はい！電算室です

今日も（本当は昨日ですが）、ウィルス付きメール（本当はマルウェアでしょうが、便宜上ウィルスとしています）が届きましたのでご紹介いたします。
 

英文です。前回の2通目の紹介したものと似ているようです。

文章を翻訳してみましょう。
原文はこちら
-----------------------------------

Dear 〇〇〇, this is from the insurance company concerning with your health insurance.

The new insurance contract is attached.

Please look over it and let us know if you have questions.

 

 

Best Wishes,

Preston Saunders

----------------------------------
〇〇〇はメールアドレスが書かれています。これも前回と一緒ですね。
googleに翻訳してもらいました
----------------------------------

[0回]

結構な頻度でウィルス（マルウェア）付きメールが届くようになってきました。
メールアドレス漏れているのが確実です。
もしくは、送信エラーとならなかったメールアドレスをデータベース化して
売買されているのかもしれません。

まぁほぼ海外製メールなので分かりやすいといえばわかりやすいのですが。
でもうっかり添付ファイルを開こうとしてはいけませんよ。
面白半分で調べてみようなんてこともやめたほうがいいでしょう。

では一通目です。

本文が書かれていません(笑)
レセプトと書かれた件名に、添付されたzipファイル。
怪しさ満載です。

ウィルストータルで検索すると、検出されます。
トレンドマイクロではJS_LOCKY.SM7として検出されました。 では２通目です。

[0回]

スマホを使うようになってから、PCを起動させる機会が少なくなりました。
ですので、PCメールが放ったらかしになってしまい、気が付いたら何日分ものメールを取得するはめに。IMAP設定するといいのでしょうが、私が契約しているプロバイダーはIMAP設定だとお金とるんですよね。

さて、何日分もの大量のメールの中に、ちらほらとウィルス付きメールが届きます。
いつもだと問答無用で削除するのですが、もしかしたら同じメールが届いて、添付ファイルを開いてしまう方もおられるかもしれません。

注意喚起も含めてウィルス付きメールの内容を紹介したいと思います。
では、ひとつめ。


ここ最近の傾向として、長文の日本語にすると粗が出るので、一言、短い文章にしているようです。
でも、逆の怪しいですよね。

ヘッダー情報をaguse.jpで解析してもらいます。


あら、日本が送信元ですか。もしかしたら乗っ取られているのかもしれませんね。
ブラックリストにも載ってしまっているようです。

添付ファイルを保存しようとすると・・・・



BEBLOH（ベブロー）でした。
zipファイルの中には、jpgファイルと見せかけた.exeファイルが入っています。
BEBLOH（ベブロー）は「URSNIF（アースニフ）」というネットバンキングを狙うウィルスをダウンロードするファイルだったようですが、今では、BEBLOH(ベブロー）本体がネットバンキングを狙うウィルスになってしまったようです。

さて、二通目です。


誰だよ(笑)

いきなりよろしくと言われても何もできません。

差出人はocn.ne.jpなので日本かな？と思いきや


インドネシア、ジャカルタからでした。

添付ファイルを保存しようとすると、ウィルスソフトが検知します。



こちらもBEBLOH（ベブロー）でした。

そして三通目です。

本文がありません(笑)
どうしろと？添付ファイルを開けと？
怪しさ満載です。

 

送信元アドレスはイスラエルでした。もうワールドワイドです。

で、添付ファイルを保存しようとすると、やはりウィルス対策ソフトが反応します。

LOCKYですか・・・。
LOCKY（ロッキー）はランサムウェアで、ZIPファイルの中にswfファイルというスクリプトファイルが入っています。このスクリプトファイルを実行してしまうと、PC内のファイルを拡張子を.lockyとした暗号化されたファイルに変えてしまいます。で、元に戻してほしければ、お金を払えと。いわゆる身代金要求ですね。

標的型メールでない限り、いわゆるばらまき型のウィルス付きメールについてはウィルス対策ソフトがちゃんと反応してくれます。

ウィルス対策ソフトをインストールしておき、常に最新状態にしておきましょう。
そして、何日か一度、コンピュータ全体をスキャンしておきましょう。

[0回]

はい、電算室です。今日は何が起きるのでしょうか。

電算室の業務の中に、ホームページの作成があります。
他の企業さんではCMSなどをつかって各部署が更新しているのかもしれませんが、うちでは今だにHTMLの直打ちです(笑)

ですので、ちょっとお知らせなんかはPDFで公開したりしています。

さて、そのホームページ作業を今年電算室に配属になった人にやってもらっているのですが・・・



致命的なほどにITに弱いです。



よくそんな人を電算室配属にしたものです。
経営層の考えがよくわかりません。


で、ホームページですが、先に公開したPDFの内容をちょっと変更する必要があり、そのPDFを修正してアップしました。
そこまではよかったのですが・・・・・。


「あの～～～～～」


その人はいつも力なさそうに聞いてきます。


「さっき更新したもの(PDF)ですが、Yahooではちゃんと見れるんですが、グーグルだと見れないんです」



すみません。わたし、言われていること全然理解できません。
一般的に、YahooはYahooのポータルサイトのことを言うのでしょう。ではグーグルは？あのシンプルな検索窓のことでしょうか。

でも、Yahooではちゃんと見られるのに、グーグルでは見られないとは？

例えば検索してもYahooでは出るのに、グーグルでは出ないとか？
いろいろ頭がめぐります。

こういう時は、実際に見るのが早い。


で、その端末を見てみます。
ふむ・・・。

一応ホームページを更新したら最新バージョンのIE、FireFox、Chromeで確認するよう言ってあります。EdgeはWin10をまだ導入していないので確認できないのですが・・・。

で、確認しているところを見ると。

IEのスタートページはYahooに設定しています。
あぁ、それでYahooなんだ。
で、HPのリンクから修正したPDFを開くと、ちゃんと表示されます。

次に、Chromeです。ChromeのスタートページはシンプルなGoogleの検索窓です。
なるほど、Googleね。
ではブラウザによって表示される、されないが出ているのでしょうか？
HTMLページならレイアウト崩れが出るでしょうが、今回修正したのはPDFです。


はっきり言って、ありえません。


で、Chromeで表示されたのが・・・・


修正する前のPDF・・・・



なるほど

こちらでの設定ですが、IEの場合は閉じると履歴を削除するようにしています。
キャッシュを保存しないので、開くたびに新しくファイルを取りに行きます。




Chromeの場合、その設定はしていないので、キャッシュが残っていたようです。
で、キャッシュ（履歴）を削除し、もう一度表示させると・・・

ちゃんと表示されました。


担当者、きょとんとしています。


詳しく説明すればするほど混乱するので、







魔法を使った






として誤魔化しました(笑)
まぁ、一応そのあとに、とりあえず今回のようなことがあったら、とりあえず、「履歴を削除」しなさいと支持したのですが、まだ納得いかない顔をしています。


彼が魔法使いになるのはまだまだ先のようです。

[1回]

今、一日でも相当数の新しいウィルス、スパイウェアを含むマルウェアができています。
当然セキュリティソフト会社も対応を進めているでしょうが、間に合わないこともあるでしょう。

ウィルス対策ソフトをPCに入っていてそれで安心と思ってそのままにしていると、もしかしたらウィルスやマルウェアがもうPCに入っているかもしれません。

通常、ウィルス対策ソフトのリアルタイム検索を有効にしており、メールが届いた時点でウィルス対策ソフトが反応してくれます。
しかし、たまにはそれをすり抜けて入ってしまうものもあります。

先日、コンピュータ全体をスキャンかけてみました。
そしたらいくつかウィルスが発見されました。

幸い、開いていないメールだったので実害はありませんが、万が一開いていたらと思うと、ぞっとします。

さて、どんなメールだったのかひとつ紹介しましょう。

 

私は楽天関係のメールについてはほとんど見ることないので自動仕分けでひとつのフォルダには いるようにしています。 どうやらその中に紛れ込んでいたようです。 



手動スキャンするときに、コンピュータ全体を選択して実行しています。リアルタイム検索時には引っかからなかったようです。 BEBLOHはオンライン銀行詐欺ツールだそうです。 亜種もたくさんあるようで、たまたま新しい奴が来ていたのでしょう。 BEBLOHについてはこちらをご覧ください。トレンドマイクロのブログに飛びます。

さて、メールの内容はといえばこちら
 


知らない会社ですし、注文した覚えもありません。そもそもお客様宛メールでありながらこんなに簡潔な文章は失礼です。
メールヘッダーをaguseで調べてみます。
 



偽装した形跡ありですか。途中、ベトナムを経由しているようです。以前もベトナムを発信としたウィルス付きメールが届いたことがあります。その、ベトナムであろうIPを調べてみると、



いくつかのブラックリストに入っているようです。

オンライン銀行を含むあらゆる情報を抜き出そうとするマルウェアが多く出回っているようです。
パソコンの電源は切らずに、ウィルス対策ソフトでコンピュータ全体を検索かけてみましょう。
ウィルス対策ソフトによっては、検索したのちにシャットダウンしてくれるものもあるようです。

うまく使いましょう。

[1回]

ネットワーク上の共有フォルダを消すときに、時々Thumbs.dbがあるためにフォルダが削除できないことが多々あります。
しかもそのファイルは隠しファイルなので見えないし。


そもそもThumbs.dbとはなんのファイルなのでしょうか？

フォルダ内にあるファイルは普通アイコンが表示されますが、画像ファイル等はその画像が小さく表示されることがあります。で、その画像表示を一時的に覚えておくことで、次回表示時に素早く表示できるというもの。

意外にThumbs.db大きくなって容量を圧迫することもしばしば。

まずはこのThumbs.dbを作られなくするためにはどうしたらいいのでしょうか。

これについてはこちらに詳しく説明されております。
Tech TIPS：WindowsでThumbs.dbファイルを作成しないようにする

Windows10の場合は、「Windows Vista／7／Server 2008／2008 R2の場合」と同じです。

さて、そんな邪魔なThumbs.db。一気に削除しちゃいましょう。
一気に削除するコマンドとして、
del /s Thumbs.db としたくなりますが。残念ながら消えません。(/s スイッチはサブフォルダも検索するもの)
隠しファイルですからね。


こういう時は、/a スイッチを使います。

属性を選択するスイッチですね。
Thumbs.dbは隠しファイルであり、システムファイルでもあるので、どちらかを指定してあげればいいです。

ですから、
del /s /as Thumbs.db
もしくは
del /s /ah Thumbs.db
としてやれば消せます。

[0回]

平成28年春季　情報セキュリティマネジメント試験の結果が発表されました。
情報セキュリティマネジメント試験は今年度より新設された試験で、

「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する」試験となっております。

スキルレベルは２。基本情報技術者試験と同じレベルなのですが・・・・。

まず、筆者の結果。



合格でした。
ストラテジ系７割、マネジメント系満点、テクノロジ系9割という結果。

シラバスを見ると結構難しそうなのですが、開発者向けではなく、あくまでもIT利用者向け。
ですから・・・・・

基本情報技術者試験に比べ非常に簡単です。
だって計算問題ないんですから。

最初だからか？次回からは少しレベルを上げるのか？
と思ってしまうくらいです。

それは合格率にも表れています。
合格率　88%


ITパスポートよりも高いです。

この結果を見て、情報セキュリティスペシャリストを受けようかな・・・
なんて思っている人いませんよね？レベルがあまりにも違いすぎます。
情報セキュリティスペシャリストはレベル４。たぶんチンプンカンプンです。

この情報セキュリティマネジメント試験。今後どうなっていくのでしょうか？

[0回]

Accessを使って、OracleにODBC経由で接続しています。
Accessで、ODBCからテーブルをリンクして・・・・

なんてことをよくやると思います。
手軽にクエリーが組めて、急な依頼にも対応できます。

が、テーブルの件数が数十万件にもなり、かつ複雑なクエリーともなるとなかなか返ってこなくて、挙句の果てに、ODBCエラーが出ることがしばしば


ORA-01013:ユーザーによってカレント操作の取消しが要求されました。


いやぁ、操作の取り消しを要求した覚えないけどなぁ・・・。
で、原因を探るべく、ODBCの設定とかネットワークのトラフィック状態とか、PCのメモリを開放するために再起動するとかいろいろやってみますが、うまくいきません。

で、探して探してみつけた、とある設定・・・。

クエリー画面で右クリックします。テーブルが選択されてしまったら何回も右クリックします。
うまくプロパティシートが出たら、「ODBCタイムアウト」の値を大きくします（初期値は60)。


これで、処理の大きいクエリーでも、タイムアウトすることなく処理ができます。
私は値を600にしました。

[2回]

はい、電算室です。今日は何が起きるのでしょうか。

人に操作を教えていて、ある程度自分の頭の中でもそれなりにシミュレートします。ですから思った操作をされると引っかかるんですよね。

それは音にも言えます。

クリックとダブルクリック。その違いは意識していますか？

クリックは、選択するとき。ダブルクリックはファイル等を開くとき・・・。

なんとなくそんな感じだと思います。

自分のところのシステムではWebシステムを採用しており、Webシステムから自端末のマイドキュメントとか開くことができるようになっています。

デスクトップ上にあるフォルダを開くときは通常はダブルクリックでしょうが、Webシステムのリンク先は普通はクリックでの操作ですよね。

Webシステムの操作を教えていて、「じゃぁここからフォルダを開きましょう」というと、聞こえてきたマウスの音が・・・



カチカチ



ん？




では、「Webシステムからアプリケーションを起動しましょう」




カチカチ



んんん？


そう、この人、「開く」という動作に対して、なんでもかんでもダブルクリックしていたのです。
いや、ブラウザでダブルクリックはないでしょう。


あんまり年が変わらない人なんだけどなぁ。パソコン教室にも通っていた人なんだけどなぁ。


でも、近い将来、スマホばかりでパソコンを触ったことがない若人がやってくるのではないかと思います。そういう時、「マウスってどうやって使うんですか？」という日が来るんでしょうかねぇ。

[1回]

日本語表示でAndroidユーザーに身代金を要求するランサムウェアが確認されたとトレンドマイクロが発表しました。
その画面が上のとおり。



一見しただけで、怪しさ満載、突っ込みどころ満載です。
おそらく外国の方が作られたのでしょうね。日本というイメージはこの配色なのでしょうか。
そして書いてある内容。
てにをははまるでなっていません。

「残り時間は、罰金を支払います」って・・・・。
また、日本には国土安全保障省なんてありません。（国土交通省か？全然関係ないだろー）


愛知県警にさらに詳しい画面が掲載されていました。（PDF)
なに！？罰金をiTunesで払うの！？
たぶん日本はまだビットコインなどのネットマネーが普及していないからなんでしょうね。

ただ、こんな画面が出て笑っている場合ではありません。
身代金の要求ですからこれをどうにかしないとロック解除できないわけです。
あきらめて初期化なんてできないですよね。

愛知県警にアンインストール方法が掲載されています。（PDF)
Androidのスマホにセーフモードなんてあったんだ。

ちなみにどうやったらセーフモードになるのだろう？
xperiaはホームページには古いのしか掲載されていませんね。
docomoではこちらのように説明しています。

シャープはホームページに掲載されています。それぞれ機種の「その他」に記載されています。
docomoの最新機種であるSH-01Hでもこちらに掲載されています。

今回のランサムウェアについていろいろツッコミましたが、いずれ洗練されてくるんでしょうねぇ。

[0回]