未選択

• [PR]
  ×

  [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

  • 2025/05/05 01:40
• なりすましメールの仕様？について
  ・EMOTET（エモテット）感染等によって、なりすまし対象のメールアドレスのパスワードを含む送受信のための設定値やアドレス帳、スレッド（なりすましメールの送り先とのやり取りがわかるメール本文）が、なりすましメールを送信する攻撃者に知られたとき。
  
  ・送信者が実際に使用しているメールサーバを経由してなりすましメールが送られる。この場合、メールヘッダ等にも不審なところがなく自然であり、当然、送信者ドメイン認証もPASSする。なりすまされた相手がパスワードを変更するなどして、攻撃者が本来のメールサーバにアクセスできなくなるまでは、迷惑メールフィルターも効かない可能性が高い。
  
  
  ・返信や転送を装ったりして送られるので、タイムリーな本文だと、業務上、添付ファイルも開かざるを得ないと思ってしまう。本文に不自然な日本語がないかとか、知られた文例に似ているなどの判断をする。AIを使った判定が可能かもしれないが、確実ではない。送信者に、電話などメール以外の手段で確認するしかない。
  
  ・攻撃者が本来のメールサーバにアクセスできなくなっても、攻撃者のサーバーから、実際の送信者のメールアドレスを装ったなりすましメールが送られる。この場合は送信者ドメイン認証が通らない。pass以外の値を取ることが多い。値ごとの意味を簡単に説明する。
  
  ・none： 受信側サーバは送信者ドメイン認証に対応しているが、送信者の権威DNSサーバのTXTレコードにはSPFに関する記述がなく、検証できない。
  
  ・fail や hard fail、soft fail: 受信側サーバに接続してきた送信側サーバのアドレスが送信者ドメインの権威DNSサーバに記述されたメールサーバのIPアドレスと異なる。
  
  ・Received-SPF や　DKIMといった送信者ドメイン認証の要素がヘッダーにない。受信側サーバが送信者ドメイン認証に対応していない
  
  ※エンベロープFROM（封筒の差出人）のドメイン自体を攻撃者が用意、送信者ドメイン認証に必要な仕組みを整え、その権威DNSサーバに登録されたメールサーバからメールを送信するときは、矛盾がないので、Passとなるので注意が必要。この場合、エンベロープFROMがメールFROMとはかけ離れていることが多い。
  
  ※メールFROM（本文というか表向きの差出人）とエンベロープFROM（封筒の差出人）が一致しなくてもルール違反ではないため、メールとしては成立する。メールFROMは相手の知っているメールアドレスを詐称し、エンベロープFROMは送信者ドメイン認証の対象となるため、詐称しないことが多い。エンベロープFROMが知らない不審なメールアドレスであれば、そのメールは開かないほうがいい。

  [1回]

  PR
  • 未選択
  • 2022/03/07 00:17
  • 0
• ブラウザのログイン情報の管理について
  ・２回にわたって、WEBで出回っている情報から、WEBブラウザに保存された、利用サイトのログイン情報（IDやパスワード）のエクスポート・インポートの話をした。PCの新旧入れ替え時に重宝する手段ではあるが、以下のような話を聞いた。
  
  ・従業員が仕事に使っているホスティングサービスのWEBメールだが、会社用のメールアドレスを共用しているので、管理者というか経営者が従業員にパスワードを入れさせないというかパスワードを教えないように、PCのセットアップ時に自分が入力し、ブラウザに記憶させているそうである。
  
  ・ブラウザに保存されたログイン情報をエクスポートしたり、目視で確認するときに必要なパスワードはPCにサインインするときのパスワードとわかったが、従業員もそのパスワードは知っているので、自分のやっていたことは無意味であるとの仰せである。GoogleやMicrosoftに文句を言いたいようである。
  
  ・IDとパスワードのみで認証を行うという自体、セキュリティレベルが低く、通常はワンタイムパスワードや指紋などの生体認証および端末認証（クライアント証明書等）を併用してもらったほうがいい。そうすれば、万が一パスワードが漏洩しても、社員以外（OTPや生体認証の場合）もしくは社外（端末認証の場合）からの不正アクセスは防げる。
  
  ・EMOTETの再流行の兆しがある。ブラウザのログイン情報も抜かれてしまう可能性があるので、IDやパスワードのみでアクセスできるサイトの認証方法の見直しをしたほうがいい。通常、Outlookなどのメールクライアントを使用した場合、メールサーバとの認証はIDとパスワードしか使わないのもEMOTETでメールが悪用される理由でもある。
  
  ・EMOTET感染後の処置で、メールのパスワードを変えるようにいわれるのも、攻撃者にそれ以上、メールサーバにアクセスさせないため。ただし、変更したパスワードをEMOTET関連のマルウェアを駆除できていないPCに設定してはいけない。
  
  ・パスワード変更後も本来のメールサーバを経由しないなりすましメールは送信されるが、受信側メールサーバが送信者ドメイン認証（SPF、DKIM、Sender ID）に対応していて、なりすまされる側が権威DNSサーバのTXTレコードに送信者ドメイン認証に必要な情報を記述していれば、受信側でなりすましメールを機械的に振り分けることが可能になる（Outlookはヘッダー情報の内容で仕分けルールを作ることが可能）。
  
  ・メールサーバやDNSサーバの設定方法がわからない場合は、メールプロバイダ（ホスティング業者など）に問い合わせたり、該当するマニュアルを確認すること（PCの設定ではありません）。

  [0回]

  • 未選択
  • 2022/03/06 00:07
  • 0
• ブラウザのログイン情報の管理について（インポート編）
  ・CSVファイルに抽出されたログイン情報はChromeとMicrosoft Edgeが同一の形式で４つのカラム（name,url,username,password）からなる。Firefoxの場合はもっと複雑で９つのカラム（url,username,password,httpRealm,formActionOrigin,guid,timeCreated,timeLastUsed,timePasswordChanged）からなる。
  
  【Microsoft Edge】CSVファイルのインポートのボタンは、現在は秘匿されておらず、エクスポートと並んで配置されている。edge://settings/passwordを開いて「保存されたパスワード」の右の３つの点のボタンをクリックし、「パスワードのインポート」をクリック。
  
  【Firefox】以下の参考サイトを探したので、確認してみたい。
  　　　https://websetnet.net/ja/how-to-import-passwords-into-firefox-from-a-csv-file/
  
  　アドレスバーにabout:configを入れてEnter。
  「設定名を検索」でsignon.management.page.fileImport.enabledをFalse からtrueに変更する。
  
  about:logins をアドレスバーに入れてEnter。右上の点が３つあるボタンをクリックすると、「ファイルからインポート」というメニューが出現する。
  
  【Google Chrome】多くのサイトで様々な方法が紹介されているので、ご自身で検索してみてください。すべてのプラットフォームで使えるDevToolsを使った一時的な、ログイン情報（CSVファイル）インポート機能の有効化がおすすめ。Google Chromeの最新バージョンでも再現できました。
  
  ・GoogleChromeのアドレスバーに　chrome://settings/passwords　を入力し、Enter。
  ・「保存されたパスワード」の右の３つの点をクリック。「パスワードをエクスポート」を右クリックして「検証」をクリック。下の図のように、このボタンのコードが青く反転して選択されるので、その上のコードの赤い線で囲んだ文字”hidden”を削除する。一時的に「パスワードをエクスポート」と並んで「インポート」ボタンが表示される。ページを開き直すと、もとに戻るので、設定を戻す必要もないです。
  
  
  ・こんなに簡単に重要なパスワードがインポート・エクスポートできるので、業務で使用するPCから会社のアカウントの情報が抜かれるのは困ると思われた管理者の人がいるかもしれません。
  
  ・Windowsの場合を例とすると、標準ユーザ（PCの操作はできるが、ソフトをインストールしたり、PCの重要な設定を変えようとすると管理者アカウントのパスワードを求められる)にしかサインインできない状態で使用しているユーザは、ログイン情報のエクスポート・インポートはできないようにしておかないといけないです。ただし、現時点ではどのようにすれば、そのように規制をかけられるかは不明です。
  
  
  ・業務で社員などに使用させているPCにMicrosoftアカウントでサインインさせたり、管理者ユーザでサインインさせている自体がおかしいので、まず、その点を改めましょう。PCの管理者と使用者は別の人でないといけないのです。
  
  ・人を雇うよりずっと安価なサポートセンター（社外サポートデスク）と契約して、PCやIT機器を管理する技術系社員を不要として、採用しなかったり、解雇するような会社があります。そんな会社に限って、情報漏洩などのセキュリティインシデントを起こします。
  ・社内でしっかりとしたIT要員を確保し、PCやIT機器を正しく管理し、経営者がその状況を把握し、その成果を実感できれば、最高です。それでも、社外サポートデスクと契約する場合は、社内のIT要員の相談先としての役割を果たせるような高度な技術や専門性を持ったところと契約することが重要です。そうしなければ、日本でITやセキュリティの技術者が不足しているという状況は全く改善しないでしょう。
  ・追記として、社内のIT要員は会社で利用しているPCやその他の機器やインターネット・サービス・プロバイダやホスティングサービス等のサポートセンターとやり取りもするので、広範囲な知識を要します。それを普通の業務しか知らない社員にやらせるというのは、無理がありますし、相手のサポートセンターも説明等に無駄な時間を要しますし、状況が正確に把握できなければ間違った回答しか得られないということも起こります。無意味な負荷や混雑の原因です。
  
  
  
  
  
  
  
  

  [0回]

  • 未選択
  • 2022/03/05 00:51
  • 0
• ブラウザのログイン情報の管理について（エクスポート編）
  ・今回のお題は、新旧PCの入れ替え時、ブラウザに保存された、IDやPWを一括してインポート・エクスポートするというもの。WEB上で検索して、参考になるサイトを見つけて、実際にやってみること。ブラウザはMicrosoft EdgeとFirefox、Google Chromeの３種類。
  
  ・エクスポートは比較的に簡単で、各ブラウザで以下のアドレスを開くと画面が開く。
  
  【Firefox】　　about:logins をアドレスバーに入れてEnter。右上の点が３つあるボタンをクリックすると、「ログイン情報をエクスポート」というのがある。
  
  【Google Chrome】　　chrome://settings/passwords　をアドレスバーに入れてEnter。薄い文字「保存したパスワード」の右にある３つの点のボタンをクリックし、「パスワードをエクスポート」をクリック
  
  【Microsoft Edge】　　　edge://settings/passwords　をアドレスバーに入れて、Enter。「保存されたパスワード」の右の「検索パスワード」の更に右の３つの点のボタンをクリックし、「パスワードのエクスポート」をクリック。
  
  ※ブラウザに保存されたパスワードを個別に確認したり、一括でエクスポートする際はWindowsセキュリティの画面で、Windowsの場合は、PCにサインインするときのIDとパスワード（もしくはPIN）が必要となる。LinuxもUbuntuやDebian系などはMacと同じキーチェイン（PCにサインインするパスワードとは限らない）だったりする。
  
  注意する点は、エクスポートされたファイルはただのCSVファイルで、パスワードが丸見えであること。バックアップする場合はPWや指紋認証による鍵をかけられるUSBメモリなどに保存すべきである。
  
  何故か、インポートについては、ブラウザの設定では、メニューの中に存在していなかったり、隠されている場合がある。次回参考サイトとともに紹介します。
  
  ※各ブラウザには同期の機能があり、サイトのログイン情報やブックマーク（お気に入り）をマイクロソフトアカウント、Googleアカウント、Firefoxアカウントと関連付けることができ、各サイトのログイン情報は他の端末などに簡単に移行できるが、CSVを使ったログイン情報のエクスポート・インポートは、そういったアカウントとは関係なくID・PWを管理したい場合に重宝する。
  
  
  

  [0回]

  • 未選択
  • 2022/02/27 23:26
  • 0
• WSL（Windows Subsystem of Linux）の導入
  ・WindowsのPCを使用しながら、Linuxのツールを同時に使用できるのは、非常に便利である。
  拙者が作成中のホームページ「ITの経絡秘孔図的ななにか」（工事中）にCUI（Command User Interface）を使ったネットワークやセキュリティの問題に取り組む手法の解説を盛り込もうと思っている。
  
  ・1台のノートPCで、WindowsとLinux（CUIのみでも）が使用できれば、仕事が捗る。デュアルブート環境やVertualBoxやVMWare、Hyper-Vといったスーパーバイザーを用いて、GUIも含めて、WindowsとLinuxを共存させてもいいが、Windows10（Home/Pro)で手間がかからず使用できるWSLは最有力候補である。他の方法に比べてPCの負荷も少ないと思われる。
  
  ・とりあえず、intel Core i5を搭載したPC１台とCore 2 Duoを搭載したPC２台で検証を行ってみた。３台の大きな違いは、i5の方はUEFI、Core2DuoがレガシーBIOSのシステムであることである。WSLを使用するにはUEFIやレガシーBIOSでCPUの「仮想化」を有効にしないといけないが、操作が異なる。WEB上にたくさん情報あるので、それは割愛する。
  
  ・タスクマネージャを詳細表示に切り替えて、「パフォーマンス」タブのCPUの表示項目にある「仮想化：」の右が「有効」になっていればWSLを使用する準備は整っている。コマンドプロンプトで以下のように実行する。ディストリビューションはUbuntuを選択した。
  
  wsl --install -d Ubuntu
  
  ・i5はWindows10Proだが、Core2Duoの方はHomeとProの２種類。WIndows10のバージョンがi5は21H1、Core2Duoは２台とも手動で21H2にしたもの。
  
  ・私なりのこだわりだが、WIndows10以降は、まず、PCごとに異なるMSアカウント用いてセットアップし、Microsoft officeなど主要なソフトをインストール・認証する。ただし、メール設定などは行わない（通常の使用は行わないから不要）。その後、その他のアカウントでローカルアカウント（用途により標準ユーザにしたり管理者にしたりする）を作成し、通常はローカルアカウントで運用する。OneDrive等の利用は、アプリごとにMSアカウントにサインインする方法を使用する。メンテナンス時のみMSアカウントを使用してサインインする。
  
  ・このこだわりのおかげか、Windows10で大きなトラブルになったことがない。WSLも３台とも何の問題なく使用できるようになった。Ubuntuをインストールしたが、初期はnet-toolsが入っておらず、arpやifconfigが効かなくて驚いた程度。ところが知人のPCでは、wslコマンドでUbuntuインストール時、以下のようなエラーでWSLを使えないという。CPUの仮想化は有効にできているとのこと。
  
  Installing, this may take a few minutes...
  WslRegisterDistribution failed with error: 0x80370102
  Error: 0x80370102 ??????????????????????????????????????
   
  Press any key to continue...
  
  ・知人のPCはユーザアカウントが１つで、MSアカウントのみだった。私と同じように、追加でローカルアカウント（標準ユーザ）を作成してもらい、そのアカウントでサインインしてWSLを問題なくインストール・実行できた。その他のトラブルシューティングは以下を参照ください。
  
  https://docs.microsoft.com/ja-jp/windows/wsl/troubleshooting

  [0回]

  • 未選択
  • 2021/11/28 19:28
  • 0