無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/06

ガンホーゲームズゲームアカウントのお知らせ迷惑メール 詐欺誘導に注意!
 
オンラインゲームやスマホゲーを手掛ける開発会社 ガンホー に成りすました日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれたようです。
 
手元にも偽メールが着弾したので紹介します。 <スクエニ名義でバラ撒かれてる迷惑メールと手口同じ~
件名 [ガンホーゲームズ]ゲームアカウントのお知らせ
◆既に報道されておりますが、オンラインサービスを提供している他社において
数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :
http://secure.gungho.jp/index.aspx
●==========================================●
 [発行]ガンホー?オンライン?エンターテイメント株式会社
 〒100-0005 東京都千代田区丸の内3丁目8番1号 住友不動産丸の内ビル
      ガンホーゲームズ  http://www.gungho.jp/
●==========================================●
<ご注意>「ガンホーゲームズ」を装う不審なメールにご注意ください! - ガンホーゲームズ
http://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage&notice_id=4827
 
緊急情報 | ガンホーゲームズをかたるフィッシング (2016/06/28) - フィッシング対策協議会
https://www.antiphishing.jp/news/alert/gungho_20160628.html

誘導先はガンホー偽ログインページ

メール本文中のリンクをポチッと踏ませて不正なページヘを誘導する形なので、さっそく突撃してみると…

本家ガンホーゲームズの公式サイトにある画像やらコンテンツやら丸ごとパクって構築されたフィッシング詐欺目的の不正なページです! 
 
イメージ 1
「ゲームと趣味・無料でオンラインゲームするならガンホーゲームズ」
 

http://econline.gungho.jp.login-sxmk.usa[.]cc/index.html?app=wam&ref=
http://econline.gungho.jp.aldoc-xlaoz.usa[.]cc/index.html?app=wam&ref=
http://econline.gungho.jp.login-rxcuy.usa[.]cc/index.html?app=wam&ref=
http://econline.gungho.jp.rzsl-sxzk-xzrl.usa[.]cc/index.html?app=wam&ref=

 
フィッシング詐欺の見分け方であるアドレスバーのURLアドレスに注目すると、『 http://[うんたらら~].usa.cc 』となってます。 <usa.cc はサブドメインを無料取得できるサービス
 
ここでユーザーIDとパスワードを送信させて盗む手はずだけど、記事を書いてる時点で入力情報の送信先は正規ガンホーサーバー gungho.jp を指していて攻撃者ミスってる?
 
イメージ 2
これでは攻撃者にアカウント情報が送信されん…
 

 
[追記...]
 
コメント欄に「login.php」に入力情報を送信してるという指摘があって確認してみたら、ボタン押し下げ時にJavaScript処理が! 
 
イメージ 4
 
イメージ 3
[ログイン]ボタンを押すとガンホーIDとパスワードが攻撃者へ~ 
このエントリーをはてなブックマークに追加

.zeptoファイルに拡張子変更!? ランサムウェアLockyウイルスにご注意を!
 
イメージ 2
 
2016年2月より感染キャンペーンの幕が開けた ランサムウェア の1つ
 
Locky(ロッキー)
 
Windowsパソコン上の文書・画像・音楽・動画・圧縮ファイルを暗号化して開けなくし復元できないよう破壊する深刻で厄介な脅威です。
 
ウイルスがもたらされる感染経路は、特に多いと思われる メールの添付ファイルの自爆感染 と ネットサーフィン中のドライブバイ・ダウンロード攻撃の強制感染 の2系統となってます。

破壊済み拡張子として.zeptoファイルに!

イメージ 3
 
Lockyウイルス は暗号化した目印として、ファイルの拡張子をに変更する症状が目に見える異変となるけど、今日28日らへんから切り替えたみたい。
 
[32桁英数字].locky[32桁英数字].zepto
 
2月に書いた前の記事をコレに合わせて更新し、.zeptoファイルの感染画像とか追加しました。
この拡張子を採用した理由は、ランサムウェアビジネスのオペレータ(?)だかに聞かないと分からんけど、zepto(ゼプト) はスゴイ小さい単位の表記だそう。。。
 
> https://ja.wikipedia.org/wiki/%E3%82%BC%E3%83%97%E3%83%88
 
ちなみに、ほんの一瞬だけ拡張子[32桁英数字]._locky に変更するバージョンが5月に投入されたけど、何か問題でもあったのかすぐ戻してしまいました。
 
内部の処理的には拡張子文字列を変更しただけのようでランサムウェア Locky の動作そのものは前と変わらず、セキュリティソフトのウイルス定義データで脅威と判定されない新鮮な亜種を逐一投入できる体制をキープしてます。
 
イメージ 1
 
ひとたび侵入を許してしまうとファイルは破壊され尽くして身代金払え(_HELP_instructions.html)がデデンッとなって攻撃完了となり、半日とか経ってウイルス検体が定義データで黒判定されたところでもうすでに遅いという。。。
関連するブログ記事
このエントリーをはてなブックマークに追加

携帯電話ガラケーのブログ対応終了続出!? 記事投稿ダメの真相 サーバー証明書SHA-1
 
イメージ 1
(Image いらすとや)
 
個人的なデータのやり取りが必要なとなる ネットバンキングネットショッピング などウェブサービスを利用する時、最初に ログイン認証 する作業があります。 <ユーザー名とパスワードを打ち込んで
 
URLアドレスが「https:// ~」なページ
 
この時に使用してる暗号化方式 SHA-1 を止めて、2016年~にかけて SHA-2 へと移行する 世界全体の取り決め が存在し、2015年7月に携帯電話のキャリアから発表されてます。
 
ドコモからのお知らせ : サーバ証明書の切り替えによるドコモ ケータイへの影響について - NTT
「インターネットのご利用にあたっては、オンラインショップやインターネットバンキングなどのサイトで、通信の内容を安全に保護するため、暗号化通信が利用されています。この暗号化通信で利用されているサーバ証明書の切り替えにより、今後、ドコモ ケータイの一部機種でインターネット接続する際、暗号化通信を利用している一部サイトの利用ができなくなる可能性があります」
https://www.nttdocomo.co.jp/info/notice/pages/150715_00.html
 
■ auケータイをご利用のお客さまへ、サーバ証明書切り替えによる影響について - KDDI
http://www.kddi.com/important-news/20150715/
 
SoftBank 3G(携帯電話)をご利用のお客さまへ サーバ証明書切り替えによる影響のご案内
http://www.softbank.jp/mobile/info/personal/news/support/20150715a/
 
また、暗号化方式 SHA-1 のまま運用されてるウェブサイトは接続不能になると注意喚起するアナウンスもブラウザ開発元から発表されてます。
 
SHA-1 ウェブサーバー証明書は 2017 年2月から警告!ウェブサイト管理者は影響の最終確認を - マイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/
 
■ SHA-1 Certificates in Chrome - Google (2017年1月対応終了)
https://security.googleblog.com/2016/11/sha-1-certificates-in-chrome.html
 
■ Phasing Out SHA-1 on the Public Web - Mozilla Firefox (2017年1月対応終了)
https://blog.mozilla.org/security/2016/10/18/

ブログサービスのガラケー終了…

イメージ 2
 
この影響で、暗号化方式 SHA-2 に対応してないことが多い 従来型の携帯電話/フィーチャーフォン、いわゆる ガラケー の機種から 各社ブログサービスにログイン認証できなくなります
 
結果として、携帯電話(ガラケー)から自分のブログに記事を投稿&編集できなくなる対応終了予告が続々と出てるワケです!
 
フィーチャーフォン向け楽天ブログの一部機能縮小について - 楽天ブログ
http://plaza.rakuten.co.jp/hirobastaff/diary/201505180001/
 
ウェブリブログ携帯版ログイン機能の9/2終了について ウェブリブログ
http://info.at.webry.info/201507/
 
携帯電話版ログイン機能の提供を終了します - gooブログ
http://blog.goo.ne.jp/staffblog/e/11f080f09d6ca37e3666d03fd0fafff8
 
【FC2】サーバ証明書の切り替えによるご利用端末への影響についてのお知らせ
http://fc2information.blog.fc2.com/blog-entry-1710.html
 
ケータイ版管理画面とコメント機能終了のお知らせ|ライブドアブログ
http://blog.livedoor.jp/staff/archives/51912402.html
 
携帯電話(非スマートフォン)のマイブログ提供終了のお知らせ - Seesaa
http://info.seesaa.net/article/441342597.html
 
【重要】SSL証明書更新後の一部機種について:What's new?:So-netブログ
http://blog-wn.blog.so-net.ne.jp/2016-11-14
 
携帯電話(フィーチャーフォン)版ブログサービス終了のお知らせ : エキサイトブログ
http://blog.excite.co.jp/staff/23506607/

そして、このヤフーブログも携帯電話(ガラケー)の対応終了と…。
 
携帯電話(ガラケー)版Yahoo!ブログ終了のお知らせ - Yahoo!ブログ
http://blogs.yahoo.co.jp/y_j_blog/35347646.html 

今後もブログ対応する環境は?

Yahoo!ブログの場合、SHA-2 方式に対応してる次の環境は今まで通りブログの閲覧&投稿がバッチリOKです。
ヤフーブログに限らないけど、多くのブログサービスで唯一の記事の送信手段として メール投稿機能 だけ生き残るのはログイン認証が不要だからです。
 
 
暗号化方式SHA-2に対応する環境? 簡単確認方法
 
ブラウザから次のページにアクセスすると対応環境の有無をパパっと判断できます。 <エラーや警告が表示されてアクセスできないなら SHA-2未対応な機器!!!
 
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ