インフラエンジニアのブログ

”Amazon.co.jp ご注文の確認 「[ティファニー]xxx”

うちにも Amazon をかたるメールが来てたました。
もちろん注文した覚えもないし、添付メールだけって、そんな怪しいメール開く人はいないでしょって思うけどw

メールのヘッダーはAmazon.co.jp
Reply-To: "Amazon.co.jp"
From: "Amazon.co.jp"
これは簡単に偽装できるので騙されないように！

今後もっと本物に近いメールが増える可能性があるので、本物っぽいメールが来たとしても、添付ファイルがあった時は注意しましょう（添付ファイルだけが問題というわけではないですが）

一部修正

メールアドレスをどこから入手したのか気になるけど、Amazonではないと思います。普段Amazonで使っているメールアドレスではない方にスパムメールが送られてきたので

Androidのメディア再生エンジンであるStagefrightに脆弱性が発見されたとのことです。
動画や音楽で感染することもあり、さらにMMSを使った場合メールを読まなくても感染してしまう可能性があるとのことです。

Androidに極めて深刻な脆弱性、MMSで端末制御可能に
http://www.itmedia.co.jp/enterprise/articles/1507/28/news049.html

この脆弱性は、モバイルセキュリティを手掛けるZimperiumの研究者ジョシュア・ドレイク氏が発見した。Androidにネイティブで搭載されているメディア再生エンジン「Stagefright」に脆弱性があり、攻撃者が細工を施したMMSメッセージを送り付けるだけで、セキュリティ対策のサンドボックスをかわしてリモートでコードを実行できてしまう恐れがあるという。

脆弱性はバージョン2.2（Froyo）以降のAndroidに存在しており、Androidの95％に当たる9億5000万台に影響が及ぶと試算されている。

非常にヤバイ脆弱性であり、危険性が高く、多くのAndroidに影響があるとのことです。
Android 4.3以前のものには、WebViewの脆弱性があり、すでにGoogleから見捨てられていますから、4.3以前のものは使わない方がよいと思います。
4.4以降のものも、日本ではまだ売られているスマホですが、脆弱性があるのでアップデートの確認をしましょう。アップデートがない場合は、キャリアorメーカーにアップデータを出すように要望しましょう。

オンラインゲームの運営をかたったフィッシングメールと思われるメールがきてた。
もちろん自分はやってないので引っかかることはないのですが・・
今後も似たような手口のウイルスメールが増える可能性が高いので注意しましょう。

「ドラゴンクエストX」にて、他のプレイヤーから受けた行為が、違反報告や迷惑行為に該当すると感じた場合は、ゲーム内より報告をお願いします。

報告の方法：

1）ゲーム内「メインコマンドウィンドウ」から、「さくせん」→「困ったときは？」を選びます。

2)「お問い合わせ」を選択し、カテゴリを「違反行為の報告」サブカテゴリを「迷惑行為/いやがらせ/詐欺」を選んでください。

3)「けってい」を押して、よくあるご質問の内容で解決しない場合には「解決しないのでサポートセンターに問い合わせる」（aボタン）を押す。

4）件名と本文にできるだけ詳しい内容を書いて「送信する」を選択してください。

※ゲーム内の調査ができるのは、行為を受けてから1週間程度です。被害にあったと思われたときには、なるべく早くお問い合わせいただくようお願いいたします。

※本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :

ｈｔｔｐ://hiroba.dqx.jp/sc/public/playguide/guide01/

アドレスも変だし、リンクを踏むことはないと思うけど
ソースを確認するとHTMLメールで、URLは別の可能性も（今回は出した人がへまして dqx.jp ドメインがバレバレだったかも？？）

Fromは偽装しているかと autoinfo_jp@account.square-enix.com が設定されているけど、From欄は簡単に偽装できるので
実際は nsb.com というところから送信されているようです。

php http_get を使おうとしたら、
PHP Fatal error: Call to undefined function http_get()
って・・

php-pecl-http をインストールすれば使えるということで、remi からインストールを試してみるが、libevent-2.0が必要とのことで、こちらも remi に rpm が存在するので、そこからインストールしてみました。

yum --enablerepo=remi install libevent-last php-pecl-http

http.so が読み込まれていることを確認し

$ php -i

/etc/php.d/50-http.ini,

http

HTTP Support => enabled
Extension Version => 2.5.0

Used Library => Compiled => Linked
libz => 1.2.3 => 1.2.3
libcurl => 7.19.7 => 7.19.7
libevent => 2.0.22-stable => 2.0.22-stable
libidn (IDNA2003) => 0.23 => unknown

Directive => Local Value => Master Value
http.etag.mode => crc32b => crc32b

と http.so が読み込まれていることを確認。

その後 http_get() 関数を使ってみたが・・
PHP Fatal error: Call to undefined function http_get()

変わらず、ネットで検索してみたら remi から http.so をインストールしみたらうまくできなかった人もいたようですが、今日のところはよく解らず、http_get を試してみようとしただけなので、これ以上頑張るメリットもないし・・
いろいろ拡張すると、こういうトラブルがあったりして厄介ですね。

一応再インストールも試してみたが
remi-php56 を有効にして、php5.6 がインストールされることを確認したがダメだった。
phpinfo() で確認しても、http.so モジュールが読み込まれているようなのに・・他に何か問題あるのかな？


7/29追加
remiのphp-pecl-httpのアップデートがあったので先ほど試してみたけど、まだ治ってないようです。
ちなみに、php-pecl-http1というのもあるらしい。前のバージョンなのかな？ちょっと試してみようと思ったけど、後ほど

Galaxyシリーズで遠隔操作が可能なセキュリティーホールが発見されたらしい。
結構やばい感じのもので、早めに対策した方がいいね。

「Galaxy」スマホのキーボードアプリに脆弱性、6億台に影響か--セキュリティ企業

OS自体の問題ではないが、プリインストールアプリに問題あると影響が大きい。
こまめにアップデートしてれば問題ないと思うが、アップデートしてない人とか多そうだし、今後さらに問題になるかも？？

BIGLOBE LTEを使ってますが、全然問題がないので特にチェックしてなかったけど、いつの間にかサービス内容に変更があったようです。

iPhone6 SIMフリーで、モバイルルーターを置き換えてみた
月5Gのプランで契約していた。でも３日で600MBという速度制限がこの時はあって、実質３日のデータ量の制限だった。

今はアップグレードされていて、月６Gで３日での制限なしになり、さらに残りの繰越まであるようです。値段変わらずなので気付かなかった。

いつからアップグレードされてたのか確認してないけど、確かに速度制限された記憶はないです。
そんなに使ってなかったというのもあるけど、インターネット共有がメインなので速度制限無しになったのは嬉しいね。
自分の使い方だと偏り多いから（週末使わないとか）

【新生銀行】重要なお知らせ
という偽装メールがうちにも来ました。
ヘッダーみると非常に怪しいですwww


************************************************************************
　　　　　　　　　新生銀行Ｅメール配信サービス
************************************************************************

2015年「新生銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。kTcVVivVoWe335vas50g5eh0r6j0yk9u9poiuytfdc2rh

以下のページより登録を続けてください。kTcVVivVoWe860vas50g5eh0r6j0yk9u9poiuytfdc2rh

https://pdirect08.shinseibank.com/xxxxx


ヘッダーには、Sender: sva2@163.com
となんか見たことがあるアドレスが、別のフィッシングメールでもあった記憶が

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2900.5512

Outlook Expressを偽装しているようですが、実際は eeqqxq.com（これも偽装？）のサーバーから直接だされているようで、もしかしたらフィッシングメール専用のサーバーがあるのかも？
ちなみに今回は 118-170-62-56.dynamic.hinet.net から出されているようです。hinet.net？中国のプロバイダ？？

最近は銀行を装ったフィッシングメールが増えてます。
最初は非常に幼稚なメールが多かったのですが、なんども改良？されてやばくなってきてます。今後はさらに本物に近いものがでてくる可能性があるので注意しましょう。

ちなみに、今日みずほ銀行からきたメールは本物でした。
本物もチェックすることで、偽物に気付きやすくなると思うので、本物のメールのヘッダーもチェックしておいて損は無いですよ。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　　　　みずほ銀行を騙った不審メールに関するお知らせ（必ずご覧ください）
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

　みずほ銀行を騙って、セキュリティの強化などを促すと見せかけて、みずほ
　ダイレクトのログインパスワード、第２暗証番号（６桁すべて）、合言葉などの
　お客さまの個人情報を盗み取るサイトに誘導する電子メールが、当行との
　お取り引きの有無に関わらず不特定多数のみなさまに発信されているという
　情報が寄せられております。

ヘッダーを確認すると
Received: from mail1.mizuhobank.co.jp
と本物のみずほ銀行のメールサーバーから出されていると思われます（これだけで絶対とは言えないかも知れないけど）
Dkim-Signatureも入っているし、とりあえずこれは間違いないでしょう。
ちゃんと調べたい人は

電子署名方式の最新技術「DKIM」とは
http://www.atmarkit.co.jp/fsecurity/special/89dkim/dkim01.html
を参考にご自分でチェックしましょう。

Japanインターネットバンキング？を偽装したメールが沢山来ているんだけど・・・
なんども似たようなメールが来ても意味無いと思うが、このメールを出している業社？は頭がおかしいんでしょうね。

++++ ここから
Japanインターネットバンクより

貴方の銀行口座へただ今振り込ませていただきましたので、どうぞご確認ください。
ｈｔｔｐ://l.jn39yx8.info/home/index.php?key=xxx

必ず上記ご確認いただけますようよろしくお願いします
++++ ここまで

server24xxx.bbtec.com.hk から出ているようですが
香港のプロバイダーのようですが、怪しいですね。

今後改良？が進められる可能性があるので、注意しましょう。

わかりやすい銀行の偽装メールですが、知らないと引っかかる人がいるかもしれないので注意です。
テキストメールのようにみえますが、実際はHTMLでかかれてます（リンクを偽装する為？）

---ここから
こんkTcVVivVoWe089VMiPZZUBNmBLFkQvaにちは！
最近kTcVVivVoWe689VMiPZZUBNmBLFkQva、利kTcVVivVoWe156VMiPZZUBNmBLFkQva用kTcVVivVoWe580VMiPZZUBNmBLFkQva者のkTcVVivVoWe913VMiPZZUBNmBLFkQva個人kTcVVivVoWe364VMiPZZUBNmBLFkQva情報がkTcVVivVoWe714VMiPZZUBNmBLFkQva一部kTcVVivVoWe174VMiPZZUBNmBLFkQvaのネットkTcVVivVoWe524VMiPZZUBNmBLFkQvaショップkTcVVivVoWe875VMiPZZUBNmBLFkQvaサkTcVVivVoWe382VMiPZZUBNmBLFkQvaーバーkTcVVivVoWe732VMiPZZUBNmBLFkQvaに不正kTcVVivVoWe082VMiPZZUBNmBLFkQva取得kTcVVivVoWe433VMiPZZUBNmBLFkQvaされ、利用kTcVVivVoWe893VMiPZZUBNmBLFkQva者のkTcVVivVoWe243VMiPZZUBNmBLFkQva個人情kTcVVivVoWe677VMiPZZUBNmBLFkQva報漏洩kTcVVivVoWe027VMiPZZUBNmBLFkQva事kTcVVivVoWe394VMiPZZUBNmBLFkQva件が起kTcVVivVoWe744VMiPZZUBNmBLFkQvaこりまkTcVVivVoWe402VMiPZZUBNmBLFkQvaした。
お客様kTcVVivVoWe852VMiPZZUBNmBLFkQvaのアカウンkTcVVivVoWe203VMiPZZUBNmBLFkQvaトの安kTcVVivVoWe653VMiPZZUBNmBLFkQva全kTcVVivVoWe003VMiPZZUBNmBLFkQva性kTcVVivVoWe813VMiPZZUBNmBLFkQvaを保つためkTcVVivVoWe314VMiPZZUBNmBLFkQvaに、「セブkTcVVivVoWe748VMiPZZUBNmBLFkQvaンkTcVVivVoWe171VMiPZZUBNmBLFkQva銀kTcVVivVoWe672VMiPZZUBNmBLFkQva行シkTcVVivVoWe099VMiPZZUBNmBLFkQvaスkTcVVivVoWe423VMiPZZUBNmBLFkQvaテム」がkTcVVivVoWe966VMiPZZUBNmBLFkQvaアップグkTcVVivVoWe373VMiPZZUBNmBLFkQvaレードさkTcVVivVoWe717VMiPZZUBNmBLFkQvaれましたがkTcVVivVoWe224VMiPZZUBNmBLFkQva、お客様kTcVVivVoWe009VMiPZZUBNmBLFkQvaはアカウンkTcVVivVoWe526VMiPZZUBNmBLFkQvaトが凍kTcVVivVoWe933VMiPZZUBNmBLFkQva結されなkTcVVivVoWe434VMiPZZUBNmBLFkQvaいようkTcVVivVoWe851VMiPZZUBNmBLFkQvaに直ちkTcVVivVoWe351VMiPZZUBNmBLFkQvaにご登kTcVVivVoWe785VMiPZZUBNmBLFkQva録のうkTcVVivVoWe202VMiPZZUBNmBLFkQvaえご確kTcVVivVoWe629VMiPZZUBNmBLFkQva認くださkTcVVivVoWe136VMiPZZUBNmBLFkQvaい。

以kTcVVivVoWe553VMiPZZUBNmBLFkQva下のペkTcVVivVoWe971VMiPZZUBNmBLFkQvaージkTcVVivVoWe488VMiPZZUBNmBLFkQvaよりkTcVVivVoWe805VMiPZZUBNmBLFkQva登kTcVVivVoWe322VMiPZZUBNmBLFkQva録をkTcVVivVoWe756VMiPZZUBNmBLFkQva続けてkTcVVivVoWe173VMiPZZUBNmBLFkQvaくだkTcVVivVoWe680VMiPZZUBNmBLFkQvaさい。


https://ib.sevenbank.co.jp/IB/IB_U_CO_002/IB_U_CO_002_100.aspx

---ここまで

こぴぺしたら変なメールにwww
スペースにも何かを入れている？

ヘッダーを見ると sva2@163.com というアドレスが確認出来るけど、スパムメール業者のアドレス？
Reply-To: となっているが、これはセブン銀行に偽装する為につけられただけですね。