無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/03

| ✏️ Firefly

Outlookメールアカウントに不正アクセス!? イギリス国防省が犯人の顛末

イメージ 5
Image いらすとや

「Microsoft アカウント チーム」 から、件名 『Microsoft アカウントの不審なサインイン』 というセキュリティ警告する通知メールがやって来ました。

イメージ 1
不審なサインイン!? 本物のマイクロソフトメール
件名 Microsoft アカウントの不審なサインイン
送信者 Microsoft アカウント チーム <account-security-noreply@account.microsoft.com>
Microsoft アカウント
アカウントの確認
お使いの Microsoft アカウント?[メールアドレス] への最近のサインインに関して、不審な点が見られました。たとえば、新しい場所、デバイス、アプリなどからサインインしている可能性があります。
お客様の安全のために、そのサインインによる受信トレイ、連絡先リスト、カレンダーへのアクセスを禁止しました。最近のアクティビティをご確認のうえ、手順に従って必要な対策を講じてください。アクセスを復元するには、そのサインインがお客様自身によるものであることを証明する必要があります。
[最近のアクティビティを確認する]
サービスのご利用ありがとうございます。
Microsoft アカウント チーム
こういうメールが来た場合は、ブラウザから Microsoft アカウント にとっとと直接アクセスするようにしましょう。 フィッシング詐欺の対策に

→ https://account.microsoft.com/

イギリスからナゾのアクセス!?

マイクロソフトのアクティビティでログイン履歴を確認してみると、なぜか海外の 英国 からナゾのアクセス試行が1回ありました。 <こちとら日本にいるよ

イメージ 2

[最近のアクティビティ] ページとは何ですか? - Microsoft アカウント
https://www.microsoft.com/ja-jp/msaccount/security/recentactivity.aspx

このIPアドレス 25.167.157.138 の正体を調べてみると 「UK Ministry of Defence」 となってます。

ただ、これは怪しい機関ではなく日本語の意味で イギリス国防省 なのです。

イメージ 3

国防省(こくぼうしょう、英語: Ministry of Defence, "MOD")は、イギリスの行政機関であり、国防政策を統括しイギリス軍を指揮する。
国防省の主要政策はイギリスの本土および海外領土を保持することである。冷戦が終結した現在では、従来予想されていた短期通常戦争は予期されていない。大量破壊兵器の拡散・テロの防止などが主要課題として位置づけられている。 (Wikipedia より引用)

イギリス国防省に所属するスパイがドコの誰とも知らんメールアカウントを覗き見しに来てるとはー。 <情報機関が違うけど 007ジェームズ・ボンド?

 イメージ 4

誤検出の報告多数?

ところが、よくよく調べてみると、Outlook メールサービスを使ってる複数のユーザーさんが最近どうも同じように 「イギリス・英国から不正アクセス」 を報告しまくってます。 <英国ブーム?

■ 増さんさんはTwitterを使っています: "昨日パスワード 変えたのにまた英国から outlookに不正ログインされてる。"
https://twitter.com/exp_4001/status/707481026562396160

■ wataameさんはTwitterを使っています: "今日は朝からHotmailが不正アタックされてて驚いた。英国からとはなってたけど偽装かもしれないし、とにかくアウトルック、Hotmailの全てに40オーバーのパスワードと2段階認証で防御を施す。"
https://twitter.com/wataame_55/status/707598884793491457
 
■ BimoBimo3さんはTwitterを使っています: "Outlookでイギリスからのセキュリティチャレンジが頻繁にあるなぁ〜!報告も多数あるけどMSから正式コメント無いのね(T ^ T)"
https://twitter.com/BimoBimo3/status/708069493017149441

■ 青色一号さんはTwitterを使っています: "Thunderbirdでoutlookログインすると今ならもれなく英国ログインついてくる"
https://twitter.com/aoiro_itigo/status/707985342469513216

■ 沙上のしろさんはTwitterを使っています: "なんかOutlookのアカウントにイギリス国防総省からセキュリティチャレンジ受けてるんだけどマジなにこれ…:(;゙゚'ω゚'):"
https://twitter.com/swallowedge/status/705028895104331776

■ もっさんさんはTwitterを使っています: "IMAPで使用しているOutlookが不正アクセスでロックされたけど、どうやら“UK Ministry of Defence”から不正アクセスされているようで。 とりあえず落ち着いたけど、本物の英国国防省なんだろうか #Outlook #Microsoft"
https://twitter.com/Saryrn_Seriz/status/707172750079602688

■ iPhone7sさんはTwitterを使っています: "英国からのHotmail、Outlookのサインインの原因がわかった。 iPhoneのメールアプリと連動すると英国からサインインされる。 連動停止したら英国のアクセスはなくなりました"
https://twitter.com/iphone5s64/status/708254790132760576
 
■ まんげつやさんはTwitterを使っています: "「だれかがあなたのアカウントを使っているようです」とiPhoneに表示されてびっくり!Outlook関連だけど、3日前から英国発のセキュリティチャレンジが発生している。パスワードを変更したら、今度は正常にサインインされてしまった"
https://twitter.com/eambai/status/706495158917865473

■ _ZEN_さんはTwitterを使っています: "意訳#01→英国国防省は沢山のIPを所持してるけど使ってるのは一部。IPを必要としてるけど取得出来ない組織は間借りしてる。MSは内部でそのIPを使ってると思われる。そのサーバーを介してMSアカウントにアクセスしてる。"
https://twitter.com/zenswebsphere/status/707871194846855168

■ 籠屋さんはTwitterを使っています: "なんだか最近私のoutlookのアカウントに不正アクセスしようとしていたイギリスの賊がいたようだ。メールうまく送れなかったのこいつのせいか!!"
https://twitter.com/Kagoya_akifuji/status/707005087722246144
 
…ってことで、この Microsoft アカウントの不正アクセス疑惑は問題なしと判断してます。
関連するブログ記事
タグ :
#ネットサービス
このエントリーをはてなブックマークに追加

| ✏️ Firefly | 💬 1 コメント

Your Amazon order迷惑メール JSファイル起動でランサムウェア感染被害!
 
米ショッピングサイト Amazon.com を勝手に名乗って成りすまし、商品の注文確認通知を装った英語表記の 迷惑メール(スパムメール) がバラ撒かれてるみたい。  
件名 Your Amazon order #[数字]-[数字]-[数字]
差出人 AMAZON.COM <×××××@Amazon.com>
 
Hello,
Thank you for your order. We'll let you know once your item(s) have dispatched.You can check the status of your order or make changes to it by visiting Your Orders on Amazon.com.
 
Order Details
Order #[数字]-[数字]-[数字] Placed on [日付], 2016
 
Order details and invoice in attached file.
(~以下略~)
メールを受け取ったユーザーさんたちのお話~。
 
■ natsuzaki_aoiさんはTwitterを使っています: "なんかAmazonから?の嘘くさいメール来てて草 zipファイルまで添付されてるし100%罠だな"
https://twitter.com/natsuzakishrimp/status/708227793771896832  
 
■ 祢々切丸さんはTwitterを使っています: "AmazonからZIPのついたメール?しかも英語?と思って一瞬ファイル開きそうになったけど、ドメインに違和感があってやめた。Amazonは.comじゃないわ💧絶対ウイルスだろ..."
https://twitter.com/tenxmkz/status/708235950371962880  
 
■ 碧いうさぎさんはTwitterを使っています: "さっき 怪し過ぎるメールが来た 何故って Amazonなんて利用して無いからメールが来るはず無いんだよなぁ〜"
https://twitter.com/mairisa_shun_ai/status/708230535747751937
 
■ かぐやゆみさんはTwitterを使っています: "ねー、Amazonで注文してないのにこんなメッセージきたんだけどこれは新手の迷惑メール?それともなんかしら注文しちゃってんのかな?"
https://twitter.com/yumiringo72/status/708218755881377792  
 
■ よしころさんはTwitterを使っています: "最近よく送られてくるアマゾンを名乗ったスパム。"
https://twitter.com/yoshi_uchy/status/708222350995501056
 
■ ショートメールが届きましたが本物でしょうか? - Amazon.co.jp ヘルプコミュニティー
https://www.amazon.co.jp/gp/help/customer/forums/?forumID=Fx3DQ8E2OLCW3JW&cdThread=Tx1QQCVZJDGQ20X
 
■ 迷惑メール? manager@Amazon.comからのメールについて - Amazon.co.jp ヘルプコミュニティー
https://www.amazon.co.jp/gp/help/customer/forums/?forumID=Fx3DQ8E2OLCW3JW&cdThread=Tx1NTNNL8N5UGIR
 
偽メールにはZIP形式の圧縮ファイルが添付されていて、解凍(展開)してみると中身は不正な JavaScript/JScriptファイル(拡張子 .js) です。
 
イメージ 1
ダブルクリック厳禁! ファイルの拡張子(種類)に超注意!
 
このJSスクリプトファイルをWindowsパソコン上でポチポチっとダブルクリックして起動してしまえば、ファイルを暗号化するランサムウェア(身代金型ウイルス)の1つ locky/zepto(ロッキー/ゼプト) を外部ネットワークからダウンロードされてきて感染アウトー!
 
ちなみに、Mac OS、Android/iPhoneスマホ、ガラケーではこのJSスクリプトウイルスは動作せず処理されないので攻撃範疇外ですよぅ。
関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

| ✏️ Firefly

Flash Player 21.0.0.182リリース! ウイルス対策に更新作業で脆弱性解消
 
イメージ 1旧バージョンがファイルの暗号化で身代金を要求するランサムウェア(身代金型ウイルス)の感染経路の1つにもなってる無料ブラウザアドオン Adobe Flash Player の最新バージョンがリリース♪
 
21.0.0.182
 
脆弱性の修正を含むセキュリティアップデートらしいので、ウイルス対策の一環として最新版に更新できてるか確認するのが超重要です。
 
 
 
[3月11日 追記...]
 
23件の脆弱性の修正が行われ、この中の1件(CVE-2016-1010)については限定的な標的型攻撃がすでに確認されてたそう。
 
Security updates available for Adobe Flash Player APSB16-08 - Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb16-08.html
 
 
[3月26日 追記...]
 
更新から2週間ほど経過し、サイト閲覧中にウイルスを強制インストールさせるエクスプロイトキットに、このバージョンで修正済みとなった脆弱性を悪用する処理が実装されたそう。 <一般のWindowsユーザーにモロ影響!
 
Malware don't need Coffee: CVE-2016-1010 (??? - Flash up to 20.0.0.306) and Exploit Kits
http://malware.dontneedcoffee.com/2016/03/flash-up-to-2000306.html?m=1
タグ :
#フリーソフト
このエントリーをはてなブックマークに追加

↑このページのトップヘ