1
勘違いしてる人が多いですが、スピード違反等で支払うのは反則金で、罰金ではありません。だから前科は付きません。
サイバーセキュリティ月間で、交通安全運動の検挙数稼ぎと同じノリでやられると、罰金刑となり前科が付きます。警察のノリでITエンジニアに前科が付いて行く…とんでもないことです。
2
「せっかくだから俺はZoomを捨ててこのWebExの扉を選ぶぜ」
DIO「おまえは今まで出たCisco WebExのRCE脆弱性の数をおぼえているのか?」
cvedetails.com/vulnerability-…
3
「メールのFromなんて簡単に偽装できて、なんの確認にもならない」という常識を見事にぶち壊す注意喚起をして、シャープの行動は罪深い。
これで「メールのFromは信頼できるんだ!」と信じてしまった人へ詐欺が増える。せっかく「メールのFromは信頼できない」とちゃんと啓蒙するチャンスだったのに…🙅♂️ twitter.com/SHARP_JP/statu…
4
ほう、兵庫県警がサイバーセキュリティを語りますか。 twitter.com/Hyogo_Police/s…
5
こちらについて、「主に東京都選挙管理委員会の方へ:政府・地方公共団体はドメインをどう取るべきか」を記載しました。
tochijisen.tokyo twitter.com/ozuma5119/stat…
6
えええええええっ、 2020tochijisen.tokyo のAレコードが消えて、Webサイト消滅!?
選挙終わったばかりなんだから、まだまだWebを参照して記事やレポートを書く人、たくさんいるでしょう。@tocho_senkyo のTweetから張っているリンクも全部リンク切れに。
#東京都知事選挙
7
IPAにFirefoxを完全拒否されてしまった……
IPA: 情報セキュリティ白書2020
ipa.go.jp/security/publi…
8
Chrome の User-Agent Switcher を入れていた方(似た名前のが他にありますが画像の地球のアイコンのもの)、こちらMalware検出されました。
勝手にfacebookへ「いいね!」をするため、入れていた方はアクティビティログを確認してください。私もやられてしまった…不覚!😩
reddit.com/r/chrome/comme…
9
生々しい手記だった。安易に闇・裏バイトやろうという人は、受け子・出し子になるのがどれだけリスクが高いか知って欲しい。
この手記には出てこないけど、振り込め詐欺に関与すると自分の銀行口座は以後、作れなくなるので、若くして人生ハードモードに転落してしまいます。
note.com/zdh/n/naa02eed…
10
sudoの脆弱性CVE-2021-3156が多くニュースで流れていますが、それより同日のiOS 14.4未満のWebkit脆弱性に注意した方が良いです。リモートで任意コード実行可能、しかもApple自ら「既に攻撃に使われた可能性」とアナウンス。
まずは目の前のiPhoneをアップデートしましょう。
support.apple.com/en-us/HT212146
11
再掲です。
「提供元不明アプリを全て拒否」これだけで現在のAndroidの、SMSを勝手に送信するウイルスは防げます。
「気をつける」など曖昧な方法では無く、根元から原因を絶ちましょう。 twitter.com/ozuma5119/stat…
12
今週末5月22日に、2020年の東京都知事選のドメイン 2020tochijisen[.]tokyo がExpireします。
政治家や各政党の公式Twitterなどで、まだここにリンクしているものが多数残っています。5月22日になった途端、ここがウイルスをばらまくサイトになる危険性もあります。
解説:tochijisen.tokyo
13
本日早朝から、日本国内に、
「貴方のデバイスにハッカーがアクセスしています。詳細を今すぐ確認してください!」
というメールが大量にバラ撒かれています。
これは詐欺メールですので、無視してください。無視するだけでOKです、何も実害はありません。 #spam #scam #sextortion
14
「お荷物のお届けに~」というフィッシングSMSの多くは、Androidのウイルスに感染した一般の方のスマホから勝手に送信されています。[送信元電話番号の方も被害者]です。
返信/折返して責めるメッセージや罵声などの行為は被害者をさらに追い込み、大変につらい思いをさせます。絶対にやめてください。 twitter.com/naekuma358/sta…
15
イオンカードさん、この注意喚起は大間違いです。
ドメインは「始まっている」ではなく「終わっている」部分を見ないと意味がありません。
https://aeon .co .jp .example. com/
のようなまぎらわしいドメインこそが、一番詐欺に使われます。出す前に、社内のエンジニアのレビューを受けましょう。
16
コピペしたのか、あるいは変なコンサルが吹き込んでいるのか分かりませんが、「始まるURL」で誤った注意喚起が多数あるようです。😩
ヨドバシカメラ yodobashi.com/ec/support/new…
住信SBIネット銀行 netbk.co.jp/contents/secur…
セゾンカード saisoncard.co.jp/customer-suppo…
ソニー生命 sonylife.co.jp/info/popup/gis…
17
4社そろって最初に「メールの送信元を落ち着いて確認」って、誰かまともにレビューしてる?
メールFromなんて好き勝手に書き換えられると、何回言われれば分かるんだ…?🙄
不正アプリをインストールしてしまったら? 携帯各社がフィッシング詐欺へ注意喚起 - ITmedia Mobile itmedia.co.jp/mobile/article…
18
これも、送信元は公式ドメイン cm@jaccs.co.jp 。
「メールの送信元を確認」という大嘘を注意喚起しているキャリア4社は、それを信じて詐欺被害に遭う人が出たとき、それこそ自らが犯罪者に加担したことになるんですよ。
本当に、そこをきちんと理解して欲しいです。
itmedia.co.jp/mobile/article… twitter.com/ozuma5119/stat…
19
ちなみに、SMSのSender IDも、Amazon Simple Notification Service(Amazon SNS)で簡単に好きな文字で送れます。
SMSのSender IDを確認したところで、なんの意味もありません。
20
ヨドバシカメラの詐欺サイトが頻発しています。
詐欺サイトの見分け方をよく聞かれますが、「ありません」。
不安な方は、
1. 公式サイト yodobashi.com をブックマーク
2. 公式アプリを入れる
目的と手段を取り違えないで下さい。見分けられずとも、公式に安全に行ければそれで良いのです。 twitter.com/ozuma5119/stat…
21
運用ほったらかして、脆弱性有りの古いバージョン・EOL放置CMSは世界中に山ほどあるので、カード入力画面が改ざんされます。
攻撃者にとっても、DBは面倒だし古いデータだしCVVも無い。一方「今まさに入力された」データでCVV付きで新鮮で価値が高い、モチベーションは入力画面改ざんに向きます。 twitter.com/ockeghem/statu…
22
東京都が、TOKYOワクションなる企画のため、またまたけったいなドメイン tokyo-vaction[.]jp を取得しました。
vaction.tokyo ドメインを私が取得し、注意喚起を載せました。 twitter.com/MasatoshiAdach…
23
そんなバカなと思ったら本当だった。
GMOインターネット お名前com、フィッシングサイトのURLをdefangせずそのままメール記載で注意喚起。これマズいって、誰か止めなかったのかな。
本体のメールにベタ書きなので、どこから偽物でどこから注意喚起なのかよく分からないのもポイント高い。 #phishing twitter.com/NaomiSuzuki_/s…
24
CryptojackingとCoinhiveを一緒くたにしている時点で事実誤認だし、そんなアホ主張されるとCybersecurity界隈にも良くない。
一般人ならともかく検察官がこんなこと言ってるの、技術的な誤りや事実誤認は何も指摘されず検挙される恐怖世界…という恐ろしさしか感じないです。
bengo4.com/c_1009/n_13875/
25
Twitterアカウントの「凍結屋」による攻撃で、身代金の支払い要求が出ています。盗んだ認証アカウントを利用して通報し、凍結させるという手口。
すまほんさん @sm_hn もやられていますが、ご本人が言われている通り、支払ったところで解除できる保証は何もありません。犯罪者と交渉はやめましょう。
CSIRT, Cyber Security Researcher, PenTester.
CISSP,CISA / ozuma5119@gmail.com
@ozuma5119@mstdn.jp