2017年11月01日

ソフトバンクのメール宛にスパムメール送信している奴のwhoisを調べてみた このエントリーをはてなブックマークに追加

迷惑メール送るやつ、ほんと死んでくれ。

ちなみに、レジストラはだいたい、お名前.comやな。

お名前.comヘルプセンター 【ドメイン】GMOインターネット管理のドメインから迷惑メールが来る


@i.softbank.jpのEメールアドレスの場合はヘッダ情報を通常は確認できないので、PCでBeckyなどをダウンロードして以下のように設定すればよいかな。
メールアドレス:[xxxx]@i.softbank.jp
アカウント名:[xxxx]
・受信設定
 タイプ:IMAP
 メールサーバー:imap.softbank.jp
 ポート:993
 接続:SSL
・送信設定
 タイプ:SMTP
 メールサーバー:smtp.softbank.jp
 ポート:465
 接続:SSL
・パスワードを設定する
これでBeckyなどで受信できるのでメールのヘッダを調べることができる。

takeshi sumida - Reverse Whois - Registry DB
名前:takeshi sumida
メールアドレス:take4sansu@gmail.com
住所:東京都豊島区池袋2-39-12 日神デュオステージ池袋
電話番号/FAX:03-3987-3592
取得されているスパムメール送信用ドメイン
058t5g.com
05ilpk.com
066pus.com
0aou6b.com
0lq0k1.com
0wy4xh.com
1cxf69.click
1eys8j.com
1h4gop.com
1jrphf.biz
1kjjj5.com
1q47f2.top
1s8yk7.com
1vqjgl.com
1xrj51.com
1yd0ib.com
1zhoi9.com
2210br.com
2837g6.com
29roiz.click
2c7g1l.com
2eupmb.com
2f9hvb.com
2ffvxr.biz
2gcs7y.com
2lqr2m.biz
2mdrh1.com
2mlb44.com
2nmily.com
2oxd7g.com
2q6toy.top
2qbetf.com
2xcd7x.com
2xfo4u.com
2xlr6z.click
36scw8.com
38btf0.com
39egub.biz
3gci08.com
3hqhu2.com
3ik1zo.com
3j0mfd.com
3kmpcs.com
3onhj4.com
437avk.com
44j1l2.com
48265b.com
4cqk2y.biz
4lw83f.com
4ps1ns.com
4wbcl8.com
4z1gud.biz
53pinp.biz
547xsr.com
56t95o.com
5980im.com
5aw3i8.com
5e2fv3.biz
5lvup8.com
5qr8dg.com
5s9vi9.com
5tkqlm.com
5v3s75.com
5yp2ow.com
60p2es.com
61z65d.com
63rkjx.com
68vpn0.biz
6joce2.biz
6kq4fp.com
6mm9n8.top
6qilhi.com
6rcc4g.com
6ruz3g.com
6s1pvj.biz
76kgf3.com
76ok5c.com
7abeq6.com
7c99aj.com
7ec62n.com
7edmd5.com
7j9tvx.com
7jbcd6.com
7l1vqo.biz
7pc84z.com
7qe1or.com
7qphmn.com
7u38ri.biz
7uh5wi.com
80wku5.com
83amkf.com
84j1yj.biz
87orf2.com
87pl9n.com
8pap94.com
8rii0v.com
8t4lo8.com
8ts6ij.top
8ulspe.com
93hefz.com
9do11r.biz
9gr8v5.com
9i4u4h.top
9ji4f8.com
9kvx47.com
9n4sdi.click
9o3h7g.biz
9q0n3d.com
9qvmyd.com
9wzq1t.top
ad5eh5.com
agt46m.com
ai13ab.com
am3fed.com
ame6ej.biz
an65nw.com
ar8mb9.click
ax2nfg.com
ay58j2.biz
b0wfqc.com
bf5ovz.com
bgz0d6.com
bnp3rw.com
bnuqky.com
bupwon.com
bvdn4b.com
bwv518.com
by2nmu.com
c0eoi4.com
c28puy.com
c6ih0r.com
ccwdsq.biz
ch1kx6.com
cibxqd.top
csqjvj.com
cweeef.com
d17tum.com
dadcmm.top
dc2yae.com
dirpu2.click
dm4mm0.com
dsvr4j.com
dxpd1d.com
dylsnd.com
dzdv9w.com
e3mru1.com
e5jp5o.biz
e9mtbg.com
eaqpja.com
ex7cud.com
ez2s0d.click
f13iia.com
f9s8mw.com
fdaawd.com
fectc0.com
fg92xw.biz
flmry1.biz
flxthy.com
frlyiu.top
g1wv9m.com
g6zng6.com
g7vkh0.com
g9blf3.biz
ga3hld.com
gcw4s8.click
gjz1ih.com
gkqoju.com
grlpku.com
gw2ixd.com
gw4khx.top
h9d49r.top
ha42i6.biz
he8hva.click
hpy3jc.biz
hr1jxe.biz
hsdw08.com
htxpy4.click
hv3lgh.com
hvczr6.com
hx9wvb.com
i0fbot.com
i2mg5r.com
i73ynr.com
i9nht0.biz
icvniv.biz
ighae5.com
ijiyls.com
ijszjn.biz
invmit.biz
iofuid.biz
ipbewo.com
iqtfas.com
iv5y6k.com
j1ym6m.com
j2720g.com
j5azqv.biz
jcuong.com
jeyn7o.com
ji7i8n.com
jmfip2.com

norihiko fujioka - Reverse Whois - Registry DB
名前:norihiko fujioka
メールアドレス: windroundno@gmail.com
住所:東京都品川区東大井5-24-21リシェ大井アネックス
電話番号/FAX:03-3472-3154
取得されているスパムメール送信用ドメイン
033zwm.com
0d6xyj.biz
0gvwp0.com
0ktitx.com
0pmvyj.biz
0vt7rx.biz
10ku0j.com
18ke8m.com
1cogd7.com
1d2o2y.com
1fyku5.com
1ihack.com
1ivcbm.com
1jltj3.com
1q0o4o.com
1w0wof.click
28dzpp.com
2911rp.biz
29j58o.com
2b1vcf.com
2ixxc6.com
2oe59o.com
2skjsv.top
2vth91.com
2yjyqg.biz
2ykuc9.link
30zx2f.com
32tbr0.com
3az3sh.com
3jl1r9.com
3kxp6i.com
3q4dvz.com
3qw6g5.com
3rl4zy.biz
3wo4ru.com
4hu1j2.com
4n0wby.biz
4ngudy.com
4oo0hv.com
4r0t8c.com
4u85d0.com
59ciko.com
5g4jgc.biz
5uiao7.click
5z3ncr.com
6dh725.com
6gxln9.com
6qnm10.com
6rklqb.com
72tsvd.com
79p434.com
7a0vzw.com
7kjc02.com
7rpgc8.com
850lu6.com
8i3qni.com
8l38yk.com
8m6pac.com
8tztmj.com
8um2pp.biz
8x3htr.biz
91n1n6.com
94oucd.com
97mm09.biz
98y38h.com
9bacs2.com
9d2kgs.com
9ey5zb.com
9gwhle.com
9jd9jq.com
9l5p5t.com
9ymltm.top
a7nplw.com
abicyn.com
ach8wb.com
aj3cig.com
arzeqt.com
atla2t.com
axnqxj.biz
b6q4pi.top
b98u7g.com
bamucw.click
bbodh2.click
becdwa.com
bkqjsv.com
bug2b2.com
bxrcsi.click
c4wowz.biz
cewnwh.click
cy5611.com
d58hp9.com
dbadus.com
dbaxgm.com
dnrmpb.com
dpee2s.com
drjx86.click
du3pcn.com
dv9ls9.biz
dw1vqk.com
e1pzm3.biz
e2cal5.com
e2exa9.com
e9we5x.click
eax2cw.com
ejw6w1.biz
em53w1.com
eobjzi.top
eqx1dw.click
esp6qj.com
f1t2rj.com
f2p0pc.biz
f3pgnc.com
f41x18.com
f42io8.top
f4xcen.link
f6kwsf.biz
fndkm8.link
fomc9w.biz
fqt2mr.com
fr9zds.com
fv1pbm.com
fw3ecd.com
fx6f0w.biz
g15uzs.click
g1n6jb.com
g5esw6.top
g6rniy.biz
g7y1jf.com
g8uxrz.com
g9uugy.com
gi1z7l.top
gtr76l.com
h4119d.top
h4pi82.com
h4thu6.com
h6l1xg.click
hmxu76.com
hnaifz.com
ho3u21.biz
hq9189.biz
hrcycp.com
i9vmoi.biz
iajkbf.biz
ichd60.click
idgs6e.biz
ijou76.biz
injnox.com
irs164.biz
iu3gu7.top
j0sbf3.com
jfchbl.top
jiera0.com
jrl107.biz
jrupd7.com
jvxj9d.com
k1w7a4.biz
k370pe.biz
k84i52.com
k9mmvb.com
kej8io.com
kgeoub.biz
klf0mz.com
kmndiz.com
kpko3h.biz
ksqznu.com
kudsej.biz
l14tq2.com
l8oo6j.com
lcf75a.com
lgqcz6.click
lofc1d.biz
lqighq.top
m4ptee.com
mgq448.com
mkqk8r.click
mo7cyc.top
mpuwy4.com
mtyhhk.com
mw1ifn.biz
mw83uc.biz
mx2vt9.biz
n9bjm2.com
nb0twp.biz
ncxqpp.com
nj8jns.click
njebil.com
nrbpll.com
nv68js.com
nyyart.click
o38wai.com
oh6q0d.com
ojhvlt.com
os81u9.com
otvf1q.biz
owjg4b.com
oypwvu.com
pbl93j.com
pghl9m.top
pksjsk.com
pu0qh5.com



momoka sano - Reverse Whois - Registry DB
名前:momoka sano
メールアドレス: doraemomoka@gmail.com
住所:東京都中野区上高田3丁目15
電話番号/FAX:03-3386-0147
取得されているスパムメール送信用ドメイン
03tfnr.com
06fo4n.click
08bbru.com
098jjv.com
0ba6bo.com
0c69qm.com
0f71ki.com
0ghxfq.com
0gvnxt.com
0h2b0m.click
0i3ccw.com
0iolbf.com
0lmlec.com
0membw.com
0mmc04.com
0tufz6.com
0uxv2x.com
11aevw.com
14temr.com
16fiw3.com
1opd0j.com
1prdz8.click
1u3nk9.click
1vli3g.com
1wj4og.com
1x3mx5.com
1ztpf8.com
266yqa.click
2ajxlh.click
2arnff.com
2btun0.com
2ckh9y.click
2djjw2.com
2jcx5t.com
2mjoo7.com
2pnm1b.com
2qc6hb.com
2qsd54.com
2tzvop.com
2ybm4l.com
2zvchh.top
2zwxnt.click
30ma4p.click
329a0i.com
32ao3u.com
32lalh.com
32tt93.com
38eqzd.com
38ktso.com
3b62nm.com
3fbs39.com
3gt67b.com
3hob33.com
3po9sc.com
3q7kyc.click
3whnyl.click
3xvi41.com
42e137.com
43ri6o.com
44crej.com
47sg5m.click
4858ef.com
4ey8bm.com
4giiue.com
4l00m9.com
4ovnrf.com
4rev0x.com
4sg3d2.com
4sgmol.com
4wpa2t.click
4x3csz.com
4xho5b.com
4xmcxi.click
54rrro.com
57d657.com
583o1e.com
58vpsl.com
5fld3x.click
5hawoz.top
5iqtey.top
5irbr7.com
5p07et.com
5s49ih.com
5saohf.com
5vbfes.com
5ynlx6.com
5zvjq7.com
637lgi.com
6560sy.com
65dxct.com
66foup.com
67bhwv.com
68rqkq.com
69vdzj.com
6cbrx1.com
6dav1g.click
6e9a02.click
6f3d7e.com
6fks6z.click
6gylqh.top
6ifzyu.click
6r8d01.com
6smimr.com
6swsgy.com
6vp7zx.com
6zt4uw.com
70cm2l.com
757v3i.top
76v1ku.com
77uf5w.com
78lm12.com
790myt.com
7bx231.com
7e148o.com
7eqjdm.com
7f98jm.com
7h68v6.click
7hpwoe.com
7i7c0d.com
7jhssu.com
7khz35.click
7lc1xo.com
7mm1vw.com
7oq5ae.click
7pdahx.click
7ttzu5.com
7v0fal.click
7vk9h0.com
7z7af0.click
80qtw9.com
87neui.com
8dvis1.click
8dzqia.com
8p6nli.com
8qajt7.com
8qz0lv.com
8rftts.com
900ehz.com
912obs.com
97mk5l.com
98ellq.com
99o029c.com
9hqtpi.com
9l13cm.com
9liqoh.click
9mp7td.com
9udi1u.com
9w17kl.click
a0fflv.top
a4ffja.com
a59198.com
a9dauj.com
acmtbw.com
ahdwmjt.com
aidigo.click
aisybu.com
altu4x.top
ano2w4.com
anvrtx.com
axkkxe.com
azfrh1.com
b2sfm3.com
b8bh8q.com
b8yg7o.com
b9wmgm.click
bbxomq.com
bcx34p.com
beum68.com
bhdssuyf.top
bojj95.com
bsjj1j.com
bvnkg7.click
bwtlu3.com
bwyyhpi.com
bx12pk.com
c0levu.click
c3p10b.click
c3pyt3.com
c849q7.com
ccj486.com
cg1h9w.click
ckedkw.com
cshm68.com
csnegq.click
ctixxp.click
cvsm8x.click
cxf3e5.com
cy2p0n.com
daubnk.com
deji1q.com
dg61ue.com
dlnz0d.com
dqrkxd.com
dr29z3.com
dsq4pb.com
dswj9h.com
dy2d8i.click
dyg9oj.com
e1yti8.com
e4w3zk.com


kumiko kanno - Reverse Whois - Registry DB
名前:kumiko kanno
メールアドレス: smilekkgirl@gmail.com
住所:東京都渋谷区代官山町17-1
電話番号/FAX:03-5568-0574
取得されているスパムメール送信用ドメイン
01704q.com
029ow6.com
03coha.com
04kpgo.com
05d9wj.com
0akiru.com
0asoaa.com
0ay7hp.click
0czzk6.com
0e2239.com
0htwum.com
0ipwl7.com
0lm5ej.com
0nbt9x.click
0snbpd.com
0tf3qu.com
0wzwo8.com
0xhas4.click
0xqgay.com
0y97hr.com
139ccu.com
13wol1.com
184dym.com
1909gt.com
1d2qyf.com
1h68xa.com
1i1i7g.com
1i3m0o.com
1kfqff.com
1n7os8.com
1s3g5i.com
1zj7ka.com
20evde.com
20lpvh.com
21ntc6.com
2aih58.com
2dn451.com
2dyzg1.com
2mpnfg.com
2mvyyh.click
2owaxf.com
2pz9hl.com
2qyobl.click
2rc116.com
2t633n.com
2vtp2l.com
2x1vci.com
2zlba6.com
2zppz5.com
32ocnc.com
364d4o.com
366j99.com
3dbp46.com
3gbrdu.com
3m1tj5.com
3o3dxc.com
3txfkw.com
40l7m6.com
44r6qf.com
45t9tf.click
46y47u.com
4ijxmuv.com
4l384t.com
4mqs90.click
4msvj1.click
4s09pe.click
4tuk4f.com
4zb5ls.click
538xrq.com
54nmbd.com
57nold.com
58wadb.com
5bltk2.com
5jmmu8.com
5px4y4.com
5xkr1k.click
5ymcgl.com
601t9x.com
61c76f.com
63os6s.com
659nw9.com
68f1nh.com
6f8tef.com
6fbnb5.com
6gz1ox.com
6lr9gz.com
6mjiud.com
6wadef.click
6zb0w5.com
736tiv.com
73qg44.com
76x12z.com
78w7qc.com
7azor2.com
7bkhzq.com
7bkqbp.com
7ex92k.com
7hsg4b.com
7qy512.com
7tu8xo.com
7uqr4m.com
7vo9xr.com
7xfbev.com
7yrqms.com
7z8llp.com
85w8xi.com
87grcd.com
890jpf.com
8a5hix.click
8dd07r.com
8ex8h9.com
8fc69k.com
8inacr.com
8mwdgc.com
8r7nqh.com
8wfyhs.com
8x657r.com
8yaqic.com
8zw6og.com
91169f.com
91qzvz.click
92vn34.com
92y45y.com
93hej7.com
97k1ag.com
97kp85.click
999ljb.com
9b0kc8.com
9j7kpq.com
9jw21j.com
9khh53.com
9ltd40.com
9ncnbf.com
9oc8w9.com
9t548p.click
9z1k6n.com
a0ymzm.com
a42pe1.com
a4cq4c.com
a4w3zm.com
a82rc8.com
a9btfv.com
absco6.click
ac5vim.com
ad1ikw.com
ad2sml.com
agmvl8.click
aguf5w.click
ai7uiu.com
anbduisa.com
ar2n8c.com
b3p6dv.com
b83a42.click
b9zjuf.com
ba0nok.com
bb30e2.click
bc2wq8.com
bcegmd.com
bdyedsg.com
bg3t54.click
bgwsql.com
bhudyjw.com
bpnjtf.com
bqrjfx.com
btwl05.com
bu1hxh.com
bv4ip3.com
c1rat3.click
c33dlv.com
c5igs5.com
c7jpnj.click
c99mgj.click
cbtmla.com
cca0a3.com
cdd63s.click
cei2mo.com
cft2s0.com
cjgq1n.com
ct79cq.com
cupzvd.click
cxm3q2.com
cz64r9.com
d216hy.com
d5pb6b.com
d7ufvx.com
d9gxdr.com
d9x1t0.com
dkjud7.com
dknpd4.com
dl1bf3.com
dn8r6i.click
dntl5u.com
doajyt.com
dpbwih.com
durktc.com
e4vyqv.com
e8w9ea.com
eajz49.com
echawz.com
ejm5de.com

多すぎて書ききれんな。
ほんと、こういうの死んでほしいわ。
posted by りょーち | Comment(0) | セキュリティ

2017年03月13日

メルカリはなぜクレジットカード情報を登録する際にセキュリティコードまで登録させるのか? このエントリーをはてなブックマークに追加

GMOペイメントゲートウェイのクレジットカード情報流出事件をツイッターで追っかけていると興味深いツイートに遭遇した。
なんと、メルカリもセキュリティコードをDBに保存しているようである。
メルカリ
「保存しているようである」と記載している理由としては、これが、決済時の画面ではなく「会員情報」の付帯情報として入力する「カード情報」登録画面でセキュリティコードを入力させているからですな。
メルカリ「カード情報」登録画面
「ここではセキュリティコードを入力させるだけで実際は保存してないんですよー」とメルカリの運営スタッフは弁明するのかもしれないけど、少なくとも、何の支払処理もしない状態でセキュリティコード入力させるってちょっと意味わからんですよ。

メルカリのデータベースにカード番号、有効期限、セキュリティコードが会員情報として保存されているとしたら、メルカリを運用するスタッフが勝手にデータベースの中身を見てカード番号、有効期限、セキュリティコードを入手できちゃう可能性あるよなぁ。
これはまったくもって意味わからん仕様ですな。
それとも、会員情報でセキュリティコードを入力させるのは、そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させるとか?
うーむ。今一つよくわからん謎仕様やな。

しかもPCIDSSでは、前の記事にも書いたけど、セキュリティコードを保存しちゃいかんよと書かれてるんだよなー。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)

GMOペイメントゲートウェイの利用者数よりメルカリの利用者の方が圧倒的に多そう(フリマアプリ「メルカリ」、日米合計5,500万ダウンロード突破)なんだが、これは大丈夫なんだろうか??
今ある情報から考えると、データベースに暗号化されない状態でカード番号、有効期限、セキュリティコードが保存されている可能性は高そうなんだがどーなんやろ?
こんだけ利用者がいるからには利用者の中にはセキュリティに詳しい人もいるだろうから、その人達がこれまで何も声高に叫んでないってことは問題ないんかなぁ。
でも、セキュリティコードを会員情報の一部の情報として保存させるってのはやはりよくわかんないな。
教えて、エライ人。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ

2017年03月11日

GMOペイメントゲートウェイのクレジットカード情報はなぜ流出したのか このエントリーをはてなブックマークに追加

報道されている通り、GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。GMOペイメントゲートウェイからも以下の報告がされている。情報流出の原因はIPAが3月8日に発表したApache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構の脆弱性を利用した不正アクセスにより、悪意のあるプログラムが仕込まれたことによるらしい。

対象となっているサービスと不正アクセスされた可能性のある情報は、以下の通り。
(1) 東京都税 クレジットカードお支払サイトをご利用されたお客様(クレジットカ ード情報が流出した可能性のある総件数:676,290 件)
1 クレジットカード番号・クレジットカード有効期限 61,661 件
2 1に加え、メールアドレス 614,629 件

(2) 独立行政法人住宅金融支援機構 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540 件)
1 クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日 622 件
2 1に加え、メールアドレス・加入月 27,661 件
3 1に加え、メールアドレス 5,569 件
4 1に加え、加入月 9,688 件

はじめにこのニュースを見たときは「え?セキュリティコード保存してるの?」と脊髄反射的に思ったが、まさかGMOペイメントゲートウェイがセキュリティコード保持するような決済サービス構築してるとは考えにくいよなあ。

PCIDSS | GMOペイメントゲートウェイでは、
▼ PCIDSSに完全準拠した安全なクレジットカード決済
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
って書いてあるからなぁ。

PCIDSS3.2の日本語ドキュメントが見つからなかったから安全なカード社会の実現をめざして日本カード情報セキュリティ協議会を参照してみた。
そこにはこんな感じで書かれている。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)
こういうのを守ってないとPCIDSSに準拠しているとはいえなさそう。
なので、ある程度きちんと審査を受けて準拠しているとお墨付きをいただいているはず。
ちなみに、PCIDSS 3.2の要求仕様についてはこちらに公開されている。
Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2 April 2016(PDF)
この要求仕様の8ページ目にSensitive Authentication Dataは保存しちゃダメよとやっぱ書いてあるな。

では、なぜ保持していないはずのセキュリティコードまで流出の対象となっているのか?
可能性として考えられるのが、ある期間だけ、入力ページを差し替えられて入力した情報が別のサイトに転送されて流出ってパターンかな。
入力フォームが一定の期間差し替えられて、入力フォームで入力したセキュリティコードが第三者の別のサイトに転送され、情報が流出したパターンがあるよなー。

しかし、だとすると、いつからページが悪意あるページに差し替えられてたかですな。
セキュリティコードが流出したのは独立行政法人住宅金融支援機構 団信特約料クレジットカード払いのサイト。合計で43,540件って一定期間でフォームを差し替えられて搾取されたにしては多すぎないかな?

結局のところ、よくわかってないんだが、43,540件のクレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日情報が流出したとなると、データベースに直接アクセスして抜かれたようにも考えられる。けど、セキュリティコードは保存していないはずという矛盾。

これ、仮にPCIDSSに準拠せずにセキュリティコード保持してた場合はGMOペイメントゲートウェイ的にはどう説明するのだろう?

うーむ。もやもやするねぇ。
なお、「流出した可能性がある」ってことなので、「流出してない」かもしれないってことなんかねぇ??

追加の報道があるかもしれんので注目しとくか。

posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2017年02月18日

常時SSL化に対応しているブログサービスを調べたよ このエントリーをはてなブックマークに追加

【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログの記事で「今まで使っていたプラグインが使えない。どーしてくれるんだ?!」的なコメントが盛り上がっている中、他のブログサービスはどーなってるんだろうかと思い、主要なブログサービス12社についてのSSL/TLS化についてちょいと調べてみた。

2017年2月18日現在、常時SSL化に関するアナウンスがあったブログサービス

  1. アメーバブログ【追記あり】アメーバブログの常時SSL化に伴う仕様変更について|スタッフブログ
    2017年春以降にかけて常時SSL化を予定しております
  2. FC2ブログFC2総合インフォメーション 【重要なお知らせ】 FC2サービスのSSL化につきまして
    FC2のサービスにつきましては随時SSL対応を行っております。
  3. 楽天ブログ【重要なお知らせ】楽天ブログ 完全SSL化について | 楽天ブログ StaffBlog - 楽天ブログ
    楽天ブログでは、昨今のインターネット業界の状況を鑑み、完全SSL化を実施させて頂くことに致しました。2017年3月中(予定)
  4. Yahoo!ブログYahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN
    Yahoo! JAPANではお客様により安全にサービスをご利用いただくため、2016年4月から2017年3月にかけて、Yahoo! JAPANトップページやYahoo!ニュースを含むすべてのサービスにおいて常時SSL(AOSSL)に対応いたします(※1)。サービスごとの詳細な常時SSL対応時期については、各サービスから随時アナウンスさせていただきます(Yahooブログも含まれるのかな?)

2017年2月18日現在、常時SSL化のアナウンスがオフィシャルにないブログサービス

  1. Seesaa ブログ
  2. ライブドアブログ(livedoor Blog)
  3. JUGEMブログ
  4. はてなブログ(参考:はてなブログSSL化検討中と正式回答 - ログパゴス
  5. エキサイトブログ
  6. 忍者ブログ
  7. ココログ
  8. yaplog!(ヤプログ!)
まあ、今の時点でアナウンスがないブログもほどなく常時SSL化に対応するんじゃないかと思われるのであまり問題ないかもしれんなー。

むしろ常時SSL/TSL化が進んだ後、アメブロのコメント欄でも話題になっていた外部サービスがSSL/TSL対応じゃなかったとき「安全なサイトじゃないかもよ」とかブラウザに注意されたりすると思われるのでそっちの話も今後盛り上がりそうだねぇ。

と、常時SSL化のアナウンスがオフィシャルにないSeesaaブログでひとりごちてみた。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年12月06日

拡張子が.vvvになるマルウェア TeslaCrypt の削除方法 このエントリーをはてなブックマークに追加

拡張子が.vvvになるマルウェア TeslaCrypt の削除方法がHow to Remove TeslaCrypt Virus and Restore Encrypted Filesに書いてあったばい。

はじめの方はTeslaCryptの説明のよーですが、早くマルウェア削除したい人は
Step 1: Removing TeslaCrypt and related malware:
から読み進めていけばよいようだ。

方法は以下の通り。

1. anti-malwareをインストールして TeslaCryptと関連するマルウェアを削除する。
マルウェア削除用ツールのダウンロードリンクはHow to Remove TeslaCrypt Virus and Restore Encrypted Filesの「Download Anti-Malware for TeslaCrypt detection」のボタンをクリック。

2. TeslaCryptによって暗号化されたファイルをリストアする。
方法1. バックアップからファイルを復元する
方法2. Windowsの復元機能を使う
方法3. Ciscoから提供されている TeslaDecrypt tool を利用する
Threat Spotlight: TeslaCrypt – Decrypt It Yourself
方法4. Shadow Volume Copiesを利用する

TeslaCryptに感染してるわけではないので検証はしてないが、実際感染した人は(方法1,2で解決するような人はまあよいとして)ダメ元で方法3、方法4あたりを試してみてはどうでしょうかねー。

オレもエロいサイト見るときは気をつけよう・・・
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年03月08日

【クリック禁止!!】Twitterでレイバンのサングラスをツイートするスパム このエントリーをはてなブックマークに追加

ファッションレイバンのサングラス、今日限り2499円!
というメンション付きのツイートで偽のレイバンサングラスオンラインストアに誘導するツイッターのスパムがかなり蔓延している。
ray-ban.jpg
http://bojanaflavors.com/JP.php - Twitter検索してみると上記の画像付きで、ツイートしているようで、その数がかなり多い。このツイートをしている人は残念ながら知らず知らずにツイートしている可能性が高いですな。
このへんもだな
http://goo.gl/YbVS1w - Twitter検索

bitlyの短縮URLを利用しているのでクリック数を調べてみたが2日間で4300回以上クリックされてるようですな。
https://bitly.com/1Nss7kf+(このリンクは短縮URLがクリックされている回数などを確認するためのリンクです。)

ツイッターでレイバンのサングラスなスパムの対処対策方法に記載されている対処方法を見てみたが、これで対処になっているのかよくわからない。

何かのアプリを認証したため、ツイートされてるとかではなく、パスワードリスト攻撃によりパスワードが抜かれている可能性があるようですな。
これやられてる人はパスワードの変更と念のため不要なアプリの認証解除したほうがよさそうですなぁ。

ちなみに、上記のURLをクリックすると
http:// bojanaflavors.com /JP.php ( アクセスしちゃダメだよー )
というサイトに転送され、更に
http:// www.japansrayban.com / ( アクセスしちゃダメだよー )
というサイトに転送される。

Whois調べたら、最終的に転送されるサイトは「Admin Country: CN」となっていた。
はい中国でしたw
Whois bojanaflavors.com
Whois japansrayban.com


で、最後の
www.japansrayban.com
Ray Ban USA, Clearance Sale Ray Ban Sunglasses! Fast Shipping&2013 Collection!
では
<div style="display:none;"><script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1254459712'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s4.cnzz.com/z_stat.php%3Fid%3D1254459712' type='text/javascript'%3E%3C/script%3E"));</script></div>

というスクリプトから
http:// s4.cnzz.com /z_stat.php?id=1254459712 ( アクセスしちゃダメだよー )
へアクセスさせようとしている。
Whois cnzz.comもやっぱり「Admin Country: CN」となってるな。調べてみるとこのサイトから過去にマルウェアがダウンロードされているという実績があるようだ。
この先は怖くてアクセスしていないが、これが何かヤバイと思われる。
仮想的なマシンやブラウザでアクセス結果をシミュレーションできるようなサイトがあればよいのだがこれはあとで詳しく調べてみるかー。

よいこのみんなはクリックしちゃだめだよ!
レイバンはキチンとしたお店で買おうね!

レイバン、TwitterやFacebookのスパム投稿に注意喚起 「正規取扱店ではない」 - ITmedia ニュース
「レイバン」スパムにブランドがコメント 「リンク先は正規取扱店ではない」 - ねとらぼ
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月24日

IPAが無料提供しているセキュリティツール17選 このエントリーをはてなブックマークに追加

IPA(独立行政法人 情報処理推進機構)が発行している情報セキュリティ白書2014の巻末にIPAで提供しているセキュリティツールや読み物がまとめられている。
とても便利なので以下リンクを掲載しておきますー。
それぞれのツールの説明はリンク先を見てね。
  1. 組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク
  2. 脆弱性体験学習ツール AppGoat
  3. JVN iPedia - 脆弱性対策情報データベース
  4. 脆弱性対策情報共有フレームワーク - MyJVN
  5. MyJVN - 脆弱性対策情報収集ツール
  6. MyJVN - MyJVN セキュリティ設定チェッカ
  7. サイバーセキュリティ注意喚起サービス「icat」
  8. ウェブサイトの攻撃兆候検出ツール iLogScanner
  9. IPA セキュア・プログラミング講座
  10. 知っていますか?脆弱性 (ぜいじゃくせい)
  11. 安全なウェブサイト運営入門
  12. 5分でできる!情報セキュリティポイント学習
  13. 情報セキュリティ対策支援サイトiSupport
  14. セキュリティ要件確認支援ツールの公開
  15. ここからセキュリティ! 情報セキュリティ・ポータルサイト
  16. JPEG テスト支援ツール iFuzzMaker
  17. Androidアプリの脆弱性の学習・点検ツール AnCoLe

情報セキュリティ白書2014
独立行政法人情報処理推進機構
独立行政法人情報処理推進機構
売り上げランキング: 76,935

情報セキュリティ白書って2000円だから意外と安いよなー。
買ってみても損しない内容になってるので気になる人は購入してみましょーね。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月20日

Superfish CA testはLenovoのマシンをどーやってチェックしているのか? このエントリーをはてなブックマークに追加

Lenovo製のPCにSuperfishというマルウェアがプリインストールされて大きな問題になっているっぽい。
Lenovoの公式フォーラムでもこんな感じで議論されている。
Lenovo Pre-instaling adware/spam - Superfish - pow... - Lenovo Community

で、自分のPCがSuperfishにやられちゃってるかどうか試すサイトが「Superfish CA test」という以下のサイト。
Superfish CA test : Check if you trust the Superfish CA
このサイトでどーやってSuperfishがインストールされているか判断しているかをちょいと調べてみた。
HTMLのソースをみてみると、161行目あたりにこんな感じに書かれている。
<img src="https://badfish.filippo.io/yes.png" onerror="this.onload=''; this.alt='Good, you seem not to trust the Superfish CA.'; this.style.width = '500px'; this.src='no2.png'; ga('send', 'event', 'Result', 'Negative', {'nonInteraction': 1});" style="width: 300px" onload="this.alt='Yes, your connections can be tampered with!'; ga('send', 'event', 'Result', 'Positive', {'nonInteraction': 1});">
プログラムがあまりわかってない私だが、どうやら、
https://badfish.filippo.io/yes.png
を読みだして、エラーが起きれば「no2.png」という画像が表示される。で、すんなりyes.pngが読まれればこんなメッセージが表示される。
yes, your connections can be tampered with
はい、あなたのコネクションは改ざんすることができちゃいます。

lenovo_yes.png
勘のいい方はおわかりだろうと思いますがbadfish.filippo.ioのサーバ証明書は例のSuperfish, Incのルート証明書を使って作られている。
つまり通常のPCにはSuperfish, Incのルート証明書が入ってないのでエラーになり、no2.pngが表示されるが、Superfish, Incのルート証明書が入ってる場合には
https://badfish.filippo.io/yes.png
を読み込めちゃいますので上記の画像が表示されるということのようだ。
そうでない人はエラーになるので「no2.png」が読み込まれこんな感じになるよーだ。
superfish_no2.png
サーバ証明書をみてみるとこんな感じだな。
superfish_ca1.png
superfish_ca2.png

ヤバイCAで作ったサイト上にある画像が読めればアウトでエラーならセーフというロジックはなかなかよく出来た作りのようである。(このあたりあまりよくわかんないけど)

関連リンク:
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2015年02月14日

Twitterで www.ledonlines.com へのリンクをツイートするスパム このエントリーをはてなブックマークに追加

Twitterであまりメンション貰わないのだが、何故かメンション来たのでなんだろうと思ってみてみたらどうもスパムにやられてるっぽいアカウントからだった。

@Kuchen_bot @J_A_Y_G @ryouchi セール商品や送料無料商品など取扱商品数が日本最大級の生活家電インターネット通販サイ http://bit.ly/1B95bCr


BitlyのURLはURLの後ろに「+」を付けるとどのくらいクリックしているか見られるのでちょいと見てみたらこんな感じだった。
https://bitly.com/1B95bCr+
www.ledonlines.com

このURLは http://ledmisski.pw/ というURLに転送されているようだ。
.pwってのはパラオのドメインのようである。

Whoisで調べてみたらこんな感じだった。
Whois | .PW - the Professional Web
Domain Name: LEDMISSKI.PW
Domain ID: D6955215-CNIC
WHOIS Server: whois.PublicDomainRegistry.com
Referral URL: http://www.publicdomainregistry.com
Updated Date: 2015-02-14T01:09:55.0Z
Creation Date: 2015-02-14T01:09:54.0Z
Registry Expiry Date: 2016-02-14T23:59:59.0Z
Sponsoring Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Sponsoring Registrar IANA ID: 303
Domain Status: clientTransferProhibited
Domain Status: serverTransferProhibited
Domain Status: addPeriod
Registrant ID: DI_42095251
Registrant Name: jing he
Registrant Organization: jing he
Registrant Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Registrant City: shanghai
Registrant State/Province:
Registrant Postal Code: 200080
Registrant Country: CN
Registrant Phone: +086.02128721235
Registrant Phone Ext:
Registrant Fax: +086.02128721235
Registrant Fax Ext:
Registrant Email: ymzgcart@yeah.net
Admin ID: DI_42095251
Admin Name: jing he
Admin Organization: jing he
Admin Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Admin City: shanghai
Admin State/Province:
Admin Postal Code: 200080
Admin Country: CN
Admin Phone: +086.02128721235
Admin Phone Ext:
Admin Fax: +086.02128721235
Admin Fax Ext:
Admin Email: ymzgcart@yeah.net
Tech ID: DI_42095251
Tech Name: jing he
Tech Organization: jing he
Tech Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Tech City: shanghai
Tech State/Province:
Tech Postal Code: 200080
Tech Country: CN
Tech Phone: +086.02128721235
Tech Phone Ext:
Tech Fax: +086.02128721235
Tech Fax Ext:
Tech Email: ymzgcart@yeah.net
Name Server: f1g1ns2.dnspod.net
Name Server: f1g1ns1.dnspod.net
DNSSEC: unsigned
Billing ID: DI_42095251
Billing Name: jing he
Billing Organization: jing he
Billing Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Billing City: shanghai
Billing State/Province:
Billing Postal Code: 200080
Billing Country: CN
Billing Phone: +086.02128721235
Billing Phone Ext:
Billing Fax: +086.02128721235
Billing Fax Ext:
Billing Email: ymzgcart@yeah.net
>>> Last update of WHOIS database: 2015-02-14T13:38:46.0Z

で、ここからすぐに www.ledonlines.com へ転送される。

LED蛍光灯で節電!明るく軽いLED蛍光灯!LED蛍光灯はぜひ当店で:LED&照明電材 エコnaあかり屋.
http://www.ledonlines.com/

これもwhoisで検索したらこんな感じだった。
ledonlines.com registry whois
Updated 1 second ago - Refresh
Domain Name: LEDONLINES.COM
Registrar: XIAMEN NAWANG TECHNOLOGY CO., LTD
Sponsoring Registrar IANA ID: 1655
Whois Server: whois.nawang.cn
Referral URL: http://www.nawang.cn
Name Server: F1G1NS1.DNSPOD.NET
Name Server: F1G1NS2.DNSPOD.NET
Status: ok http://www.icann.org/epp#OK
Updated Date: 13-feb-2015
Creation Date: 13-feb-2015
Expiration Date: 13-feb-2016
ledonlines.com registrar whois
Updated 1 second ago
Domain Name: ledonlines.com
Registrar WHOIS Server: whois.nawang.cn
Registrar URL: http://www.nawang.cn
Updated Date: 2015-02-13T05:42:17.0000Z
Creation Date: 2015-02-13T05:42:17.0000Z
Registrar Registration Expiration Date: 2016-02-13T05:42:17.0000Z
Registrar:Xiamen Nawang Technology Co.,Ltd
Registrar IANA ID: 1655
Registrar Abuse Contact Email: email@nawang.cn
Registrar Abuse Contact Phone: +86 400-66-18925
Reseller:
Status: ok http://www.icann.org/epp#OK
Registry Registrant ID:
Registrant Name: jing he
Registrant Organization: jing he
Registrant Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Registrant City:
Registrant State/Province: shanghai
Registrant Postal Code: 200080
Registrant Country: CN
Registrant Phone: +86.2128721235
Registrant Phone Ext:
Registrant Fax: +86.2128721235
Registrant Fax Ext:
Registrant Email: email@yeah.net
Registry Admin ID:
Admin Name: jing he
Admin Organization: jing he
Admin Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Admin City:
Admin State/Province: shanghai
Admin Postal Code: 200080
Admin Country: CN
Admin Phone: +86.2128721235
Admin Phone Ext:
Admin Fax: +86.2128721235
Admin Fax Ext:
Admin Email: email@yeah.net
Registry Tech ID:
Tech Name: jing he
Tech Organization: jing he
Tech Street: Huang Pu Qu shanghai 253 jinshang road hongkou
Tech City:
Tech State/Province: shanghai
Tech Postal Code: 200080
Tech Country: CN
Tech Phone: +86.2128721235
Tech Phone Ext:
Tech Fax: +86.2128721235
Tech Fax Ext:
Tech Email: email@yeah.net
Name Server: F1G1NS1.DNSPOD.NET Name Server: F1G1NS2.DNSPOD.NET
DNSSEC: signedDelegation
URL of the ICANN WHOIS Data Problem Reporting System:http://wdprs.internic.net/
>>> Last update of whois database:1970-01-01T7:00:00.00Z <<<
For more information on Whois status codes, please visit:
https://www.icann.org/resources/pages/epp-status-codes-list-2014-06-18-en
ってどうも中国の方の仕業であるようだ。
ちなみにツイッターでこのURLを呟いていたアカウントは軒並み停止されているっぽい。ツイッターでhttp://bitly.com/1B95bCr - Twitter検索と言う感じで検索しても検索結果が表示されないってことはTwitter側で何か対応したのではないかと考えられる。

ちなみに転送先のページは一件日本語ページのようだが、これ見るとやっぱ日本ではなく中国だよねw
http://ledonlines.com/

うーむ、こういうスパム行為ってなくならないですなぁ。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年10月15日

SSL 3.0の利用を推奨するサイトを調べてみた このエントリーをはてなブックマークに追加

既にイロイロなネットニュースで取り上げられているようにSSL 3.0に深刻な脆弱性「POODLE」が見つかった。

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 - CNET Japan
SSL 3.0に深刻なセキュリティ脆弱性 | マイナビニュース

ってことで「SSL 3.0は脆弱性(というか設計に問題)があるので使わないほうがよいんじゃないか?」とGoogleさんなどが積極的に呼びかけているようだ。
Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

また、ブラウザ側でもSSL 3.0の利用をしないようにGoogle Chrome、Firefoxなどのブラウザで改修が進められている。
今後「サーバ側での対応とクライアント側での対応でSSL 3.0使わないようにしちゃおう」的な運動が拡大していくであろう。
ユーザ側ではInternet Explorerのインターネットオプション→詳細設定で「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外すようにするとよいだろう。

そんな中、日本にはまだSSL 3.0の利用を推奨するサイトが結構ある。
これはまあ今の段階では無理もないことなので今後更新されていくであろう。


北都銀行とか荘内銀行は(「SSL2.0」を利用されているお客さまは、「SSL3.0」への切り替えをお願いします。)ってアナウンスしてるのでそのうちSSL3.0もやめてねアナウンスがされるような気がしますな。

そのうち高木先生がこんな感じでまとめてくれると信じています。
高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト

WebサーバでもSSL v3の利用をしないように設定しとかなきゃだめな気がして調べてみるとApacheとIISでは無効化する方法はこんな感じ。
■Apacheでの無効化方法
mod_sslの記述でSSLv3を無効化する
mod_ssl - Apache HTTP Server Version 2.2
■IISでの無効化方法
インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法

あと、メールもそーいや、使ってるのか。
SSL 3.0 ぜい弱性への対応メモ  Open the Next

あー、でもサーバのケアというかどっちかと言うとクライアント側の問題が大きいんだよなぁ、きっと。
能動的にSSL 3.0で繋ぎに行っちゃうのをやめればいいだけの話しかもな。
SSL 3.0で繋がらないようになるサーバが増えれば「SSL 3.0やっぱあかんやん」って話しになってSSL 3.0が衰退してそのうちなくなるとかってシナリオなんかな?(ちょっと無理があるか)

あとはクライアント側としてはブラウザの設定以外でSSL 3.0使おうとするクライアントアプリを駆逐するぐらいか?
いろいろ調べてたらJavaはヤバイという話があった。

こんな感じでいいのかな?
Java ControlPanel
メールクライアントの「POP/SMTP over SSL」とかもどうなんだろ?
同じようにSSL 3.0はダメって感じにしなきゃあかんのかな?
あとで調べるかー。

うーむ、難しい話じゃのう。
posted by りょーち | Comment(2) | TrackBack(0) | セキュリティ