Publish while resting-ぐだぐだわーくす

BLOG that considers the world funny conquest. Worship me (* 'ω' *

トップ > HatenaBlog > 「はてな」の認証機能っていつまでこのままなの?化石なの?

「はてな」の認証機能っていつまでこのままなの?化石なの?

HatenaBlog Security

【スポンサードリンク】好きな音楽を好きなときに好きなだけ![Amazon Music Unlimited]をどうぞ!月額980円(税込)(プライム会員の方は780円(税込)

f:id:dacs:20181023224919p:plain:w760

最近しつこい脅迫系のスパムメールを貰っています

結構前から使っているサブメールアドレスの転送先に以下のような文面が送られてくるようになりました。数打ちゃ当たるだろう系でばら撒いているのだろうけど、一番の特徴はしつこいということです。毎日毎日律儀に送付してきます。メールヘッダを見ても、ログイン履歴を見ても上手く弾くことが出来ないので放置していますがうざったいことこの上なしです。

適当に文面の一部をコピーして検索すると、出るわ出るわあちこちに広げまくっているようです。

*****@yahoo.co.jp(現役のyahooメール)
10月12日(金) 16:10 (2 日前)
To ********(昔実際に使っていたパスワード)

こんにちは!

あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか?
この瞬間、私はあなたのアカウント(dac_cot@yahoo.co.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます!

今私はあなたのアカウントにアクセスできます!
たとえば、*****@yahoo.co.jp(現役のyahooメール)のパスワードは********(昔実際に使っていたパスワード)です

実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。
あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Remote Desktop)として動作するようになりました。
それは私にあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。
その直後に、私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。

私は何をしましたか?
私は二重スクリーンビデオを作った。 最初の部分はあなたが見ていたビデオを表示しています(あなたは良いと奇妙な味を持っている)、2番目の部分はあなたのウェブカメラの記録を示しています。
まさにあなたは何をすべきですか?

まあ、私は$800が私たちの小さな秘密の公正な価格だと信じています。 あなたはBitcoinによる支払いを行います(これはわからない場合は、Googleの「ビットコインの購入方法」を検索してください)。
私のBTC住所: うんこうんこうんこ(どうしようもない何か)
(それはcAsEに敏感なので、コピーして貼り付けてください)

注意:
お支払いを行うには2日以内です。
(この電子メールメッセージには特定のピクセルがあり、この瞬間にこの電子メールメッセージを読んだことがわかります)。

私がBitCoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。

しかし、私が支払いを受けると、すぐにビデオを破壊します。

これは非交渉可能なオファーですので、このメールメッセージに返信して私の個人的な時間を無駄にしないでください。

次回は注意してください!より良いウイルス対策ソフトウェアを使用してください!
さようなら!

JPCERT/CCやカスペルスキーブログなどで指摘ありの札付き

仮想通貨を要求する不審な脅迫メールについて(JPCERT/CC)
blog.kaspersky.co.jp
えらく国際的な展開をしているようでこんな指摘もありました。

おそらく攻撃者はGoogle翻訳を利用しているのでしょう。図3の英文メールをGoogle翻訳で日本語に変換すると、日本語メールの内容とほぼ同様の翻訳結果が出てきました。調べていくと、日本語、英語のほかに、ドイツ語、イタリア語、フランス語、韓国語などでも同様のスパムメールが拡散されていることが分かりました。

ところで、ID丸出しの「はてな」の認証系なんとかして

翻ってここ「はてな」です。いまどきID丸出しで、あろうことかIDで呼び合ってるような平和ボケ環境の「はてな」は認証系をどう考えているのでしょう。確かに直近50件のアクセス履歴を見ることは出来るんですけど、何年前の作りを維持しているのか、何でこの状態を必死に守っているのか謎です。今時普通は以下のような手段を提供します。

  • IDは見せIDとログインIDを別に設定できます。
  • 二段階認証で経時的に変化する認証手段を提供します。
  • 怪しい挙動があった場合、ショートメッセージ他でユーザに通知します。
  • 任意にユーザがロック出来るようになっています。

「はてな」の場合、常に本当のIDが誰にでも分かる形で公開していますから、パスワードを当てれば一発乗っ取りです。こんな緩い環境で個人情報は要求するは、決済情報は要求するは…とにかく酷い物だと思います。

先ほどの脅迫メールは実態が無いしあの何重もの障害を乗り越えてきたなら大した物だとビックリしますが、「はてな」の場合いつ情報が抜かれても「来るべき物が来たか」としか思えないです。自衛の方法がパスワードの複雑性と長さだけですもん。何とかして欲しいです。

自分の情報を守るためには最低限のセキュリティの知識は必要です

あなたのセキュリティ対策は、それで本当に大丈夫ですか?! 絶対知っておきたいサイバーセキュリティ対策の基本
posted with カエレバ
磯島 裕樹 ごきげんビジネス出版 2017-04-11
Amazon
楽天市場
Yahooショッピング
7net
価格.com
「セキュリティって言われても難しいし…」「今まで大丈夫だったしね。そんな面倒なことしたくない」そう思う人もいらっしゃいますよね。分かります。確かに面倒ではあるんです。でも、最低限の知識は持って自分で守らないと裸で外を歩いているのと変わらないくらい無防備なんです。易しい簡潔な説明の本なのでクイックにセキュリティ意識を身につけるのに良いですよ。

dacs 読者になる

広告を非表示にする