2017年03月13日

メルカリはなぜクレジットカード情報を登録する際にセキュリティコードまで登録させるのか? このエントリーをはてなブックマークに追加

GMOペイメントゲートウェイのクレジットカード情報流出事件をツイッターで追っかけていると興味深いツイートに遭遇した。
なんと、メルカリもセキュリティコードをDBに保存しているようである。
メルカリ
「保存しているようである」と記載している理由としては、これが、決済時の画面ではなく「会員情報」の付帯情報として入力する「カード情報」登録画面でセキュリティコードを入力させているからですな。
メルカリ「カード情報」登録画面
「ここではセキュリティコードを入力させるだけで実際は保存してないんですよー」とメルカリの運営スタッフは弁明するのかもしれないけど、少なくとも、何の支払処理もしない状態でセキュリティコード入力させるってちょっと意味わからんですよ。

メルカリのデータベースにカード番号、有効期限、セキュリティコードが会員情報として保存されているとしたら、メルカリを運用するスタッフが勝手にデータベースの中身を見てカード番号、有効期限、セキュリティコードを入手できちゃう可能性あるよなぁ。
これはまったくもって意味わからん仕様ですな。
それとも、会員情報でセキュリティコードを入力させるのは、そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させるとか?
うーむ。今一つよくわからん謎仕様やな。

しかもPCIDSSでは、前の記事にも書いたけど、セキュリティコードを保存しちゃいかんよと書かれてるんだよなー。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)

GMOペイメントゲートウェイの利用者数よりメルカリの利用者の方が圧倒的に多そう(フリマアプリ「メルカリ」、日米合計5,500万ダウンロード突破)なんだが、これは大丈夫なんだろうか??
今ある情報から考えると、データベースに暗号化されない状態でカード番号、有効期限、セキュリティコードが保存されている可能性は高そうなんだがどーなんやろ?
こんだけ利用者がいるからには利用者の中にはセキュリティに詳しい人もいるだろうから、その人達がこれまで何も声高に叫んでないってことは問題ないんかなぁ。
でも、セキュリティコードを会員情報の一部の情報として保存させるってのはやはりよくわかんないな。
教えて、エライ人。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ

2017年03月11日

GMOペイメントゲートウェイのクレジットカード情報はなぜ流出したのか このエントリーをはてなブックマークに追加

報道されている通り、GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。GMOペイメントゲートウェイからも以下の報告がされている。情報流出の原因はIPAが3月8日に発表したApache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構の脆弱性を利用した不正アクセスにより、悪意のあるプログラムが仕込まれたことによるらしい。

対象となっているサービスと不正アクセスされた可能性のある情報は、以下の通り。
(1) 東京都税 クレジットカードお支払サイトをご利用されたお客様(クレジットカ ード情報が流出した可能性のある総件数:676,290 件)
1 クレジットカード番号・クレジットカード有効期限 61,661 件
2 1に加え、メールアドレス 614,629 件

(2) 独立行政法人住宅金融支援機構 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540 件)
1 クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日 622 件
2 1に加え、メールアドレス・加入月 27,661 件
3 1に加え、メールアドレス 5,569 件
4 1に加え、加入月 9,688 件

はじめにこのニュースを見たときは「え?セキュリティコード保存してるの?」と脊髄反射的に思ったが、まさかGMOペイメントゲートウェイがセキュリティコード保持するような決済サービス構築してるとは考えにくいよなあ。

PCIDSS | GMOペイメントゲートウェイでは、
▼ PCIDSSに完全準拠した安全なクレジットカード決済
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
って書いてあるからなぁ。

PCIDSS3.2の日本語ドキュメントが見つからなかったから安全なカード社会の実現をめざして日本カード情報セキュリティ協議会を参照してみた。
そこにはこんな感じで書かれている。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)
こういうのを守ってないとPCIDSSに準拠しているとはいえなさそう。
なので、ある程度きちんと審査を受けて準拠しているとお墨付きをいただいているはず。
ちなみに、PCIDSS 3.2の要求仕様についてはこちらに公開されている。
Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2 April 2016(PDF)
この要求仕様の8ページ目にSensitive Authentication Dataは保存しちゃダメよとやっぱ書いてあるな。

では、なぜ保持していないはずのセキュリティコードまで流出の対象となっているのか?
可能性として考えられるのが、ある期間だけ、入力ページを差し替えられて入力した情報が別のサイトに転送されて流出ってパターンかな。
入力フォームが一定の期間差し替えられて、入力フォームで入力したセキュリティコードが第三者の別のサイトに転送され、情報が流出したパターンがあるよなー。

しかし、だとすると、いつからページが悪意あるページに差し替えられてたかですな。
セキュリティコードが流出したのは独立行政法人住宅金融支援機構 団信特約料クレジットカード払いのサイト。合計で43,540件って一定期間でフォームを差し替えられて搾取されたにしては多すぎないかな?

結局のところ、よくわかってないんだが、43,540件のクレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日情報が流出したとなると、データベースに直接アクセスして抜かれたようにも考えられる。けど、セキュリティコードは保存していないはずという矛盾。

これ、仮にPCIDSSに準拠せずにセキュリティコード保持してた場合はGMOペイメントゲートウェイ的にはどう説明するのだろう?

うーむ。もやもやするねぇ。
なお、「流出した可能性がある」ってことなので、「流出してない」かもしれないってことなんかねぇ??

追加の報道があるかもしれんので注目しとくか。

posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2017年02月18日

常時SSL化に対応しているブログサービスを調べたよ このエントリーをはてなブックマークに追加

【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログの記事で「今まで使っていたプラグインが使えない。どーしてくれるんだ?!」的なコメントが盛り上がっている中、他のブログサービスはどーなってるんだろうかと思い、主要なブログサービス12社についてのSSL/TLS化についてちょいと調べてみた。

2017年2月18日現在、常時SSL化に関するアナウンスがあったブログサービス

  1. アメーバブログ【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログ
    2017年春以降にかけて常時SSL化を予定しております
  2. FC2ブログFC2総合インフォメーション 【重要なお知らせ】 FC2サービスのSSL化につきまして
    FC2のサービスにつきましては随時SSL対応を行っております。
  3. 楽天ブログ【重要なお知らせ】楽天ブログ 完全SSL化について | 楽天ブログ StaffBlog - 楽天ブログ
    楽天ブログでは、昨今のインターネット業界の状況を鑑み、完全SSL化を実施させて頂くことに致しました。2017年3月中(予定)
  4. Yahoo!ブログYahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN
    Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応いたします(※1)。サービスごとの詳細な常時SSL対応時期については、各サービスから随時アナウンスさせていただきます(Yahooブログも含まれるのかな?)

2017年2月18日現在、常時SSL化のアナウンスがオフィシャルにないブログサービス

  1. Seesaa ブログ
  2. ライブドアブログ(livedoor Blog)
  3. JUGEMブログ
  4. はてなブログ(参考:はてなブログSSL化検討中と正式回答 - ログパゴス
  5. エキサイトブログ
  6. 忍者ブログ
  7. ココログ
  8. yaplog!(ヤプログ!)
まあ、今の時点でアナウンスがないブログもほどなく常時SSL化に対応するんじゃないかと思われるのであまり問題ないかもしれんなー。

むしろ常時SSL/TSL化が進んだ後、アメブロのコメント欄でも話題になっていた外部サービスがSSL/TSL対応じゃなかったとき「安全なサイトじゃないかもよ」とかブラウザに注意されたりすると思われるのでそっちの話も今後盛り上がりそうだねぇ。

と、常時SSL化のアナウンスがオフィシャルにないSeesaaブログでひとりごちてみた。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年12月06日

拡張子が.vvvになるマルウェア TeslaCrypt の削除方法 このエントリーをはてなブックマークに追加

拡張子が.vvvになるマルウェア TeslaCrypt の削除方法がHow to Remove TeslaCrypt Virus and Restore Encrypted Filesに書いてあったばい。

はじめの方はTeslaCryptの説明のよーですが、早くマルウェア削除したい人は
Step 1: Removing TeslaCrypt and related malware:
から読み進めていけばよいようだ。

方法は以下の通り。

1. anti-malwareをインストールして TeslaCryptと関連するマルウェアを削除する。
マルウェア削除用ツールのダウンロードリンクはHow to Remove TeslaCrypt Virus and Restore Encrypted Filesの「Download Anti-Malware for TeslaCrypt detection」のボタンをクリック。

2. TeslaCryptによって暗号化されたファイルをリストアする。
方法1. バックアップからファイルを復元する
方法2. Windowsの復元機能を使う
方法3. Ciscoから提供されている TeslaDecrypt tool を利用する
Threat Spotlight: TeslaCrypt – Decrypt It Yourself
方法4. Shadow Volume Copiesを利用する

TeslaCryptに感染してるわけではないので検証はしてないが、実際感染した人は(方法1,2で解決するような人はまあよいとして)ダメ元で方法3、方法4あたりを試してみてはどうでしょうかねー。

オレもエロいサイト見るときは気をつけよう・・・
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年03月08日

【クリック禁止!!】Twitterでレイバンのサングラスをツイートするスパム このエントリーをはてなブックマークに追加

ファッションレイバンのサングラス、今日限り2499円!
というメンション付きのツイートで偽のレイバンサングラスオンラインストアに誘導するツイッターのスパムがかなり蔓延している。
ray-ban.jpg
http://bojanaflavors.com/JP.php - Twitter検索してみると上記の画像付きで、ツイートしているようで、その数がかなり多い。このツイートをしている人は残念ながら知らず知らずにツイートしている可能性が高いですな。
このへんもだな
http://goo.gl/YbVS1w - Twitter検索

bitlyの短縮URLを利用しているのでクリック数を調べてみたが2日間で4300回以上クリックされてるようですな。
https://bitly.com/1Nss7kf+(このリンクは短縮URLがクリックされている回数などを確認するためのリンクです。)

ツイッターでレイバンのサングラスなスパムの対処対策方法に記載されている対処方法を見てみたが、これで対処になっているのかよくわからない。

何かのアプリを認証したため、ツイートされてるとかではなく、パスワードリスト攻撃によりパスワードが抜かれている可能性があるようですな。
これやられてる人はパスワードの変更と念のため不要なアプリの認証解除したほうがよさそうですなぁ。

ちなみに、上記のURLをクリックすると
http:// bojanaflavors.com /JP.php ( アクセスしちゃダメだよー )
というサイトに転送され、更に
http:// www.japansrayban.com / ( アクセスしちゃダメだよー )
というサイトに転送される。

Whois調べたら、最終的に転送されるサイトは「Admin Country: CN」となっていた。
はい中国でしたw
Whois bojanaflavors.com
Whois japansrayban.com


で、最後の
www.japansrayban.com
Ray Ban USA, Clearance Sale Ray Ban Sunglasses! Fast Shipping&2013 Collection!
では
<div style="display:none;"><script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1254459712'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s4.cnzz.com/z_stat.php%3Fid%3D1254459712' type='text/javascript'%3E%3C/script%3E"));</script></div>

というスクリプトから
http:// s4.cnzz.com /z_stat.php?id=1254459712 ( アクセスしちゃダメだよー )
へアクセスさせようとしている。
Whois cnzz.comもやっぱり「Admin Country: CN」となってるな。調べてみるとこのサイトから過去にマルウェアがダウンロードされているという実績があるようだ。
この先は怖くてアクセスしていないが、これが何かヤバイと思われる。
仮想的なマシンやブラウザでアクセス結果をシミュレーションできるようなサイトがあればよいのだがこれはあとで詳しく調べてみるかー。

よいこのみんなはクリックしちゃだめだよ!
レイバンはキチンとしたお店で買おうね!

レイバン、TwitterやFacebookのスパム投稿に注意喚起 「正規取扱店ではない」 - ITmedia ニュース
「レイバン」スパムにブランドがコメント 「リンク先は正規取扱店ではない」 - ねとらぼ
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月24日

IPAが無料提供しているセキュリティツール17選 このエントリーをはてなブックマークに追加

IPA(独立行政法人 情報処理推進機構)が発行している情報セキュリティ白書2014の巻末にIPAで提供しているセキュリティツールや読み物がまとめられている。
とても便利なので以下リンクを掲載しておきますー。
それぞれのツールの説明はリンク先を見てね。
  1. 組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク
  2. 脆弱性体験学習ツール AppGoat
  3. JVN iPedia - 脆弱性対策情報データベース
  4. 脆弱性対策情報共有フレームワーク - MyJVN
  5. MyJVN - 脆弱性対策情報収集ツール
  6. MyJVN - MyJVN セキュリティ設定チェッカ
  7. サイバーセキュリティ注意喚起サービス「icat」
  8. ウェブサイトの攻撃兆候検出ツール iLogScanner
  9. IPA セキュア・プログラミング講座
  10. 知っていますか?脆弱性 (ぜいじゃくせい)
  11. 安全なウェブサイト運営入門
  12. 5分でできる!情報セキュリティポイント学習
  13. 情報セキュリティ対策支援サイトiSupport
  14. セキュリティ要件確認支援ツールの公開
  15. ここからセキュリティ! 情報セキュリティ・ポータルサイト
  16. JPEG テスト支援ツール iFuzzMaker
  17. Androidアプリの脆弱性の学習・点検ツール AnCoLe

情報セキュリティ白書2014
独立行政法人情報処理推進機構
独立行政法人情報処理推進機構
売り上げランキング: 76,935

情報セキュリティ白書って2000円だから意外と安いよなー。
買ってみても損しない内容になってるので気になる人は購入してみましょーね。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月20日

Superfish CA testはLenovoのマシンをどーやってチェックしているのか? このエントリーをはてなブックマークに追加

Lenovo製のPCにSuperfishというマルウェアがプリインストールされて大きな問題になっているっぽい。
Lenovoの公式フォーラムでもこんな感じで議論されている。
Lenovo Pre-instaling adware/spam - Superfish - pow... - Lenovo Community

で、自分のPCがSuperfishにやられちゃってるかどうか試すサイトが「Superfish CA test」という以下のサイト。
Superfish CA test : Check if you trust the Superfish CA
このサイトでどーやってSuperfishがインストールされているか判断しているかをちょいと調べてみた。
HTMLのソースをみてみると、161行目あたりにこんな感じに書かれている。
<img src="https://badfish.filippo.io/yes.png" onerror="this.onload=''; this.alt='Good, you seem not to trust the Superfish CA.'; this.style.width = '500px'; this.src='no2.png'; ga('send', 'event', 'Result', 'Negative', {'nonInteraction': 1});" style="width: 300px" onload="this.alt='Yes, your connections can be tampered with!'; ga('send', 'event', 'Result', 'Positive', {'nonInteraction': 1});">
プログラムがあまりわかってない私だが、どうやら、
https://badfish.filippo.io/yes.png
を読みだして、エラーが起きれば「no2.png」という画像が表示される。で、すんなりyes.pngが読まれればこんなメッセージが表示される。
yes, your connections can be tampered with
はい、あなたのコネクションは改ざんすることができちゃいます。

lenovo_yes.png
勘のいい方はおわかりだろうと思いますがbadfish.filippo.ioのサーバ証明書は例のSuperfish, Incのルート証明書を使って作られている。
つまり通常のPCにはSuperfish, Incのルート証明書が入ってないのでエラーになり、no2.pngが表示されるが、Superfish, Incのルート証明書が入ってる場合には
https://badfish.filippo.io/yes.png
を読み込めちゃいますので上記の画像が表示されるということのようだ。
そうでない人はエラーになるので「no2.png」が読み込まれこんな感じになるよーだ。
superfish_no2.png
サーバ証明書をみてみるとこんな感じだな。
superfish_ca1.png
superfish_ca2.png

ヤバイCAで作ったサイト上にある画像が読めればアウトでエラーならセーフというロジックはなかなかよく出来た作りのようである。(このあたりあまりよくわかんないけど)

関連リンク:
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月14日

Twitterで www.ledonlines.com へのリンクをツイートするスパム このエントリーをはてなブックマークに追加

Twitterであまりメンション貰わないのだが、何故かメンション来たのでなんだろうと思ってみてみたらどうもスパムにやられてるっぽいアカウントからだった。

@Kuchen_bot @J_A_Y_G @ryouchi セール商品や送料無料商品など取扱商品数が日本最大級の生活家電インターネット通販サイ http://bit.ly/1B95bCr


BitlyのURLはURLの後ろに「+」を付けるとどのくらいクリックしているか見られるのでちょいと見てみたらこんな感じだった。
https://bitly.com/1B95bCr+
www.ledonlines.com

このURLは http://ledmisski.pw/ というURLに転送されているようだ。
.pwってのはパラオのドメインのようである。

Whoisで調べてみたらこんな感じだった。
Whois | .PW - the Professional Web
Domain Name: LEDMISSKI.PW
Domain ID: D6955215-CNIC
WHOIS Server: whois.PublicDomainRegistry.com
Referral URL: http://www.publicdomainregistry.com
Updated Date: 2015-02-14T01:09:55.0Z
Creation Date: 2015-02-14T01:09:54.0Z
Registry Expiry Date: 2016-02-14T23:59:59.0Z
Sponsoring Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Sponsoring Registrar IANA ID: 303
Domain Status: clientTransferProhibited
Domain Status: serverTransferProhibited
Domain Status: addPeriod
Registrant ID: DI_42095251
Registrant Name: jing he
Registrant Organization: jing he
Registrant Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Registrant City: shanghai
Registrant State/Province:
Registrant Postal Code: 200080
Registrant Country: CN
Registrant Phone: +086.02128721235
Registrant Phone Ext:
Registrant Fax: +086.02128721235
Registrant Fax Ext:
Registrant Email: ymzgcart@yeah.net
Admin ID: DI_42095251
Admin Name: jing he
Admin Organization: jing he
Admin Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Admin City: shanghai
Admin State/Province:
Admin Postal Code: 200080
Admin Country: CN
Admin Phone: +086.02128721235
Admin Phone Ext:
Admin Fax: +086.02128721235
Admin Fax Ext:
Admin Email: ymzgcart@yeah.net
Tech ID: DI_42095251
Tech Name: jing he
Tech Organization: jing he
Tech Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Tech City: shanghai
Tech State/Province:
Tech Postal Code: 200080
Tech Country: CN
Tech Phone: +086.02128721235
Tech Phone Ext:
Tech Fax: +086.02128721235
Tech Fax Ext:
Tech Email: ymzgcart@yeah.net
Name Server: f1g1ns2.dnspod.net
Name Server: f1g1ns1.dnspod.net
DNSSEC: unsigned
Billing ID: DI_42095251
Billing Name: jing he
Billing Organization: jing he
Billing Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Billing City: shanghai
Billing State/Province:
Billing Postal Code: 200080
Billing Country: CN
Billing Phone: +086.02128721235
Billing Phone Ext:
Billing Fax: +086.02128721235
Billing Fax Ext:
Billing Email: ymzgcart@yeah.net
>>> Last update of WHOIS database: 2015-02-14T13:38:46.0Z

で、ここからすぐに www.ledonlines.com へ転送される。

LED蛍光灯で節電!明るく軽いLED蛍光灯!LED蛍光灯はぜひ当店で:LED&照明電材 エコnaあかり屋.
http://www.ledonlines.com/

これもwhoisで検索したらこんな感じだった。
ledonlines.com registry whois
Updated 1 second ago - Refresh
Domain Name: LEDONLINES.COM
Registrar: XIAMEN NAWANG TECHNOLOGY CO., LTD
Sponsoring Registrar IANA ID: 1655
Whois Server: whois.nawang.cn
Referral URL: http://www.nawang.cn
Name Server: F1G1NS1.DNSPOD.NET
Name Server: F1G1NS2.DNSPOD.NET
Status: ok http://www.icann.org/epp#OK
Updated Date: 13-feb-2015
Creation Date: 13-feb-2015
Expiration Date: 13-feb-2016
ledonlines.com registrar whois
Updated 1 second ago
Domain Name: ledonlines.com
Registrar WHOIS Server: whois.nawang.cn
Registrar URL: http://www.nawang.cn
Updated Date: 2015-02-13T05:42:17.0000Z
Creation Date: 2015-02-13T05:42:17.0000Z
Registrar Registration Expiration Date: 2016-02-13T05:42:17.0000Z
Registrar:Xiamen Nawang Technology Co.,Ltd
Registrar IANA ID: 1655
Registrar Abuse Contact Email: email@nawang.cn
Registrar Abuse Contact Phone: +86 400-66-18925
Reseller:
Status: ok http://www.icann.org/epp#OK
Registry Registrant ID:
Registrant Name: jing he
Registrant Organization: jing he
Registrant Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Registrant City:
Registrant State/Province: shanghai
Registrant Postal Code: 200080
Registrant Country: CN
Registrant Phone: +86.2128721235
Registrant Phone Ext:
Registrant Fax: +86.2128721235
Registrant Fax Ext:
Registrant Email: email@yeah.net
Registry Admin ID:
Admin Name: jing he
Admin Organization: jing he
Admin Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Admin City:
Admin State/Province: shanghai
Admin Postal Code: 200080
Admin Country: CN
Admin Phone: +86.2128721235
Admin Phone Ext:
Admin Fax: +86.2128721235
Admin Fax Ext:
Admin Email: email@yeah.net
Registry Tech ID:
Tech Name: jing he
Tech Organization: jing he
Tech Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Tech City:
Tech State/Province: shanghai
Tech Postal Code: 200080
Tech Country: CN
Tech Phone: +86.2128721235
Tech Phone Ext:
Tech Fax: +86.2128721235
Tech Fax Ext:
Tech Email: email@yeah.net
Name Server: F1G1NS1.DNSPOD.NET Name Server: F1G1NS2.DNSPOD.NET
DNSSEC: signedDelegation
URL of the ICANN WHOIS Data Problem Reporting System:http://wdprs.internic.net/
>>> Last update of whois database:1970-01-01T7:00:00.00Z <<<
For more information on Whois status codes, please visit:
https://www.icann.org/resources/pages/epp-status-codes-list-2014-06-18-en
ってどうも中国の方の仕業であるようだ。
ちなみにツイッターでこのURLを呟いていたアカウントは軒並み停止されているっぽい。ツイッターでhttp://bitly.com/1B95bCr - Twitter検索と言う感じで検索しても検索結果が表示されないってことはTwitter側で何か対応したのではないかと考えられる。

ちなみに転送先のページは一件日本語ページのようだが、これ見るとやっぱ日本ではなく中国だよねw
http://ledonlines.com/

うーむ、こういうスパム行為ってなくならないですなぁ。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年10月15日

SSL 3.0の利用を推奨するサイトを調べてみた このエントリーをはてなブックマークに追加

既にイロイロなネットニュースで取り上げられているようにSSL 3.0に深刻な脆弱性「POODLE」が見つかった。

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 - CNET Japan
SSL 3.0に深刻なセキュリティ脆弱性 | マイナビニュース

ってことで「SSL 3.0は脆弱性(というか設計に問題)があるので使わないほうがよいんじゃないか?」とGoogleさんなどが積極的に呼びかけているようだ。
Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

また、ブラウザ側でもSSL 3.0の利用をしないようにGoogle Chrome、Firefoxなどのブラウザで改修が進められている。
今後「サーバ側での対応とクライアント側での対応でSSL 3.0使わないようにしちゃおう」的な運動が拡大していくであろう。
ユーザ側ではInternet Explorerのインターネットオプション→詳細設定で「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外すようにするとよいだろう。

そんな中、日本にはまだSSL 3.0の利用を推奨するサイトが結構ある。
これはまあ今の段階では無理もないことなので今後更新されていくであろう。


北都銀行とか荘内銀行は(「SSL2.0」を利用されているお客さまは、「SSL3.0」への切り替えをお願いします。)ってアナウンスしてるのでそのうちSSL3.0もやめてねアナウンスがされるような気がしますな。

そのうち高木先生がこんな感じでまとめてくれると信じています。
高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト

WebサーバでもSSL v3の利用をしないように設定しとかなきゃだめな気がして調べてみるとApacheとIISでは無効化する方法はこんな感じ。
■Apacheでの無効化方法
mod_sslの記述でSSLv3を無効化する
mod_ssl - Apache HTTP Server Version 2.2
■IISでの無効化方法
インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法

あと、メールもそーいや、使ってるのか。
SSL 3.0 ぜい弱性への対応メモ  Open the Next

あー、でもサーバのケアというかどっちかと言うとクライアント側の問題が大きいんだよなぁ、きっと。
能動的にSSL 3.0で繋ぎに行っちゃうのをやめればいいだけの話しかもな。
SSL 3.0で繋がらないようになるサーバが増えれば「SSL 3.0やっぱあかんやん」って話しになってSSL 3.0が衰退してそのうちなくなるとかってシナリオなんかな?(ちょっと無理があるか)

あとはクライアント側としてはブラウザの設定以外でSSL 3.0使おうとするクライアントアプリを駆逐するぐらいか?
いろいろ調べてたらJavaはヤバイという話があった。

こんな感じでいいのかな?
Java ControlPanel
メールクライアントの「POP/SMTP over SSL」とかもどうなんだろ?
同じようにSSL 3.0はダメって感じにしなきゃあかんのかな?
あとで調べるかー。

うーむ、難しい話じゃのう。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ

2014年05月02日

「このメッセージにはご注意ください。個人情報を盗むのに一般的に使用されるコンテンツが含まれています」とGmailで警告された このエントリーをはてなブックマークに追加

今までGmailの迷惑メールのフォルダをあまり見たことがなかったのだがちょいと見てみるとこんな感じの警告が表示されていた。
このメッセージにはご注意ください。個人情報を盗むのに一般的に使用されるコンテンツが含まれています。 詳細
これを不審なメッセージとして報告 このメールを信頼して無視する

このメッセージにはご注意ください。個人情報を盗むのに一般的に使用されるコンテンツが含まれています
Googleヘルプを見てみるとこんなことが書かれていた。
[このメッセージは詐欺である可能性があります] 警告 - Gmail ヘルプ
この警告について
Gmail の連絡先リスト内のアドレスから送信された、フィッシング詐欺と思われるメッセージの上部には警告が表示されます。このような疑わしいメッセージが連絡先リスト内のメール アドレスから送信された場合、そのユーザーのメール アカウントが不正使用されていて悪質なメッセージを送信するために許可なく使用されている可能性があります。
ユーザーの対処

メッセージを読み、そのメッセージが送信者によって書かれたものであるかどうかを判断します。自分の知っているユーザーであると思われる文面かどうか、疑わしいリンクやコンテンツが含まれていないかどうか、送金または個人情報の提供など普通でない行動を取るように依頼されていないかどうかを考慮します。
なるほど、クリックしたらやばいようである。
ちなみにGoogle翻訳でメールの翻訳を試したことろ中国の試験の回答を教えてあげますよ的なメールっぽかった。
日本より中国の方が学歴が重要視されているっぽいので引っ掛かる中国人が多くいるかもしれませんな。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ