Seculity&Spamの最近のブログ記事

自アドレスにこんなメールがきました。

ヘッダーをみると
Received: from cpe-098-121-081-184.triad.res.rr.com (cpe-098-121-081-184.triad.res.rr.com [98.121.81.184])

ググるとSPAMメールを送ってくるところらしい。
速攻で削除。添付ファイルは怖いので開けませんでした。

メールサーバで「rr.com」を受信拒否にしました。

Internet Explorerに対するゼロデイ攻撃広がる


現在、問題になっているIEの脆弱性ですが、攻撃サイトは中国が圧倒的に多いようです。IEの使用は止めて、他のブラウザを使いましょう。

Shadowserver Foundation - Calendar - 2008-12-10

Domains known to be currently exploiting this vulnerability:
	baidu.bbtu01.cn - 61.160.213.194
	baidu.bbtu02.cn - 61.160.213.194
	baidu.bbtu03.cn - 61.160.213.194
	baidu.bbtu04.cn - 61.160.213.194
	baidu.bbtu05.cn - 61.160.213.194
	baidu.bbtu06.cn - 61.160.213.194
	baidu.bbtu07.cn - 61.160.213.194

	baidu-baiduxin1.cn - 121.12.173.218
	baidu-baiduxin2.cn - does not resolve
	baidu-baiduxin3.cn - 59.34.197.63
	baidu-baiduxin4.cn - 121.12.173.218
	baidu-baiduxin5.cn - 61.143.211.187
	baidu-baiduxin6.cn - 121.12.173.218
	baidu-baiduxin7.cn - 121.12.173.218
	baidu-baiduxin8.cn - 121.12.173.218
	baidu-baiduxin9.cn - 59.34.197.63


	baidu-baiduzi1.cn - 121.12.173.218
	baidu-baiduzi2.cn - 121.12.173.218
	baidu-baiduzi3.cn - 121.12.173.218
	baidu-baiduzi4.cn - 121.12.173.218
	baidu-baiduzi5.cn - 121.12.173.218
	baidu-baiduzi6.cn - 121.12.173.218
	baidu-baiduzi7.cn - 121.12.173.218
	baidu-baiduzi8.cn - 121.12.173.218

	baidu-du1.cn - 59.34.197.63
	baidu-du2.cn - 202.108.22.180
	baidu-du3.cn - 59.34.197.63
	baidu-du4.cn - 59.34.197.63
	baidu-du5.cn - 121.12.173.218
	baidu-du6.cn - 121.12.173.218
	baidu-du7.cn - 59.34.197.63
	baidu-du8.cn - 121.12.173.218
	baidu-du9.cn - 61.143.211.187

	sllwrnm1.cn - 59.34.216.92
	sllwrnm2.cn - 59.34.216.92
	sllwrnm3.cn - does not resolve
                      - possibly hostile in the future
	sllwrnm4.cn - 59.34.216.92
	sllwrnm5.cn - 59.34.216.92
	sllwrnm6.cn - 59.34.216.92
	sllwrnm7.cn - 59.34.216.92
	sllwrnm8.cn - 59.34.216.92
	sllwrnm9.cn - 59.34.216.92
	sllwrnm10.cn - 59.34.216.92


	sllwbd1.cn - 61.164.118.209
	sllwbd2.cn - 61.164.118.209
	sllwbd3.cn - 61.164.118.209
	sllwbd4.cn - 59.34.216.92
	sllwbd5.cn - 59.34.216.92
	sllwbd6.cn - 59.34.216.92
	sllwbd7.cn - 59.34.216.92
	sllwbd8.cn - 59.34.216.92
	sllwbd9.cn -  59.34.216.139
	sllwbd10.cn - 59.34.216.92

	zlwrnm1.cn - does not resolve
                   - possibly hostile in the future
	zlwrnm2.cn - does not resolve
                   - possibly hostile in the future
	zlwrnm3.cn - does not resolve
                    - possibly hostile in the future
	zlwrnm4.cn - does not resolve
                   - possibly hostile in the future
	zlwrnm5.cn - 59.34.216.139
	zlwrnm6.cn - does not resolve
                   - possibly hostile in the future
	zlwrnm7.cn - 59.34.216.139
	zlwrnm8.cn - 59.34.216.139
	zlwrnm9.cn - 59.34.216.139
	zlwrnm10.cn - 59.34.216.139
	zlwrnm11.cn - 59.34.216.139
	zlwrnm12.cn - 59.34.216.139
	zlwrnm13.cn - 59.34.216.139
	zlwrnm14.cn - 59.34.216.139
	zlwrnm15.cn - 59.34.216.139
	zlwrnm16.cn - does not resolve 
                    - possibly hostile in the future
	zlwrnm17.cn - 59.34.216.139
	zlwrnm18.cn - 59.34.216.139
	zlwrnm19.cn - 61.164.118.209
	zlwrnm20.cn - 61.164.118.209

	360avva.akvvv.cn - 58.53.128.136
	vip.4s3w.cn - 121.10.107.233
	cc4y7.cn - 58.215.76.155
	hhhh8886.cn - 121.12.104.88
	qqqqttrr.cn - 121.12.104.88
	rrrrrrryyy.cn  - 121.12.104.88
	wwwwyyyyy.cn - 121.12.104.88
	fyesn.cn - 121.10.107.233

 -- The above list is the data we have as of
        December 10, 2008 - 20:26 UTC/GMT--

Updated/additional sites:

	baidu.baibai1.cn - 61.160.213.143
	baidu.xinlang1.cn - 61.160.213.194
	cc4y6.cn - 121.10.107.233
	cc4y8.cn - 121.10.107.233

Updated 12/12/2008 - 14:17 UTC/GMT:

	www.17gamo.com - 207.154.202.219
                                 *seen from SQL injection attacks*
	www.comefood.com - 210.51.174.28
	bzka.3322.org - 210.51.174.28
	lianrong.com.cn - 210.51.174.28
	doubleluck.com.cn - 210.51.174.28
	dingli.net - 210.51.174.28
	www.mianfei58.cn - 222.189.228.146
	www.yhgames.com - 61.189.7.6
	iuwei.com - 219.232.224.87
	www.6dsoft.cn - 125.67.67.177
	w.c66i.cn - 222.174.93.34
	b81.8800.org - 80.244.188.87
	web.jha2.cn - 218.83.161.134

Updated 12/14/2008 - 18:26 UTC/GMT:

	vw.wd2a.cn - 218.83.161.134
	927.bigwww.com - 221.10.254.228
	h3hs4.cn - 218.6.12.75
	buxhere.com - 203.169.184.78

We would like to thank Websense Security Labs and Ivan Macalintal from Trend Micro, the Microsoft Malware Protection Center team, and several other anonymous contributors for additions to this list.

The following sites have not been seen hosting the IE7 exploits but are closely associated with above sites and should be considered for blocking/monitoring:

	cc4y1.cn - 121.10.107.233
	cc4y2.cn - 121.10.107.233
	cc4y3.cn - 121.10.107.233
	cc4y4.cn - 121.10.107.233
	cc4y5.cn - 58.215.76.155
	cc4y9.cn - 58.215.76.155

	baidu.baibai2.cn - 61.160.213.143
	baidu.baibai3.cn - 61.160.213.143
	baidu.baibai4.cn - 61.160.213.143 
	baidu.baibai5.cn - 61.160.213.143 

	baidu.xinlang2.cn - 61.160.213.143
	baidu.xinlang3.cn - 61.160.213.143
	baidu.xinlang4.cn - 61.160.213.143

マイクロソフトは世界で5番目にスパムに優しいISP - Zero Day - ZDNet Japan

Spamhaus.orgが作成している世界のスパムネットワークの上位リストの最新情報では、Microsoftを5位としており、その理由として電子メールによるナイジェリア詐欺などに関する26件の「既知のスパム関連問題」を挙げている。」とZDNETで報じていますが、今日、Spamhaus.orgのサイトを確認したところ、6位になっていました。

最近、アメリカでスパム配送ISP業者が遮断されたことが最近ありましたが、マイクロソフトがスパム配送業者と判断され、遮断されないように願っています。ww

個人的にはhotmailとyahooメールはスパムメールの多いところと判断していますが、スペースも悪用されているとは・・・

MS、有料セキュリティサービス「Windows Live OneCare」と「Equipt」の中止へ - オール・ア - ZDNet Japan

マイクロソフトが「Windows Live OneCare」の販売を2009年6月30日で中止し、2009年後半にコード名「Morro」と称する無料のセキュリティサービスをリリースするようです。

「OneCare」はノートンなどに販売で負けているため継続をあきらめ、無料の「Morro」に切り替え、シェアアップを目指すということでしょう。

しかし、市場を独占してから有料とするなんてオチは無いでしょうね。

「Morro」はXP,VISTA Windoows 7対応のダウンロード方式となるとの事ですが、他のセキュリティメーカーにとっては大きな脅威となり、より一層良い製品や価格の低下などをもたらしてくれれば幸いです。

早朝に怪しいメールがきました。

Return-Path: uucp@aubet.com
To: ***@aubetec.com
Subject: Internet Explorer 7
From: admin@microsoft.com ***@aubetec.com

Download the latest version! <--リンクは外してあります。

About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

・ス2008 Microsoft | Unsubscribe | More Newsletters | Privacy
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

差出人がadmin@microsoft.comと、いかにもMicrosoftからのメールを装っていますが、実際は、このサーバのシステム用メールアドレスを使っています。
また、下の行の「・ス2008 Microsoft | Unsubscribe | More Newsletters | Privacy」は実際に「http://www.msn.com」にリンクが張られています。

ところが、最初の行に書かれている

「Download the latest version!」

「http://stock.cdtarjeta.com/imagenes/explorer-7.0.exe」にリンクを貼ってあります。

どうみてもスパムメールです。

 Windows必携の無償セキュリティツール10選 - builder by ZDNet Japanで紹介されていたうち、3つを試してみました。

  • Secunia Personal Software Inspector
     
    インストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができます。

    psis_01 インストールが完了すると、いきなり左のようにスキャンを始めます。
    psis_02 スキャンが完了すると、セキュリティに問題のあるプログラムが表示され、対策済みのプログラムをインストールするようにURLが表示されます。
    しかもダウンロードするプログラムにリンクが貼られているという面倒見の良さ。
    私の場合は、「Adobe Flash Player 9」が問題あると指摘され、URLをクリックしたところ、アンインストール プログラムがダウンロードされました。
    一旦、アンインストールして、再度、Flash Playerをダウンロードしてインストールしました。
  • OpenDNS
    ドメインの入力間違いを指摘したり、フィッシング詐欺から守ってくれる。

    これはルータにDNS設定をしました。DNSネームサーバのプライマリに「208.67.222.222」セカンダリに「208.67.220.220」を設定するだけでいたって簡単。

  • Haute Secure
    紹介記事ではMicrosoftのInternet Explorer向けプラグインだと書いてありましたが、FirefoxやOpera9.5でもマルウェアの自動ダウンロードを防ぎます。

    haute_secure_01 これはDownloadボタンをクリックして、ダウンロード画面にいくと「Haute Secure 64-bit is also available for download.」GET 64-bitがあったので、こちらをDownloadしました。
    livedoor.jpがブロックされたのは笑ってしまった。

いずれも英語版ですから、日本のサイトに対しては100%対応していないと思いますが、マルウェアなどはもともと英語サイトに多いので、効果はあると思います。

その他、紹介されているソフト

  • Active Virus Shield(無償のウイルス対策ソフトウェア)
    現在は配布されていないので対象外
  • GMER(rootkit対策ツール)
  • Netcraft Toolbar
    フィッシング詐欺やその他の個人情報窃盗の発見に役立てることのできるソフト
  • File Shredder
    ドキュメントを復元不可能なレベルにまで消去/抹消するソフト。(すでに使っています)
  • CCleaner
    システムの最適化をするソフト。テンポラリファイルやクッキーの削除、不要なレジスタの削除などをしてくれます。(XPでは使用していますが、Vistaでは現在使用していません。)

    PC Decrapifier
    PCにプリインストールされている試用版ソフトなどを削除するソフト。日本語のソフトに対応しているか不明。
  • NoScript
    FireFox用のプラグインで、フラッシュやJavaScript、Javaの実行を拒否するプラグイン。信頼済みに登録するか、一時的に実行を許可しなければ、JavaScriptなどのプログラムは実行されません。(現在、使用しています。)

 

 モジラ、Firefox 3のセキュリティアップデートをリリース:ニュース - CNET Japan

  1. Mac OS X上の不正なGIFファイルによる脆弱性
  2. コマンドラインURLによって複数のタブが開かれる問題
  3. CSS参照カウンタのオーバーフローによりリモートコードが実行される恐れがある問題

上の3つの問題に対処した「Firefox 3.0.1」がリリースされました。

「Firefox 3.0.0」の「ヘルプ」「ソフトウェアの更新の確認」からアップデートしてみました。
Vistaでは更新の失敗が表示されましたが、正常に更新されているようです。

私の環境でアドオンで動作しなかったものは以下の三つでしたがNightly Test Toolsで問題なく動作するようになりました。

Orbit Downloader Firefox Integration
Tab Mix Plus
Blog This in Windows Libe Writer

6月20日,22日とauの方に迷惑メールがきています。

どちらもmobile-memberhappy.netにアクセスを促すものでした。
しかも、22日のメールは送信ボックスに勝手に送信メールを作るという悪質なものでした。

以下、内容とレジスト情報を曝しておきます。

20日に届いたメール
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
X-CASIO-MAILSTATE:ここには特定の番号が入っています。
BEGIN:VENV
BEGIN:VBODY
Date: Fri, 20 Jun 2008 05:57:43 +0900
From: mixy-mobile_2008sa@xfire.jp
Subject: 口コミで増え続けています!
Reply-To:
To:
Cc:
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit

本メールは[mixyモバイル]より送信されています。
知人である紹介者様からの招待状です。ご安心下さいませ。

ご利用を開始するには下記URLを参照に!!
ttp://mobile-memberhappy.net/tk/mixy2/

※ご登録、ご利用は全て無料になります。

END:VBODY
END:VENV
END:VMSG

xfire.jpのレジスト情報
Domain Information: [ドメイン情報]
[Domain Name]    XFIRE.JP
61.115.232.194

[登録者名]    株式会社スター・ビーチ
[Registrant]    Star-Beach, Inc.

[Name Server]    e1.xfire.jp
[Name Server]    ns.at-link.ad.jp

[登録年月日]    2002/10/28
[有効期限]    2008/10/31
[状態]    Active
[最終更新]    2007/11/01 01:05:04 (JST)

Contact Information: [公開連絡窓口]
[名前]    株式会社シーエー・モバイル
[Name]    CA MOBILE, LTD.
[Email]    info@camobile.com
[Web Page]   
[郵便番号]    150-0031
[住所]    東京都渋谷区
桜丘町20-1
渋谷インフォスタワー6F
[Postal Address]   
[電話番号]    03-3516-9577
[FAX番号]    03-6415-3401

 

22日に届いたメール
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
X-CASIO-MAILSTATE:ここには特定の番号が入っています。
BEGIN:VENV
BEGIN:VBODY
Date: Sun, 22 Jun 2008 03:23:29 +0900
From: ad-mixi3788xxx@jammix.jp
Subject: ネット業界騒然!!!
Reply-To:
To:
Cc:
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit

■[アダルトmixy]って何?
既存の会員より招待された方のみ参加でき、あなたの友人から繋がる信頼できるサイトが利用可能です。
ttp://mobile-memberhappy.net/tk/admixy/

※この招待状の有効期限は7日間です。
※アダルトmixyの基本利用料、登録料は全て無料です。

END:VBODY
END:VENV
END:VMSG

jammix.jpのドメインはありませんでした。

mobile-memberhappy.netのレジスト
Domain name: mobile-memberhappy.net
63.251.92.197

Registrant Contact:
Personal
Kumi Goda
Tagamishinmachi 29 None
Kanazawa, Iashikawa 920-1153
JP

Administrative Contact:
DigiRock, Inc.
DIGIROCK INC. (info@value-domain.com)
+81.662416585
Fax: +81.662416586
Chuo-ku Bakurou-cho 4-7-5
Honmachi TS Building 6F
Osaka-shi, OSAKA-FU 541-0059
JP

さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害

さくらインターネットの「専用サーバ 10M スタンダード」プランのサーバーのうち、IPアドレスが「219.94.145.0~219.94.145.127」の範囲にあるサーバーにARPスプーフィングによる不正なアクセスコードが仕込まれており、ウィルスなどがダウンロードされるように仕込まれる可能性があったそうです。

今回の、この事件では関係ないでしょうが、私の自宅サーバには毎日、不正アクセスが数件あり、自動的に不正アクセスのIPアドレスを24時間遮断する設定にしてあります。

この不正アクセスは、中国、香港、韓国を最初から遮断しているにも関わらず、海外からが圧倒的に多いのですが、国内からはさくらインターネットからの不正アクセスが一番多いです。

さくらインターネットには、以前、不正アクセスの時間、IPアドレスを報告したのですが、何の返答もなかったので、全然信頼していません。

昨日もあったさくらインターネットからの不正アクセス
Jun 6 02:57:20 *** sshd[22885]: refused connect from ::ffff:210.188.206.245 (::ffff:210.188.206.245)

危険なWebサイトのホスティング率が最も高い国別ドメインは「.hk」:ITpro

米McAfeeが米国時間2008年6月4日に発表した,世界における危険なWebサイトに関する調査によると、最も危険性が高い国別ドメインは「.hk」(香港)で,次が「.cn」(中国)だったそうです。香港ドメインを持つサイト全体の19.2%、国ドメインを持つサイト全体の11%にセキュリティ上の問題が見つかったそうです。

逆に,安全な国別ドメインは「.fi」(フィンランド)で,危険なサイトが占める割合は0.05%。次いで「.jp」(日本)が0.13%だった。そのほか,「.no」(ノルウェー),「.si」(スロベニア),「.co」(コロンビア)なども危険なサイトの割合が0.3%未満と低かった。

やはり、中国関係のサイトにアクセスするのはリスクが大きいですね。

McAfeeのサイトに詳しい調査結果がPDFで公表されていました。

下はそこに掲載されていたアジアの国別ドメインの危険度(クリックで拡大表示します)

domain_risk_01

Flashカレンダー

アーカイブ



WWW を検索
aubetec.com を検索

Live Search




動画検索 Fooooo

最近のトラックバック


Add Clips(ブックマーク)

ブックマークに追加する