自アドレスにこんなメールがきました。
ヘッダーをみると
Received: from cpe-098-121-081-184.triad.res.rr.com (cpe-098-121-081-184.triad.res.rr.com [98.121.81.184])
ググるとSPAMメールを送ってくるところらしい。
速攻で削除。添付ファイルは怖いので開けませんでした。
メールサーバで「rr.com」を受信拒否にしました。
Seculity&Spamの最近のブログ記事
Internet Explorerに対するゼロデイ攻撃広がる
現在、問題になっているIEの脆弱性ですが、攻撃サイトは中国が圧倒的に多いようです。IEの使用は止めて、他のブラウザを使いましょう。
Shadowserver Foundation - Calendar - 2008-12-10
Domains known to be currently exploiting this vulnerability: baidu.bbtu01.cn - 61.160.213.194
baidu.bbtu02.cn - 61.160.213.194
baidu.bbtu03.cn - 61.160.213.194
baidu.bbtu04.cn - 61.160.213.194
baidu.bbtu05.cn - 61.160.213.194
baidu.bbtu06.cn - 61.160.213.194
baidu.bbtu07.cn - 61.160.213.194
baidu-baiduxin1.cn - 121.12.173.218
baidu-baiduxin2.cn - does not resolve
baidu-baiduxin3.cn - 59.34.197.63
baidu-baiduxin4.cn - 121.12.173.218
baidu-baiduxin5.cn - 61.143.211.187
baidu-baiduxin6.cn - 121.12.173.218
baidu-baiduxin7.cn - 121.12.173.218
baidu-baiduxin8.cn - 121.12.173.218
baidu-baiduxin9.cn - 59.34.197.63
baidu-baiduzi1.cn - 121.12.173.218
baidu-baiduzi2.cn - 121.12.173.218
baidu-baiduzi3.cn - 121.12.173.218
baidu-baiduzi4.cn - 121.12.173.218
baidu-baiduzi5.cn - 121.12.173.218
baidu-baiduzi6.cn - 121.12.173.218
baidu-baiduzi7.cn - 121.12.173.218
baidu-baiduzi8.cn - 121.12.173.218
baidu-du1.cn - 59.34.197.63
baidu-du2.cn - 202.108.22.180
baidu-du3.cn - 59.34.197.63
baidu-du4.cn - 59.34.197.63
baidu-du5.cn - 121.12.173.218
baidu-du6.cn - 121.12.173.218
baidu-du7.cn - 59.34.197.63
baidu-du8.cn - 121.12.173.218
baidu-du9.cn - 61.143.211.187
sllwrnm1.cn - 59.34.216.92
sllwrnm2.cn - 59.34.216.92
sllwrnm3.cn - does not resolve
- possibly hostile in the future
sllwrnm4.cn - 59.34.216.92
sllwrnm5.cn - 59.34.216.92
sllwrnm6.cn - 59.34.216.92
sllwrnm7.cn - 59.34.216.92
sllwrnm8.cn - 59.34.216.92
sllwrnm9.cn - 59.34.216.92
sllwrnm10.cn - 59.34.216.92
sllwbd1.cn - 61.164.118.209
sllwbd2.cn - 61.164.118.209
sllwbd3.cn - 61.164.118.209
sllwbd4.cn - 59.34.216.92
sllwbd5.cn - 59.34.216.92
sllwbd6.cn - 59.34.216.92
sllwbd7.cn - 59.34.216.92
sllwbd8.cn - 59.34.216.92
sllwbd9.cn - 59.34.216.139
sllwbd10.cn - 59.34.216.92
zlwrnm1.cn - does not resolve
- possibly hostile in the future
zlwrnm2.cn - does not resolve
- possibly hostile in the future
zlwrnm3.cn - does not resolve
- possibly hostile in the future
zlwrnm4.cn - does not resolve
- possibly hostile in the future
zlwrnm5.cn - 59.34.216.139
zlwrnm6.cn - does not resolve
- possibly hostile in the future
zlwrnm7.cn - 59.34.216.139
zlwrnm8.cn - 59.34.216.139
zlwrnm9.cn - 59.34.216.139
zlwrnm10.cn - 59.34.216.139
zlwrnm11.cn - 59.34.216.139
zlwrnm12.cn - 59.34.216.139
zlwrnm13.cn - 59.34.216.139
zlwrnm14.cn - 59.34.216.139
zlwrnm15.cn - 59.34.216.139
zlwrnm16.cn - does not resolve
- possibly hostile in the future
zlwrnm17.cn - 59.34.216.139
zlwrnm18.cn - 59.34.216.139
zlwrnm19.cn - 61.164.118.209
zlwrnm20.cn - 61.164.118.209
360avva.akvvv.cn - 58.53.128.136
vip.4s3w.cn - 121.10.107.233
cc4y7.cn - 58.215.76.155
hhhh8886.cn - 121.12.104.88
qqqqttrr.cn - 121.12.104.88
rrrrrrryyy.cn - 121.12.104.88
wwwwyyyyy.cn - 121.12.104.88
fyesn.cn - 121.10.107.233
-- The above list is the data we have as of
December 10, 2008 - 20:26 UTC/GMT--
Updated/additional sites:
baidu.baibai1.cn - 61.160.213.143 baidu.xinlang1.cn - 61.160.213.194 cc4y6.cn - 121.10.107.233 cc4y8.cn - 121.10.107.233
Updated 12/12/2008 - 14:17 UTC/GMT:
www.17gamo.com - 207.154.202.219
*seen from SQL injection attacks*
www.comefood.com - 210.51.174.28
bzka.3322.org - 210.51.174.28
lianrong.com.cn - 210.51.174.28
doubleluck.com.cn - 210.51.174.28
dingli.net - 210.51.174.28
www.mianfei58.cn - 222.189.228.146
www.yhgames.com - 61.189.7.6
iuwei.com - 219.232.224.87
www.6dsoft.cn - 125.67.67.177
w.c66i.cn - 222.174.93.34
b81.8800.org - 80.244.188.87
web.jha2.cn - 218.83.161.134
Updated 12/14/2008 - 18:26 UTC/GMT:
vw.wd2a.cn - 218.83.161.134 927.bigwww.com - 221.10.254.228 h3hs4.cn - 218.6.12.75 buxhere.com - 203.169.184.78
We would like to thank Websense Security Labs and Ivan Macalintal from Trend Micro, the Microsoft Malware Protection Center team, and several other anonymous contributors for additions to this list.
The following sites have not been seen hosting the IE7 exploits but are closely associated with above sites and should be considered for blocking/monitoring:
cc4y1.cn - 121.10.107.233 cc4y2.cn - 121.10.107.233 cc4y3.cn - 121.10.107.233 cc4y4.cn - 121.10.107.233 cc4y5.cn - 58.215.76.155 cc4y9.cn - 58.215.76.155 baidu.baibai2.cn - 61.160.213.143 baidu.baibai3.cn - 61.160.213.143 baidu.baibai4.cn - 61.160.213.143 baidu.baibai5.cn - 61.160.213.143 baidu.xinlang2.cn - 61.160.213.143 baidu.xinlang3.cn - 61.160.213.143 baidu.xinlang4.cn - 61.160.213.143
マイクロソフトは世界で5番目にスパムに優しいISP - Zero Day - ZDNet Japan
「Spamhaus.orgが作成している世界のスパムネットワークの上位リストの最新情報では、Microsoftを5位としており、その理由として電子メールによるナイジェリア詐欺などに関する26件の「既知のスパム関連問題」を挙げている。」とZDNETで報じていますが、今日、Spamhaus.orgのサイトを確認したところ、6位になっていました。
最近、アメリカでスパム配送ISP業者が遮断されたことが最近ありましたが、マイクロソフトがスパム配送業者と判断され、遮断されないように願っています。ww
個人的にはhotmailとyahooメールはスパムメールの多いところと判断していますが、スペースも悪用されているとは・・・
MS、有料セキュリティサービス「Windows Live OneCare」と「Equipt」の中止へ - オール・ア - ZDNet Japan
マイクロソフトが「Windows Live OneCare」の販売を2009年6月30日で中止し、2009年後半にコード名「Morro」と称する無料のセキュリティサービスをリリースするようです。
「OneCare」はノートンなどに販売で負けているため継続をあきらめ、無料の「Morro」に切り替え、シェアアップを目指すということでしょう。
しかし、市場を独占してから有料とするなんてオチは無いでしょうね。
「Morro」はXP,VISTA Windoows 7対応のダウンロード方式となるとの事ですが、他のセキュリティメーカーにとっては大きな脅威となり、より一層良い製品や価格の低下などをもたらしてくれれば幸いです。
早朝に怪しいメールがきました。
Return-Path: uucp@aubet.com
To: ***@aubetec.com
Subject: Internet Explorer 7
From: admin@microsoft.com ***@aubetec.com
Download the latest version! <--リンクは外してあります。
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
・ス2008 Microsoft | Unsubscribe | More Newsletters | Privacy
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
差出人がadmin@microsoft.comと、いかにもMicrosoftからのメールを装っていますが、実際は、このサーバのシステム用メールアドレスを使っています。
また、下の行の「・ス2008 Microsoft | Unsubscribe | More Newsletters | Privacy」は実際に「http://www.msn.com」にリンクが張られています。
ところが、最初の行に書かれている
「Download the latest version!」は
「http://stock.cdtarjeta.com/imagenes/explorer-7.0.exe」にリンクを貼ってあります。
どうみてもスパムメールです。
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japanで紹介されていたうち、3つを試してみました。
- Secunia Personal Software Inspector
インストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができます。
インストールが完了すると、いきなり左のようにスキャンを始めます。 
スキャンが完了すると、セキュリティに問題のあるプログラムが表示され、対策済みのプログラムをインストールするようにURLが表示されます。
しかもダウンロードするプログラムにリンクが貼られているという面倒見の良さ。
私の場合は、「Adobe Flash Player 9」が問題あると指摘され、URLをクリックしたところ、アンインストール プログラムがダウンロードされました。
一旦、アンインストールして、再度、Flash Playerをダウンロードしてインストールしました。 - OpenDNS
ドメインの入力間違いを指摘したり、フィッシング詐欺から守ってくれる。
これはルータにDNS設定をしました。DNSネームサーバのプライマリに「208.67.222.222」セカンダリに「208.67.220.220」を設定するだけでいたって簡単。
- Haute Secure
紹介記事ではMicrosoftのInternet Explorer向けプラグインだと書いてありましたが、FirefoxやOpera9.5でもマルウェアの自動ダウンロードを防ぎます。
これはDownloadボタンをクリックして、ダウンロード画面にいくと「Haute Secure 64-bit is also available for download.」GET 64-bitがあったので、こちらをDownloadしました。
livedoor.jpがブロックされたのは笑ってしまった。
いずれも英語版ですから、日本のサイトに対しては100%対応していないと思いますが、マルウェアなどはもともと英語サイトに多いので、効果はあると思います。
その他、紹介されているソフト
- Active Virus Shield(無償のウイルス対策ソフトウェア)
現在は配布されていないので対象外 - GMER(rootkit対策ツール)
- Netcraft Toolbar
フィッシング詐欺やその他の個人情報窃盗の発見に役立てることのできるソフト - File Shredder
ドキュメントを復元不可能なレベルにまで消去/抹消するソフト。(すでに使っています) - CCleaner
システムの最適化をするソフト。テンポラリファイルやクッキーの削除、不要なレジスタの削除などをしてくれます。(XPでは使用していますが、Vistaでは現在使用していません。)
PC Decrapifier
PCにプリインストールされている試用版ソフトなどを削除するソフト。日本語のソフトに対応しているか不明。 - NoScript
FireFox用のプラグインで、フラッシュやJavaScript、Javaの実行を拒否するプラグイン。信頼済みに登録するか、一時的に実行を許可しなければ、JavaScriptなどのプログラムは実行されません。(現在、使用しています。)
モジラ、Firefox 3のセキュリティアップデートをリリース:ニュース - CNET Japan
- Mac OS X上の不正なGIFファイルによる脆弱性
- コマンドラインURLによって複数のタブが開かれる問題
- CSS参照カウンタのオーバーフローによりリモートコードが実行される恐れがある問題
上の3つの問題に対処した「Firefox 3.0.1」がリリースされました。
「Firefox 3.0.0」の「ヘルプ」「ソフトウェアの更新の確認」からアップデートしてみました。
Vistaでは更新の失敗が表示されましたが、正常に更新されているようです。
私の環境でアドオンで動作しなかったものは以下の三つでしたがNightly Test Toolsで問題なく動作するようになりました。
Orbit Downloader Firefox Integration
Tab Mix Plus
Blog This in Windows Libe Writer
6月20日,22日とauの方に迷惑メールがきています。
どちらもmobile-memberhappy.netにアクセスを促すものでした。
しかも、22日のメールは送信ボックスに勝手に送信メールを作るという悪質なものでした。
以下、内容とレジスト情報を曝しておきます。
20日に届いたメール
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
X-CASIO-MAILSTATE:ここには特定の番号が入っています。
BEGIN:VENV
BEGIN:VBODY
Date: Fri, 20 Jun 2008 05:57:43 +0900
From: mixy-mobile_2008sa@xfire.jp
Subject: 口コミで増え続けています!
Reply-To:
To:
Cc:
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit
本メールは[mixyモバイル]より送信されています。
知人である紹介者様からの招待状です。ご安心下さいませ。
ご利用を開始するには下記URLを参照に!!
ttp://mobile-memberhappy.net/tk/mixy2/
※ご登録、ご利用は全て無料になります。
END:VBODY
END:VENV
END:VMSG
xfire.jpのレジスト情報
Domain Information: [ドメイン情報]
[Domain Name] XFIRE.JP
61.115.232.194
[登録者名] 株式会社スター・ビーチ
[Registrant] Star-Beach, Inc.
[Name Server] e1.xfire.jp
[Name Server] ns.at-link.ad.jp
[登録年月日] 2002/10/28
[有効期限] 2008/10/31
[状態] Active
[最終更新] 2007/11/01 01:05:04 (JST)
Contact Information: [公開連絡窓口]
[名前] 株式会社シーエー・モバイル
[Name] CA MOBILE, LTD.
[Email] info@camobile.com
[Web Page]
[郵便番号] 150-0031
[住所] 東京都渋谷区
桜丘町20-1
渋谷インフォスタワー6F
[Postal Address]
[電話番号] 03-3516-9577
[FAX番号] 03-6415-3401
22日に届いたメール
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
X-CASIO-MAILSTATE:ここには特定の番号が入っています。
BEGIN:VENV
BEGIN:VBODY
Date: Sun, 22 Jun 2008 03:23:29 +0900
From: ad-mixi3788xxx@jammix.jp
Subject: ネット業界騒然!!!
Reply-To:
To:
Cc:
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit
■[アダルトmixy]って何?
既存の会員より招待された方のみ参加でき、あなたの友人から繋がる信頼できるサイトが利用可能です。
ttp://mobile-memberhappy.net/tk/admixy/
※この招待状の有効期限は7日間です。
※アダルトmixyの基本利用料、登録料は全て無料です。
END:VBODY
END:VENV
END:VMSG
jammix.jpのドメインはありませんでした。
mobile-memberhappy.netのレジスト
Domain name: mobile-memberhappy.net
63.251.92.197
Registrant Contact:
Personal
Kumi Goda
Tagamishinmachi 29 None
Kanazawa, Iashikawa 920-1153
JP
Administrative Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP
さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害
さくらインターネットの「専用サーバ 10M スタンダード」プランのサーバーのうち、IPアドレスが「219.94.145.0~219.94.145.127」の範囲にあるサーバーにARPスプーフィングによる不正なアクセスコードが仕込まれており、ウィルスなどがダウンロードされるように仕込まれる可能性があったそうです。
今回の、この事件では関係ないでしょうが、私の自宅サーバには毎日、不正アクセスが数件あり、自動的に不正アクセスのIPアドレスを24時間遮断する設定にしてあります。
この不正アクセスは、中国、香港、韓国を最初から遮断しているにも関わらず、海外からが圧倒的に多いのですが、国内からはさくらインターネットからの不正アクセスが一番多いです。
さくらインターネットには、以前、不正アクセスの時間、IPアドレスを報告したのですが、何の返答もなかったので、全然信頼していません。
昨日もあったさくらインターネットからの不正アクセス
Jun 6 02:57:20 *** sshd[22885]: refused connect from ::ffff:210.188.206.245 (::ffff:210.188.206.245)
危険なWebサイトのホスティング率が最も高い国別ドメインは「.hk」:ITpro
米McAfeeが米国時間2008年6月4日に発表した,世界における危険なWebサイトに関する調査によると、最も危険性が高い国別ドメインは「.hk」(香港)で,次が「.cn」(中国)だったそうです。香港ドメインを持つサイト全体の19.2%、国ドメインを持つサイト全体の11%にセキュリティ上の問題が見つかったそうです。
逆に,安全な国別ドメインは「.fi」(フィンランド)で,危険なサイトが占める割合は0.05%。次いで「.jp」(日本)が0.13%だった。そのほか,「.no」(ノルウェー),「.si」(スロベニア),「.co」(コロンビア)なども危険なサイトの割合が0.3%未満と低かった。
やはり、中国関係のサイトにアクセスするのはリスクが大きいですね。
McAfeeのサイトに詳しい調査結果がPDFで公表されていました。
下はそこに掲載されていたアジアの国別ドメインの危険度(クリックで拡大表示します)
Flashカレンダー
Live Search
最近のトラックバック
Add Clips(ブックマーク)
最近のコメント