(IT) 【注意喚起】 「会話型」攻撃メール

ぴったり1年前にも会社のメールにspamが来て大変だったのを思い出してた矢先、
昨日から怪しいメールが来始めた。会社で使ってるメールの通常の受信トレイに
到着したメール、専門家に鑑定してもらったら、
「会話型」の攻撃メール
ということだったので、注意喚起のために共有。
最初の一発目は添付ファイルもURL記載もナシとすることによって、迷惑メール
フィルターにひっかからず、受信トレイにまで到達する。
四の五の書いてあって、返信をするようにと書かれている。
これらのメールは個人宛ではなくて、グループ宛てに来ているため、
まだ個人アドレスは先方からは見えていないが、返信することによって、
生きたメールアドレスが判明する。それから数回のコミュニケーションの後、
マルウエアを仕込んだ添付ファイルやフィッシングサイトのURLが送られて
来たりするらしい。過去にやりとりがあるため、迷惑メールに入りづらく
なっているので、受信トレイまで到達し易いらしい。
とにかく返信をしてくれ、といのが強調されているので、意図が分かりやすい。
とりあえず二通、違うグループアドレス宛に来ていたので、To:以外を晒しておく。

<追記>
調べたらいっぱい来てた。件名は割とバラエティあったのでリストしておく。
ちなみに、初回にもかかわらず、2回目とか3回目とか書いてる(笑)
「やべえ、無視してたか、おれ」と思わせる戦法か。
特徴としては、以下の件名の前に宛先の文字列が入ってること。

<件名の例>

「こんにちは。お返事いただけるようお願いします。」
「今回3度目のご連絡をいたします。お返事をいただけるようお願いします。」
「今回2度目の情報を送らせていただきます。」
「情報を必ずよくお読みいただくようお願いします。」
「こんにちは。お返事いただけるようお願いします。」
「再度情報を送らせていただきます。」
「今回2度目の情報を送らせていただきますので、お返事をいただけるようお願いします。」
「再度情報をお送りいたします。」
「すぐにお返事いただけるようお願いします。」
「前回のお知らせにまだお返事をいただいておりません。」
「再度情報をお送りいたします。」
「お住いの地域で信頼できる人材を探しています。」
「再度情報をお送りいたしますので、お返事をいただけるようお願いします。」
「今回2度目のご連絡をいたします。ご回答お願い致します。」

<メールの例1>

From: JEANINE CHAN [mailto:miraabfandresev@outlook.com]
Sent: Thursday, October 6, 2016 2:32 PM
To: (グループ名)
Subject: (グループ名) , 情報を必ずよくお読みいただくようお願いします。

こんにちは!
またお手紙を差し上げます。こちらからのメッセージが届いていないようです。まだお返事をいただいていないからです。こちらからの提案が受け入れられないような場合でもお返事をいただけるようお願い致します。
当持株会社はグローバルオペレーションのためのコンサルティングと事業計画に特化しております。当持株会社は2005年に設立しました。
2016年現在、当社には30カ国に100以上の代理店があります。当社顧客リストには多くの有名企業があります。
本年、日本へと事業を広げるにあたり、当社では現地での代表者を募集しています。あなたの連絡先情報は日本の派遣会社より提供されました。経験は必要ありません。当社は信頼性や正確さを最重要視しています。
実践的でクリエイティブな作業を行っていただく、トレーニング期間(20日)があります。当社は知名度の高い顧客やプロデューサーと連携する方法や、国際取引を合法的に準備する方法を教えます。また、最高のスタッフを選べることです。あなたには個人的なコンサルタントがつき、例となる作業を与えたり、精度をコントロールします。
トレーニング期間の後、当社との提携を続けることができますか、長期契約書に署名しないことも可能です。トレーニングを終了すると、1000ドル以上の報酬や新しい知識、訓練終了を証明するあなたの名前が記載された修了証書が与えられます。フルタイムでの勤務、もしくは独立エージェントしての勤務からお選びいただけます。
9~10ヶ月の勤務後、お住いの都市の代表オフィスを管理することが可能となります。毎月1万ドル以上の報酬をお受け取りいただけます。しかしながら、最も価値のあるものはもちろん経験です。
全情報をお読みいただくことをおすすめします。このチャンスをお見逃しなく! 必ずお返事をいただけるようお願いします。お問い合わせいただければすぐに折り返しご連絡いたします。

 

<メールの例2>

From: MARI LEVINE [mailto:alemanboandresizd@outlook.com]
Sent: Thursday, October 6, 2016 9:59 PM
To: (グループ名)
Subject: (グループ名) , 今回2度目のご連絡をいたします。ご回答お願い致します。

こんにちは!
再度ご連絡を差し上げることとなりました。こちらからのメッセージが届いていないようです。だからお返事をいただけなかったのですね。こちらからの提案が受け入れられないような場合でもお返事をいただけるようお願い致します。
当持株会社はグローバルオペレーションのための(以下同文)

(IT) 監視アラートが止まったら

現場:「なんだかアラートメールがさっぱり来ないけど監視止まってない?」ベンダー:「すんません!監視止まってました!もう動いてるからOKっす!」オレたち:「いやいや、原因調べて再発防止策いれてよ」ベンダー:「監視プロセスを監視するプロセス入れたからもうだいじょぶっす!」オレたち:「・・・」(続く)

Posted by Ryo Shirao on 2016年2月24日

facebookにはさらっと冗談みたいに書いたけど、これ、問題が2つ隠れている。
重要度と緊急度が逆なので、簡単な方に目がいくけど、実はもう一つの方の
問題の方がでかいと思ってる。

簡単な方は当然、このベンダーが原因の調査もせず、症状に対するパッチだけ
当ててて、確かに監視が止まることは検知できるかもしれないが、根本的に
その監視が止まらないようにすることをしていないことが問題。
監視プログラムの中の問題なのか、他のプロセスが悪さをするなど、外側の
問題なのか、すら調べていない。
よそのお客さんの監視はどうしてるんだと、心配になってしまうくらい。
そして、「監視の監視」をしたならば、次は「「監視の監視」の監視」に
なることも誰でも想像できる。

ただ、お父さんが一番気になったのは、「ひっきりなしにアラートを受信して
捨ててる」こと。アラートがたくさん来てると確かに、動いてるのはわかる。
昔から旧車好きの間では「オイルが漏れるのはオイルが入っている証拠」と
よく笑い話にしていたが、これは潜在的トラブルを見て見ぬフリをするための
言い訳で、それと同じ構造だ(笑)。

※画像はイメージです

※画像はイメージです

ひっきりなしに受けたアラートのすべてをちゃんと対応しているわけもなく、
そうなら、「本当にちゃんと対応しないといけない」警告だけがメールで
来るようにしきい値なり、トリガーを変更すべきだろう。
本当に「本当にちゃんと対応しないといけない」アラートがひっきりなしに
来るシステムは壊れてるだろ、って話だ。
そうしないと、「本当にちゃんと対応しないといけない」アラートが来た時に
気が着かずに対応が遅れるのが一番いかん。フィルタやルールを駆使して
「本当にちゃんと対応しないといけない」ものだけが見えるようにするのも
一時的ならいいけど、いつもそうするなら、読まないアラートは来ないように
チューニングするのが正解と思う。
読むべきアラートを読み飛ばしてしまう「オオカミ少年アラート」は撲滅すべきだ。

「はい、これが白尾さんのPC、IDとパスワードはこれです」って言われて、
初めて開いたOutLookに4桁通のアラートが届いていたことと、今回の小言は
まったく関係ありません(棒)。

皆さんも適正なアラートを受け取ってますか?
(皆さんって誰だw)

(IT) 【注意喚起】Gmail(Google Apps)をターゲットにしたスパム

最近では会社のメールもGmailというかGoogleAppsにしているところ、多いよね。
学校もそうしているところもある。
(全然関係ないけど、京都大学のこういう事例があったのも理由になる?のか?)

そうすると、Gmailをターゲットにしたspamというかいたずらが来るので、
注意喚起の意味も込めてその手法と駆除手順を共有。
是非、身近な人に「この画面で『承認する』は押してはダメよ」と
お伝え頂ければと。

題名とか、見かけ上の差し出し人はいろいろだけど、こんなメール来る。
flipora_01

見かけ上は.co.jpで終わるアドレスから来ているように見えるけど、本当に
出して来てるのは info@flipora.com というアドレスということがわかる。
用心深い人なら、これを見ただけで、メールを削除するはず。

「知り合いから来てるし、なんか新しいSNSでも始めたのかな、
 あの人、そんなにネットに詳しそうになかったけど、ま、いいか」と
『承認する』を押しちゃううっかりさんもいるかと思う。じつは、これ、
『辞退する』を押してもその後の動作は同じ。
とあるSNSの会員登録画面へ飛ばされつつ、GmailかGoogleAppsを使ってる人の
場合は、こんなポップアップが開く。
どっちでもない人は、何もおきない。
(そのSNSに登録したらどうなるかは知らない)

Flipora_02

どんなうっかりさんでも、さすがにここで『許可』は押さないと思うんだが、
超超超うっかりさんは押しちゃうみたいね。
よく見て。

「メールのメッセージと設定の表示をこの相手に許可します」え?
「Googleでのユーザーの把握を許可します」いや、マジで?
「メールアドレスの表示を許可します」お、おう。
「アドレス帳や連絡先情報の管理を許可します」きゃーーーーっ!

絶対だめでしょ。
これ、『許可』した瞬間、そのアカウントのアドレス帳、全部持ってかれてます。
そこでゲットしたアドレス帳の中にあったアドレスに対して、また同じメールが
飛ぶわけです。

超超超うっかりさんはこう言います「いや、アタシ、アドレス帳使ってないから」
いやいやいや、Googleさんは一度でもメールを送受信した相手は、
勝手にアドレス帳に登録しちゃってるんですよ、奥さん。
だから、送受信履歴ももってかれてるわけですよ。
そっちの方が実績あるわけだから、
spam送るにはちょうどいいしな。
そしてまた拡散していくわけです。
持って行かれたアドレス帳に入ったアドレスに対して同じ招待メールが。
アドレス帳に登録者がたくさん入ってるMLが入ってたりしたら・・・、
背筋寒くなるよね。

寝ぼけ半分にうっかり押してしまったような記憶がうっすらある方は、この手順で。
(1)「Gmailのアカウントの管理」にアクセスし、
「接続済みのアプリとサイト」をクリック
アカウント管理

(2)「アプリを管理」をクリック
アプリを管理

(3)接続されているアプリやサイトの一覧が表示されるので、
「Friend Connect」や「Flipora – Connect with Friends」のような項目があった場合には
これを削除。
アプリの削除

ここ以外にもChrome,safari,IEなどのブラウザの拡張機能にFlipora関連のものがあれば削除、
PC本体にもFlipora関連のプログラムがあったら、削除。

ただ、これ、削除しても、とっくにアドレス帳は持ってかれてるので、
懺悔なさい。

(実害らしい実害がないのが唯一の救い)