無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

【PR】 シャープのノートパソコンノートパソコン dynabook楽天市場Yahoo!ショッピング で販売中。インテルCore、ウェブカメラ内蔵の最新モデルが送料無料で価格価格8万円から♪

✏️ Firefly

ActiveXフィルターの無効化方法 IE11ブラウザFlash/Java/Silverlight

イメージ 4
Image いらすとや

Windows パソコンの標準ブラウザ Internet Explorer(IE11) には ActiveXフィルター というセキュリティ機能が用意されてます。

これはIE11ブラウザ上で機能するプラグインの動作を制御する仕組みで、ActiveXフィルター が有効になってると次のプラグインの動作がブロックされます。
この中で、特に利用頻度が多いのが Adobe Flash Player でしょうか?

YouTubeやニコニコ動画といった動画配信サイトで必要だったり、ブラウザゲームだったり、とにかく動作環境に必須要件となってることが多いです。

<追記...> 動画配信サイトは Adobe Flash Player に代わって、マルティメディアファイルを標準で扱えるブラウザ内臓のHTML5プレーヤーを使用する体制に移りつつある。

1. ActiveXフィルターの無効化を全体で解除

ActiveXフィルターの機能そのものを完全に無効化・停止するには?

イメージ 1
ActiveXフィルターのの無効化

IE11ブラウザの [ツール](歯車マーク) → [セーフティ(S)] → [ActiveXフィルター(X)] のチェックマークを外します。

ただ、ActiveXフィルターを切るということは、PC のセキュリティ面ではスカスカな状態になることを意味するのでハッキリ言ってオススメしません。

それこそ Adobe Flash Player を 旧バージョンのまま更新しないで放置してるとウイルス感染身代金型ウイルス、ネットバンキングウイルスなど)に巻き込まれるリスクが上がります。

2. ActiveXフィルターを特定サイトのみ無効化

ActiveX フィルター全体の無効化ではなく、ユーザーが手動で設定した特定のウェブサイトでのみ ActiveX フィルターを解除する方法があります。

コチラはセキュリティリスクを抑制できるのでオススメです。

【1】

解除したいウェブサイト YouTube を例として挙げると、YouTube にアクセスして、IE11ブラウザのアドレスバー右側に表示された 水色マーク(円形に斜線) をクリックします。

イメージ 2
YouTube でActiveXフィルターのブロック解除

【2】

このサイトの一部のコンテンツがフィルターされています」 ポップアップが表示されるので、右下のプルダウンボタン▼をポチッとな。

イメージ 3
ActiveXフィルタ または 追跡防止 を無効にするオプション
3つ目は両方をいっしょに無効にするオプション

【3】

メニューから [ActiveX フィルターを無効にする] をポチッとな!

これで以降は YouTube のサイト内に限って ActiveXフィルター が機能しないようになります。
関連するブログ記事
タグ :
#ソフトウェア
このエントリーをはてなブックマークに追加

✏️ Firefly

<詐欺>楽天市場の偽通販サイト見分ける方法URL確認

1573e4fd.png

先週、ショッピングモール 楽天市場 を巧妙に装った 偽サイト の存在についてニュースがありました。 

楽天市場を装う偽サイトやメール出現 楽天が注意呼びかけ (ねとらぼ)
偽サイトに個人情報を入力しないよう気をつけて。
https://nlab.itmedia.co.jp/nl/articles/1502/17/news112.html

海外のサイバー犯罪者が投入した 「注文した商品が届かない詐欺通販サイト」 は、実は尋常じゃない数量で存在するので、以前から公的機関も騙されないよう注意が呼びかけています。

イメージ 1
ここが危ない!インターネット通販 (東京くらしねっと3月号 より)

○ 情報セキュリティ広場 通信販売サイトでのトラブルにご用心! (警視庁)
実在する通信販売サイトを模倣したり、連絡先等を偽った通信販売サイトで商品を注文し、注文したものと異なる模倣品が届いたり、商品が届かず返金もされないというトラブルが多発しています。トラブルを避けるには、悪質な通信販売サイトかどうかを利用者が判断することが必要です。
https://www.keishicho.metro.tokyo.lg.jp/sodan/nettrouble/jirei/net_order_site.html
○ そのウェブサイト・通信販売事業者は信用できますか? 海外の事業者に関するトラブルが多発しています! (東京都)
インターネット通販で、ブランド物の雑貨や衣服などを購入したところ、「粗悪なにせものが送られてきた」「代金を支払ったのに商品が届かなかった」などの相談(通報)が消費生活センターや、悪質事業者通報サイトに寄せられています。インターネット通販は、消費者が気軽に欲しいものが見つけられ便利に買い物ができる反面、事業者との連絡手段が限られていることなどのリスクもがあります。また、なかには詐欺的なサイトもあるようです。「安いから」と言うだけですぐに申し込まず、事業者の情報をよく確認することが必要です。https://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/20131002.html

日本の通販ユーザーのすべてが詐欺通販のターゲットになっているにも関わらず、中には他人事のように考えている危なっかしいユーザーさんがいるかもしれません。

今まで詐欺通販にダマサれたことがない!」 (今後も 詐欺通販 に騙されることはない) は、完全に根拠不明の思い込みで、詐欺師は過去の被害歴なぞ知りようもないから見逃してくれることがありません。
詐欺通販と無縁と言っていいのは、こんな人たちだけです。

  • 実店舗で購入するだけでインターネット通販を一切やらない

  • インターネットに接続するパソコンやスマホを所持していない

楽天市場から画像を流用する偽通販サイト

去年 2014 年 9 月にセキュリティ企業のトレンドマイクロが 「Operation Huyao」 として紹介した 「オンラインショッピングモール」 に成りすましす不正な 偽通販サイト が稼働してたのでアクセスしてみました。

Operation Huyao:多数のなりすましフィッシングサイト確認 (トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/9831

まずは 本物 の通販サイトのスクリーンショット画像です。

イメージ 2
本物の楽天市場トップページ 「rakuten.co.jp」

こちらが 偽物 の通販サイトのスクリーンショット画像です。

イメージ 3
偽物のトップページ 「***sell.com/ ~」

2 つを並べて比較すれば、細かい違いは分かるけれど、見た目の外観デザインは完全にソックリです。

というのも、この偽楽天市場は、楽天市場の画像やデータを攻撃者のサーバーに逐一コピーして、その状態を維持したまま偽サイト上でリアルタイム表示 する仕組みになっていました。

気づかずに 通販詐欺 にダマされるユーザーさんは後を絶ちそうにありません。

偽楽天市場を見分けるポイント 1 つ

迷惑メール (スパムメール) から誘導するオンラインゲームやネットバンキングを狙った フィッシング詐欺サイト と同じで、偽の通販サイトと本物の楽天市場は URL が異なります。

URLアドレスが rakuten.co.jp であることを確認

イメージ 4

画像や文章のコンテンツはコピペできるので、見た目で判断すると問題のある通販サイトを訪問してる異変に気づけません。

厄介なことに、楽天市場に成りすました偽サイトへ誘導する入口となっているのが、Google や Yahoo! JAPAN といった検索エンジンの 検索結果 です。

【楽天市場/楽天カード フィッシングサイトURL】
http://www.rakuten-card.co.jp.userid6368397417.rakutencardloginindex.webredirect[.]org/
http://www.rakuten-card.co.jp.userid4321729760.apploginphpgotomy.theworkpc[.]com/
http://www.rakuten-card.co.jp.userid9045048779.rakuten-cardhostingto.ddnsgeek[.]com/
http://www.rakuten-card.co.jp.userid5550608545.dnstojmyhostingltomyinfo.ddnsfree[.]com/
http://www.rakuten-card.co.jp.userid5028259506.dnswebhostfrom3.ddnsfree[.]com/
http://www.rakuten-card.co.jp.userid0801561964.dnsfromwebsitesno1.ddnsfree[.]com/
https://frd03.integ-sekure.wawanjp[.]com/
http://grp01.id.rakuten.co.jp.275bcd75e7217f0db297ff8bdd9602a0b26616d1[.]info/
http://rakuten.co.jp.in-sd5d4k4s8w1dth87gkse5e5ht878s7w5dsr5kl[.]monster/
http://www.rakuten.co.jp.y8bg2s90d8s30ke8s7r8t9m34g1[.]com/
http://myhostsitenetdnshostc.ddnsfree[.]com/
http://grp01.id.rakuten.co.jp.d758ba2f7a85b82f818e8fa5d63cfe8953cbc704[.]info/
http://myhostsitenetc.ddnsfree[.]com/
http://amazon.co.jp.serviceautomaticgoic.ddnsfree[.]com/sign_in.php
http://myhostsitenete.ddnsfree[.]com/
http://amazon.co.jp.serviceautomaticgoie.ddnsfree[.]com/sign_in.php
https://esculturaspersonalizadas[.]es/Rakuten/
http://rakuten.co.jp.66sdfrhedhjt54j5r45k4sr551y4r23qa1k56347u5563ol41e35214jw35[.]monster/
https://id.rakuten.co.jp.ddnsfromwebhostingslinks[.]xyz/
https://id.rakuten.co.jp.ddnsfromhostlinks[.]xyz/
https://id.rakuten.co.jp.ddnsfromhostlink[.]xyz/
http://rakuten.co.jp.qq7487487fjth4d1tr5415tg468k7534s1zr867dk78787stj78dk87yfk7[.]monster/
http://rakuten.co.jp.ww8677shj67j68554xn546j867ck74645xd686k7d786kc6kc7[.]monster/
http://rakuten.co.jp.789rethje87te8jt7rkry67kr5886s57jk89e7kl587u7k58w89r5y7mk89y7r5[.]monster/
https://rakuten.co.jp.shopheaderappliancednsfromweb[.]xyz/
https://rakuten.co.jp.shopsheaderappliancednsfromweb[.]xyz/
https://jp-rakuten[.]net/jp/
http://www.rakuten.co.jp.van-zia[.]com/rakuten.manage/
http://rakuten-id.co.jp-manage-account.manage-paypl[.]net/rakuten.manage/
http://u641193akz.ha004.t.justns[.]ru/rakuten.manage/
http://rakuten.co.jp.8789wergt7rwe7ah8957tjr9r76yk97u5t87k84967ki9875i98y7567io98[.]monster/
http://rakuten.co.jp.9689ea897ae789a7et9t7aete879te89a7t8a7e9ate78aet789tdg648r7[.]monster/
https://rakuten.jp-loginserviceid-dns3fromwebhosting[.]monster/loginservice.php
http://grp02.id.rakuten.co.jp-loginserviceid-dns2fromwebhosting[.]monster/loginservice.php
https://turboterium53[.]com/Rak/jp/
http://rakuten.co.jp.9789hte87j89rs74y9mk8yr789mk748ry74k85748rtu74e8t7j8r7t7jer8t7[.]buzz/
http://rakuten.co.jp.69689hert8es74tj874rs89t674k874y78kl7y874s87l8tu748e7l86etj89[.]monster/
https://thegreatoutdogs[.]com/Rak/Rak/jp
http://rakuten.co.jp.dnsfromwebhosting4.jp-rmsnidloginfwdi-dns5fromwebhosting[.]xyz/login.service.do.php
https://rakuten.jp-rmsnidloginfwdi-dns1fromwebhosting[.]xyz/login.service.do.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanageb[.]xyz/k/login.service.p.php
http://rakuten.co.jp.linkdnsfromwenhostinga.jp-linkdnsfromwebhostinglinkaccountmanaged[.]xyz/k/login.service.j.php
http://rakuten.co.jp.linkdnsfromwenhostinga.jp-linkdnsfromwebhostinglinkaccountmanagec[.]xyz/n/login.service.a.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanagec[.]xyz/g/login.service.y.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanagee[.]xyz/g/login.service.j.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage3[.]xyz/l/login.service.v.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage4[.]xyz/b/login.service.a.php
http://rakuten.co.jp.linkdnsfromwenhostingx.jp-linkdnsfromwebhostinglinkaccountmanagea[.]xyz/o/login.service.b.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage1[.]xyz/j/login.service.s.php
http://www.rakuten.co.jp.dnslinkfromk.jp-usermessagesendfromweblink6[.]xyz/g/login.service.e.php
https://rakuten.jp-usermessagesendfromweblink1[.]xyz/w/login.service.d.php
http://grp02.id.rakuten.co.jp.23ed3f978a5e1dbec9fe23c48b7ebc9e7b96a355[.]xyz/
https://rakuten.jp-usermessagesendfromweblink0[.]xyz/d/login.service.m.php
http://rakuten-id.co.jp-manage-account.yayforn[.]fr/rakuten.manage/
https://rakuten.jp-usermessagesendfromweblink3[.]xyz/j/login.service.x.php
https://rakuten.jp-usermessagesendfromweblink7[.]xyz/m/login.service.r.php
http://grp01.id.rakuten.co.jp.98f8a5b78765b5a65e87bcd0ef454c3368f15c33[.]info/
http://www.rakuten.co.jp.aplicationserverspointd.jp-aplicationtokendnslinkfromwebhostingnum0[.]xyz/0/j/l/gredirct.service.a.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum5[.]xyz/1/e/m/gredirct.service.s.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum9[.]xyz/8/i/c/gredirct.service.r.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum0[.]xyz/0/j/p/gredirct.service.d.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum6[.]xyz/2/t/w/gredirct.service.a.php
http://www.rakuten.co.jp.aplicationserverspointo.jp-aplicationtokendnslinkfromwebhostingnum3[.]xyz/3/c/f/gredirct.service.l.php
http://www.rakuten.co.jp.aplicationserverspointcodei.jp-aplicationtokendnslinkfromwebhostingcode2[.]xyz/0/b/h/gredirct.service.b.php
http://www.rakuten.co.jp.aplicationserverspointcodey.jp-aplicationtokendnslinkfromwebhostingcode5[.]xyz/6/f/j/gredirct.service.c.php
http://va7410963025810.gebuhrenffrei[.]com/corona.png

関連するブログ記事

タグ :
#ネットサービス
このエントリーをはてなブックマークに追加

✏️ Firefly

<危険>B-CASカード改造で730台ウイルス感染 WOWOW無料視聴?

WOWOW無料視聴を餌に不正なB-CASカード改造ツールでWindowsパソコン730台がバックドアやランサムウェアの感染被害。ウイルス実行ファイルのダウンロード数、容疑者摘発ニュース。

2015年2月、不正な改造を施したB-CASカード を使用しているテレビ機器に対して、有料チャンネル WOWOW の視聴をできなくして、海賊行為にメスを入れる対策が実施されたとか。

WOWOWが改造B-CASカード対策を実行、との噂 - スラド
https://srad.jp/story/15/02/09/0356232/


改造ツール装いコンピュータウイルス配布

この B-CASカードの海賊版対策の出来事に便乗して、Windowsパソコン をターゲットに ウイルス感染 を狙った事件が発生しているので紹介します。 

不正改造B-CASツールでアップローダにGamarueウイルスの実行ファイル
 とあるアップローダサイトに公開されたナゾの実行ファイル

ファイル名 wowow_free.exe
MD5ハッシュ値 0b020965a93441960c1f2655cbb3edec
www.virustotal.com/ja/file/f343c96e3b996e3a82cea454419f00b100888d8f7195a62b29f6fc03413f0825/analysis/1424408770/
【セキュリティソフトのウイルス検出名例】
avast Win32:Malware-gen
Avira TR/Gamarue.A.1160 HEUR/AGEN.1109959
ESET Win32/TrojanDownloader.Wauchos.AF
Kaspersky Backdoor.Win32.Androm.giad Trojan.Win32.Inject.sbot
McAfee RDN/Generic BackDoor!bbw Artemis!0B020965A934
Microsoft Worm:Win32/Gamarue
Symantec Trojan.Asprox.B
Trend Micro BKDR_ANDROM.YYYF

WOWOW を無料視聴できるようにする改造ツールの名目で配信された実行ファイル wowow_free.exe」 の正体は、Windows 向けマルウェアです。

バックドア
Win32/Gamarue

実行ファイルのダウンロード数が約 1,600 を指し示していて、ダウンロードしたユーザーさん方、ガチのコンピュータ ウイルスを入手して大丈夫でしょうか。。。


Gamarue ウイルスとは?

以前から、アンダーグラウンドのブラックマーケットで販売されているクライムウェアAndromeda Bot」 として知られており、ウイルスを開発するプログラミング知識がなくてもボタン 1 つで不正な実行ファイルを作成できるシロモノ?

  • Andromeda Bot
    ウイルス作成ツールの商品名

  • Gamarue
    セキュリティ会社が名付けた脅威の名称


[2016年2月 追記...]

Windows パソコンをターゲットに、PC のストレージ内のファイルを暗号化して破壊してから身代金の支払いを要求する ランサムウェア が投入されています。

ランサムウェア開発キット 「TorLocker」 としてブラックマーケットで販売されているクライムウェアから生み出されるランサムウェアとなります。

ファイル名 CardTool.exe
MD5ハッシュ値 b71e04980df665b1254174616e4492be
www.virustotal.com/ja/file/b08c196a2089afa79469e5d6ddf6610204b4894945b8370f0134c8c00dbea97e/analysis/1418137867/
【セキュリティソフトのウイルス検出名例】
avast MSIL:GenMalicious-CQR
Avira HEUR/AGEN.1000697
ESET MSIL/Injector.GRB
Kaspersky HEUR:Trojan.Win32.Generic
McAfee BackDoor-FCOB!B71E04980DF6
Microsoft Ransom:Win32/Critloki.B
Symantec Trojan.Gen.2 Ransom.Cryptolocker

アップローダサイト上に、「B-CASカードの不正改造ツール」 と称した zip 形式の圧縮アーカイブ、あるいは実行ファイルが公開されていて、ユーザーさんに手動ダウンロードさせて、実行ファイル (拡張子 .exe) を起動してもらう自爆感染です。

ファイルサイズ 6.7 MBという異常な大きさですかい。

イメージ 2
 ダウンロード数 8,468

イメージ 3
 ダウンロード数 1,004

ファイルのダウンロード数が 8 千件にも達しています。


<追記...>

メディアの報道によると、この一連の遠隔操作ウイルスやランサムウェアの作成・配布に関与した可能性がある容疑者が警察に逮捕されたとのことです。

高1、アカウント不正入手 ネット銀など1800件 容疑で書類送検 - 東京新聞
サイバー犯罪対策課によると、少年はテレビの有料放送を無料で見られるようにする「B-CAS(ビーキャス)改造ツール」を装って、遠隔操作ウイルスをインターネット上にアップした。ダウンロードした約七百三十人分のパソコンに感染させ、ネット通販やネット銀行で使う他人のアカウント約千八百件を入手していた。
少年は不正入手したアカウントが実際に使えるかを不正アクセスで確かめた上、ネット掲示板で販売し、仮想通貨ビットコインで約五万円を得ていたという。同課は、ネット通販などで被害がなかったかどうか実態を調べる。
 http://www.tokyo-np.co.jp/article/national/list/201602/CK2016020502000243.html
ウイルス拡散 1800人分の情報入手か 容疑の高1書類送検 - 日本経済新聞
同課は730台のパソコンを感染させ、通販サイトやインターネットバンキングのID・パスワード延べ1800人分を入手したとみている。
送検容疑は2015年6月、衛星放送などを無料で視聴できるツールと偽り、遠隔操作ウイルスをネット掲示板に仕込み、東京都内在住の40代男性にダウンロードさせて感染させた疑い。また、14年12月から昨年6月、パソコン内のデータをロックし、それを解除すると称して金銭を要求する身代金要求型ウイルスをネット掲示板に仕込んだ疑い。
同課によると、男子生徒は感染端末から不正入手したID・パスワードをネット上で転売。代金は仮想通貨「ビットコイン」で支払わせていた。男子生徒のパソコン内には5万円相当のコインが残っていたという。男子生徒は他人のID・パスワードを使い、オークションサイトで高級腕時計を2600万円で落札したこともあったという。
http://www.nikkei.com/article/DGXLASDG05H3D_V00C16A2CC0000/

IE11、Chrome、Firefox ブラウザにはユーザー名とパスワードを保存する オートコンプリート機能 が実装されています。

今回、投入された Gamarue ウイルスは、そのオートコンプリートのデータを盗む機能があり、機密情報を外部に流出する被害を喰らったユーザーさんが使う Windows パソコン 730台。

B-CAS カードで釣られて感染したユーザーさんが、こんなにもいる地獄。。。

関連するブログ記事

このエントリーをはてなブックマークに追加

↑このページのトップヘ