アーカイブ

‘security’ カテゴリーのアーカイブ

ホームページ改ざん再発「日本商工会議所オンラインマーク」

エントリー「日本商工会議所オンラインマークの表示停止について」
 https://sjcl.info/2008/10/05/
等でお伝えしましたとおり、数ヶ月前、日本商工会議所オンラインマークの認証関連情報ページ内に不正スクリプトが埋め込まれました(不正アクセスによるホームページ改ざん)。その後、担当者より解決したとのメール報告もいただきましたが、2008-11-23 午前1時、同様の手口により再び、ホームページが改ざんされていました。ウェブ閲覧者の誘導サイトは、前回と異なります。絶対に、日本商工会議所オンラインマーク関連情報のウェブページにアクセスしないで下さい。

広告
カテゴリー: security

日本商工会議所オンラインマークの表示停止について

重要】日本商工会議所のご担当部署から
Date:     Wed, 8 Oct 2008 16:06:24 +0900
データ等の修正完了の報告メールをいただきました。
本日(2008-10-14)、弊社でも再度、日本商工会議所オンラインマーク関連ウェブサイトの改ざんがないことを確認し、オンラインマーク表示しました。

ブラウザ Google Chrome (0.2.149.30)でオンラインマークにアクセスすると、日本商工会議所オンラインマーク総合センターのサイト要素にマルウェアが含まれている可能性を示す【警告】が表示されます。

安全性が確認されるまで、オンラインマーク表示を停止しました。
     有限会社しんじょうコンタクトレンズ 2008-10-05

表示内容:
    安全な jpeg画像による一時的提供

日本商工会議所オンラインマーク
  弊社取得年月       (2001年8月)

  オンラインマーク制度終了通知 (2008.3.14)
  新規発行と更新の受付終了 (2008.3.31)

コンピュータセキュリティインシデント情報について
「日本商工会議所オンラインマークの改ざん」
 http://www.osbsd.net/2008/10/post-3fde.html

Ping送信元: 石川県石川郡野々市町新庄5丁目106 しんじょうコンタクトレンズ

カテゴリー: security

PKI 電子証明書の更新について

銀行振込に関する重要な情報提供に際して、弊社では公開メールアドレスを使用しておりません
  エントリー「銀行振込通知メール」
  » http://www.sjcl.info/2005/05/post_de01.html

また、銀行振込通知メールのために、弊社では PKI【公開鍵基盤】による電子証明書を利用し、電子署名付 SMIMEメールをお送りいたしておりますが、


2006年5月中旬、電子証明書を (有効期限のため) 更新いたします。

更新後、(旧) 証明書は公開キーとして利用できませんので、ご了承下さい。
Ping送信元: 石川県石川郡ののいち町新庄5丁目106

カテゴリー: security

public key(公開鍵)サーバのURL変更のお知らせ

お振込み先(弊社指定銀行口座)のご案内ページに「改ざん」がないことをご確認いただくために、ページ内で public key(公開鍵)サーバー をお知らせいたしておりますが、サーバのURLが変更となっております。
旧URL名 &#160» http://www.keyserver.net/en/
新URL名 &#160» http://www.keyserver.net/
文書内 Key ID に変更はありません。
新URL名をご入力くださいますようお願いいたします。

カテゴリー: security

メールによるお知らせ、電子署名について

弊社からのお知らせやご回答の際、メールアドレス <shinjocl @ pat.hi-ho.ne.jp> を常に使用し、S/MIME形式の電子署名を添付いたしております。電子証明書(Digital ID)には日本ベリサイン株式会社発行の個人用証明書を使用し、公開キーとしてのご利用も可能です。
特定事項のメール通知に関しては、エントリー「銀行振込の通知メール
  http://www.sjcl.info/archives/000036.php
をご覧下さい。
なお、お客様のメールソフトがS/MIME未対応等の場合、ファイル smime.p7sが添付されます(コンピュータウイルス・ワームではありません)。お客様がご契約中のプロバイダーのメールサーバーやお客様のパソコンがウイルス駆除ツールにて自動監視中の場合、弊社電子署名は認証エラーとなることがあります (本証明書の認証局には従来の個人用証明書に比べて深い階層構造が採用されるなど変更点があります)。
この場合、同時にお送りいたしました通常メールをご利用いただき、日本商工会議所オンラインマークに登録されています弊社認証関係情報
弊社オンラインマーク
ならびに弊社ホームページとのご照合もお願いいたします。

カテゴリー: security

ワーム W32.Netsky.D@mm について

弊社では、下記の駆除ツールを用いて大量メール送信型ワーム「W32.Netsky.D@mm」などのチェックを定期的に行っています。使用PCの感染は認められていません。
弊社にも多数のウイルスメールが着信しております。
メールヘッダーの送信SMTPサーバ名をよくお調べになって、当事者へ通報されることを強く推奨いたします。
ワーム Mydoom.A http://www.sjcl.info/archives/000052.html 同様に、送信元のメールアドレスやドメイン名は詐称されています。

駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky@mm.removal.tool.html
http://www.nai.com/japan/security/stinger.asp
ワーム・ウイルス情報
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.d@mm.html

カテゴリー: security

ワーム Mydoom.A について

感染拡大中のコンピュータワーム Win32.Mydoom.A はメールアドレスのみならず、各種メールヘッダー情報も詐称し発信されています。
改竄されているヘッダー情報
Return-Path:
メールアドレス
など
別名:
Novarg (F-Secure)
W32.Novarg.A@mm (Symantec)
Win32.Mydoom.A (CA)
Win32/Shimg (CA)
WORM_MIMAIL.R (Trend)

ヘッダー情報詐称例(参照URLあり):
海上保安庁 ⇒ http://www.kaiho.mlit.go.jp/info/kouhou/h16/k20040129/index.html
長野県 ***@pref.nagano.jp ⇒ http://www.pref.nagano.jp/kikaku/jousei/happyou/oshirasevirus.htm
ヘッダー情報詐称例(From だけでなく各種情報の悪質な改竄):
ISP ⇒ ***@nifty.ne.jp
その他 ⇒ 国内企業ドメイン名
弊社 shinjocl @ pat.hi-ho.ne.jp も詐称されることがあります。
ネットワークアソシエイツ社 ウイルス駆除ソフト Stinger
http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom@MM
McAfee AVERT Stinger Version 2.0.0 built on Jan 29 2004
Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.
にて、最近では
Scan initiated on Wed Feb 11 10:35:27 2004
に弊社使用パソコン内がウイルスに感染していないことを確認済みです。

最下段のReceived情報がポイント
=== ヘッダー情報 ( email header ) ===
Received: from [1] pat.hi-ho.ne.jp ([2] 138.***.2*1.*02.ab.example.net [[3] 20*.2*1.***.138])
by [4] smtp3.noexistence.ne.jp with ESMTP id B7YYAE460
for ; Sat, 7 Feb 2004 10:55:52 +0900 (JST)
From: shinjocl @ pat.hi-ho.ne.jp
To: 送信先メールアドレス
Subject:
Date: Sat, 7 Feb 2004 11:23:18 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0013_F24YR47B.BCA92AC3″
Message-Id:

弊社メールアドレスの契約プロバイダーHi-HOのSMTP名[1] が詐称されて使用。
[2] ホスト名 ⇒ 固定グローバルIPであれば感染パソコン(ユーザ)のホスト名
[3] IPアドレス ⇒ 固定グローバルIPであれば感染パソコン(ユーザ)のIPアドレス
[4] SMTPサーバ名

[2] [3] は匿名プロキシサーバのことがありました。
匿名プロキシサーバや Open relayのSMTPサーバなどでは、ユーザーへの警告・通知などは困難を極めます。ただし、Return-Path: と [4] SMTPサーバーのドメイン名が一致すれば、詐称のないメール送信です。
SMTPサーバーが選択される仕組み⇒ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A&VSect=T
【引用】 ワームメールの送信に使用するメールサーバの情報は送信先のドメイン名を元に取得します。ワームは送信先のドメイン名に以下の文字列を付加したサーバのポート25番に接続して実際にメールサーバが稼動しているかどうかを確認します。メールサーバが稼動していた場合にはそのサーバを利用してメール送信を行います。
mx. mail. smtp. mx1. mxs. mail1. relay. ns. gate.
例:送信先が user@domain.co.jp だった場合、gate.domain.co.jp、mail1.domain.co.jp、、など。
 上記の方法でメールサーバが見つからなかった場合にはローカルで設定されているメールサーバを利用してメール送信します。

送信元詐称例(ドメイン名などの一部をダミーに変更し表示しました):
Return-Path: <abc@example.co.jp>
Received:
from example.co.jp (61-**-1*8-***.home.ne.jp [61.**.1*8.***])
by sproxy11.hi-ho.ne.jp (hi-ho Mail Server)
with ESMTP id for
shinjocl @ pat.hi-ho.ne.jp (ORCPT rfc822;shinjocl @ pat.hi-ho.ne.jp);

カテゴリー: security