パソコンサポートの00H ～社長BLOG～

先日ご報告した不正な警告の対処の元凶ですが
窓の杜に当該内容のページがありました。

【編集部からのお知らせ】窓の杜利用時のシステム警告を装った不正なポップアップに注意 – 窓の杜

普通のページを見ていても出るということから
およそそうではないかと予想はしていたのですが
やはり広告経由のトラブルだったようです。

どうしてもこういう画面が出てくると
怪しいサイトにアクセスしたから…
という場合が多いのですが、
今回は一般のサイトでも表示されて
被害に遭う方も多かったようです。

原則変なソフトのダウンロードをしなければ
トラブルはないので慌てる必要はありませので
落ち着いて対応してください。

インターネットをしていると
突然ドライバが古くなってるから更新しろとか
パソコンに障害が起こっているとか
メッセージが表示されて操作ができなくなる…
特に最近こういうお問い合わせが多くなっています。

この写真はお客様からご提供いただいた画像ですが
こういった画像が表示された後、
OK を押しても操作ができなくなるというものです。
ここで慌ててダウンロードするメッセージを
クリックしたりすると悪意のあるソフトを
インストールさせられる可能性があります。

基本的にこういった画面は
ホームページの技術を利用して
ブラウザの画面として表示しているので
ブラウザを終了出来たら問題はありません。

例えば Alt + F4 はアクティブなウィンドウを
閉じるというショートカットなので、
ひたすらこれを押し続けることで
解決できる可能性があります。

一番確実なのは Ctrl + Shft + ESC の
同時押しでタスクマネージャを起動し
そこからブラウザのタスクを終了するもの。

なお次にブラウザを開いた時に、
セッションの復元をするか聞かれるので、
復元しないでください。
復元してしまうと同じ画面が出てきます…。

ちなみに Adobe Flash をダウンロードさせる
画面が出たものもありました。
また Windows だけでなく Mac でも
Mac っぽい画面が出たものもありました。

変なサイトに行ったからというわけではなく
普通のサイトで起こったようです。
広告に紛れ込んだものか？とも思うのですが、
皆様お気を付けください。

結構頻繁に申し上げてるかと思うのですが
いまだに浸透していない部分もあるようです。

Windows に限らず Mac にせよ Linux にせよ
悪意のあるユーザによって脆弱性を見つけて
攻撃するプログラムを作成しています。
それらに対処するためにすべての OS で
アップデートの方法が用意されています。

よくそんなのしたことがない等という人もいますが
バックグラウンドで進んでいる場合もあり
気にされていないかもしれません。
常時長時間パソコンを使っている場合は
自動で更新がかかることもあるのですが
短時間しか使っていない場合等は
更新が最後まで完了しない場合も多いようです。

特に Windows を再セットアップした時や
長期にわたって使用していない場合は
大量のアップデートがあります。

また Office をインストールした場合は
WindowsUpdate の中で Office の更新も含まれます。

いずれにしよ重要な更新が
まったくない状態にしておいてください。

いやしなくても別にいいんですよ。
なにかあった場合に自分で責任が取れるなら… (´・ω・`)

Zipなどのアーカイブ展開処理を突いた脆弱性「Zip Slip」 ～任意のコードを実行可能 – PC Watch
アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 – ITmedia エンタープライズ

先日より情報が提供されている
ZIP 等のアーカイバ（ファイルをまとめて
圧縮する技術）の脆弱性についてですが、
普通にホームページやメールをしているだけなら
それほど問題はないと思いますが、
注意してほしいのはメールの添付ファイルや
『あなたのパソコンにはセキュリティ上の問題が…』系の
公告経由のダウンロードです。

そちらからダウンロードさせて展開してしまうと
乗っ取られる可能性があるということです。
やらかしてしまうと細工を施したアーカイブを使って
この脆弱性を悪用されれば、任意のファイルが上書きされ、
リモートでコマンドを実行される恐れがあるとしている。
というお決まりの攻撃をされてしまうというものです。

以下は今日来たメールの一部を改変したものです。
URL の一部が全角になっているのは
『行かないように』とわざとしてあるので
絶対に行かないでくださいね。絶対ね。

——————– こ こ か ら ——————–

件名：【速報版】カード利用のお知らせ(本人ご利用分)

【速報版】カード利用お知らせメール
楽天カード

*【速報版】カード利用お知らせメール*

楽天e-NAVIログイン

Gmailアドレスをご登録の会員様へ
楽天カードを装った不審なメールにご注意ください
—————————————————————
*楽天銀行カード（JCB）を
ご利用いただき、誠にありがとうございます*
—————————————————————
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。
*ご利用日*

*利用者*

*ご利用金額*
2018/06/07 本人 94,037 円

ご利用店舗名やお支払い方法などの詳細な情報については、
後日配信させていただく、「カード利用お知らせメール」をご確認ください。
>>カード利用お知らせメールの概要についてさらに詳しく

*■【速報版】カード利用お知らせメールの注意事項*
・ 本サービスは、利用承認照会があった場合に通知されるサービスです。
クレジットカードのご利用を確定するものではなく、請求を確定するものではありません。
・ 【速報版】カード利用お知らせ」は利用承認照会がある度に配信いたしますので、同
梱処理などによる金額修正によって、複数のメールが届く場合がございます。
・ 利用承認照会でカードの有効性が確認できなかった場合、ご利用金額が500円未満の
場合、携帯電話料金や公共料金などの継続的なご利用については、通知はされません。
また、ご利用店舗によっては通知がされない、あるいは通知が遅れることがあります。
・ カードご利用後、ご利用がキャンセルとなった場合でも、キャンセル情報のメールは
配信されません。
キャンセルに関してのよくあるご質問
・ 注意事項をご参照の上、ご利用覚えのない内容に関しては以下をご確認ください。
ご利用覚えのない請求に関して

—————————————————————
*関連するセキュリティサービス*
—————————————————————
さらに安心してご利用いただけるよう、様々なセキュリティサービスをご用意しておりま
す。こちらもぜひご活用ください。
第2パスワード 本人認証サービス
指紋認証ログイン 不正検知システム

>>その他セキュリティへの取り組みについてはこちら
—————————————————————
*楽天カードの取り組み*
—————————————————————
お客様より頂戴したご意見・ご要望の一つひとつを真摯に受け止め、さらなる安心と信頼
をご提供できるよう、日々改善に取り組んでおります。
お客様の声を実現しました。
>>お客様の声への取り組みについてはこちらから
—————————————————————
■カード利用お知らせメールの登録・変更は、楽天e-NAVI より
お手続きください
■このメールアドレスは配信専用です。お問い合わせの際はよくあるご質問
をご確認ください

楽天e-NAVIのご利用開始手続き/ログイン
楽天e-NAVI メンテナンス情報
—————————————————————

発行元楽天カード株式会社
https://www.rakuten-card.co.jp/

Rakuten Card Co., Ltd.

——————– こ こ ま で ——————–

ダメな URL に行くと ZIP 形式のファイルを
ダウンロードさせようとします。
このファイルが該当するかどうかは判断していませんが、
まぁ本来のところからダウンロードしたものではないので
ダメなものでしょう。

怪しいファイルは開かない、
君子（そうじゃない人も）危うきに近寄らず、です。

受信メールの大半を占めるスパムメール。
多い日には 100 通以上来ることも少なくありません。
もちろんこんなスパムメールは
職人が一文字一文字丁寧に打鍵しているわけではなく、
専用のスパムメールツールが出回っていて
半自動で作成していると思われます。

先日こんなメールが届きました。

差出人 %{name}% < %{name}%@6569.pub>
Apologize for the mistake from %{name}%

Hi there,
You may have accidentally received an email from our international team 
yesterday. We hit the brakes and stopped it from sending out to our whole list, 
but we know some of you received this email. Please ignore this mail or choose 
to delete it if you believe you are not supposed to receive this email.
Here's what happened:
We operate in nine languages and sometimes communication can be difficult and 
mistakes such as this can be made. For as often as we send %{5number}% emails,  
we're proud this is the first time it's happened. We apologize for this 
inconvenience.
This email was sent on behalf of eBay and was authorized accordingly.

Yours %{name}%
eBay Legal Team

この %{name}% には本来差出人の名前を
入れるべきだったんでしょうが
ツールの設定を間違えたようですね。

こういう分かりやすいのはいいのですが、
紛らわしいメールも多数存在します。
基本、変なメールは開かない、リンクも踏まない。
を徹底しましょう。
理想は HTML ではメールを見ないようにすると安全です。

以前、大量に出回った Microsoft を装った偽メール。
最近また大量に出回ってる感じです。

いつも書いていますが、HTML メールにしていると
パッと見信じてしまいそうです。

なんとなくおかしい日本語で
気づいていただけたらいいのですが
間違って『今すぐ認証』をクリックすると
怪しいサイトに飛んで行ってしまいます。

ちなみにテキスト形式で表示すると

こんな感じです。
あえてリンク部分はぼかし等をかけませんでしたが、
間違ってもあえて行くようなことはしないでください。
本来、『今すぐ認証』というところをクリックすると
このリンクをたどったのと同じことになります。

ちなみに先日ご紹介した https://www.aguse.jp/ で
調べてみたところものの見事に
Microsoft そっくりサイトでした。

ここで間違ってパスワードを入力してしまうと…
悪意のある第三者に情報を提供するのと
同じことですよね？

ダメ、ゼッタイ！

おぉ～いっぱい注文しちゃったよ～

じゃねぇよっ !!

このメールを HTML で見るとこんな感じです→
ちなみに楽天からのメールそっくりです。
あまりに長いので、かなり小さくなっていますが
普通に見たら楽天での買い物メールそのままです。

これは『あれ？こんなの注文してないぞ』
とリンクをクリックさせる…
という典型的な詐欺メールです。

さてこのメールをテキスト形式で見ると
もう胡散臭さ爆発です→

ほとんどのリンクがすべて
全然関係ないアドレスにリンクしています。

こういう注文したのかどうかがわからない場合は
https://order.my.rakuten.co.jp/ – 楽天のサイトの購入履歴
を確認してください。

あれ？上のリンクをクリックしても
楽天のサイトに行かないじゃないか !? って？
（実際は 00H のトップページに移動します）
そうです。こういうのがだましリンクといいます。
メールの中のリンクを安易にクリックすると
怪しげなサイトに飛ばされることもしばしばです。

本物は https://order.my.rakuten.co.jp/ です。

できればこういうリンクを信用するのではなく、
公式サイトのトップページからたどるようにしてください。

よく届くスパムメールのリンク先。
原則は絶対に無視してください。
でもどうしても気になる…
ひょっとしてひょっとして…
しかしだいたいこういうのは
どうでもいいメールのことが多いのですが

それでも気になる場合に
チェックする方法として
こんな方法があります。

https://www.aguse.jp/

このサイトが完璧かどうかはわかりませんが、
以前の VirusTotal 等も併用しながらの
一時チェックには十分使えると思います。
何回も書きますが怪しいリンクは絶対に無視して
安易にクリックしないでください。

内容は DMM を装ったメールなのですが
怪しいかどうかわからない場合は、
メールの中にある問い合わせ先（メールや電話番号）等に
絶対に問い合わせないでください。

まず差出人のメールアドレスをチェックします。
最近は巧妙なものが多いですが、
稚拙なものであれば、そのサイトと
無関係なメールアドレスから送信されています。
ただし、差出人は簡単に偽装できますので、
メールアドレスが本物っぽいとしても
そのまま信じないでください。

次にそのサイトの公式なホームページに行き、
そのサイトの問い合わせ窓口に問い合わせてください。
多くの場合はそれで解決すると思います。

今回の場合はわかりやすいトラブルでしたが
最近のものは巧妙になっています。
おそらく公式のメールを入手して
メールアドレスや URL の内容を変更し
（ HTML にすると見えないようになっています）
そちらに誘導するようになっています。

メールを HTML 形式で見ている方は
こちらの変更方法を参考にしてください。

ちなみに下は Apple に見せかけた偽リンクです。
『あなたのApple IDのセキュリティ質問を再設定してください。』
という件名で来たメールに書かれていたアドレスです。
訪問するだけなら問題ないですが、
間違っても正しい ID やパスワード等を
入力しないでください。

http://protection-appleid-cloudi.online/

ホームページをそっくりそのまま偽装するのも
少し知識があれば簡単にできます。
見た目が Yahoo や Google や Microsoft 等、
よく利用されているところはそれだけ狙われている
と思ってください。

さて仕事しようか…と朝パソコンを立ち上げると
Apple ID がリセットされたという内容のメールが届きました。
ただし本文部分は真っ白…。

HTML 形式のメールできた時によくある状態ですね。
しかたがないので Thunderbird のメールの表示形式を
HTML 形式に変更します。

ようやく内容が見えるようになりました。

私たちは、あなたのアカウント情報の一部が誤っていることをお知らせしたいと思います。私たちは、あなたのアカウントを維持するためにお使いのApple ID情報を確認する必要があります。 下のリンクをクリックしてアカウント情報を確認してください。:

お、『マイアカウント確認』ってありますね。

リンク先を確認すると…

URL はこんな感じですね。
ではここをクリックしてみましょう !!

…

アクセスすると…ページがエラーページになってました (´・ω・`)
実は最初にアクセスしたときはちゃんと表示したんですけどね…。

わ～ロックされたらどうしよ～（笑）

※このブログの内容は絶対に真似しないでください。