へのアクセスや個人情報の入力は行わず、当該メールは、速やかに削除してください。
===================================
https://www.jp-bank.japanpost.jp/
===================================
父母も火を見ると恐れるようなぐらいにネッツでカードを使うことを恐れている人々で、
私もその恐ろしさに戦々恐々なんだけど、
でも少しはインターネッツに慣れ親しんでいるつもりなので
代わりに買ってあげることにしたの。
私も初めて使うインターネッツのウエブのサイトで買おうとしたのね。
そしたら、
私全然限度額とか行ってないし、
困ってたんだけど事情をカード会社に電話して即解除してもらえたから良かったものの、
私もこんな事態初めての状況のことだったので、
そんで、
無事母の頼みたい、
世の中は便利なものねって思ったのよ。
それなら
移動中のレジャー先で冷たい飲み物とか冷たく冷やした飴玉とか飲んだり食べたりできるから
ドライブ快適ね!っておもったら
そうじゃなくて
どうやら釣った魚を保管する用の冷蔵庫だそうよ。
そんな冷蔵庫がいるぐらい釣れてるのかしら?って思っちゃうけど、
まんざらお魚って素人が売っても売るところがあること自体がビックリだし、
まさに松方弘樹の世界を釣る!的なビッグドリームかつビッグフィッシングだな!って思ったの。
そんで、
翌朝メールを開けてみたら
カード会社からカードを止めた緊急連絡の最終告知だからな!って
もちろん
私は心当たりがあるから開こうとしたらブロックされてよく見たら紛らわしいフィッシングメールで
手当たり次第にメールを送っておけば、
なにかしら
心当たりのある人に引っかかるだろうと言う
でも今はインターネッツの技術的革新がムーアの法則で1日1歩日進月歩いや秒進分歩だから
私がそんなおっちょこちょいなことを
つまり、
私自体がフィッシングサイトを開いて自らビッグフィッシングにならなかっただけの、
これって
効いたよね!早めのパブロン!って
なにやってんのよ!って惣流アスカラングレーが言うあんたバカって言われそうなほど
大手物流倉庫を運営している会社みたいな空目をしそうだったわよ。
だから
お届けは未定です!って
冷蔵庫でそんな人気商品あんの?って思わず二度見してしまいそうで
誰も昔そんなこと思っていなかったけど、
お刺身をそこに入れておいて、
出すときのスペースコロニーの船外活動を終えて戻ってきて減圧しているときのプシュって言う開けたときの音に
いてもたってもいられたかったわけだったのよ。
とりあえず、
うふふ。
本気味おにぎり!
道端に自生しているミントはやっぱりどうしても使う気にはなれないしね。
すいすいすいようび~
今日も頑張りましょう!
