どうやら以下のような日本郵政を騙るメールを開いちゃった人がいて…
From:
日本郵便
拝啓
配達員が注文番号222056089474の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの日本郵政取り扱い郵便局までお問い合わせください。
敬具
日本郵政ジャパンの宛先:
〒108-8475
東京都港区芝浦4-13-23
MS芝浦ビル13F
日本郵政
3/16/2016 02:14:22
添付ファイル:03152016_qjxtrme.zip
外部の、マルウエアメール用のシンクホールを用意したとある組織からの連絡で判明したわけだ。そうでもない限り、わからない。
管理者のメールを見たら、同じようなメールが来ていた。送信者はyargusevx7u@rambler.ruというわけでロシアからですね。来ていたというのは、Gmailにすべて自動転送しているアカウントに来たので、自動的にGmailに転送した結果、Gmailでフィルターしてウイルスを発見したよというGmailからのレポートがあったからわかるのだ。こういうレポートは頻繁に来るので無視していた。本来のアカウントからメールを受けているパソコン(Mac)の方のアンチウイルスソフトではさっさと駆除してしまって、パソコンに残っていない。
一応、大学のネットの出入り口にウイルスフィルタがあるんだけど、通り抜けちゃったようだ。
どうやら、ネットバンキングの詐欺に使うものらしくトロイの木馬もインストールされたようだ。
感染したパソコンは6月に購入した(当然ながら) Windowsで、デフォルトで1ヶ月有効なMcAfeeがインストールされている。このアンチウイルスソフトを通りぬけちゃったようだ。パソコン購入時にインストールされているアンチウイルスソフトのウイルス定義ファイルは、当然ながら最新バージョンではない。VirusTotalによれば、McAfeeは2016年03月14日にこの種のウイルスに対応したらしい。パソコン購入して真っ先にやるのがアンチウイルスソフトの設定なんていう人、まずいないからね。上記の管理者へのメールは3月16日だが、感染した人へのメールの日付は6月7日だ。購入時の定義ファイル3月14日以前だったんだろうね。でも自動的に更新するように設定されていると思うけどね。購入したばっかであまりネットに接続していなかったのかも。更新前にひらいちゃったんだろうね。あるいはMcAfeeの更新催促を無視したのか。
管理人のところで改めてMacで、添付ファイルをイESETでスキャンしたら駆除されちゃったよ。
覚えがない送信主からの「添付ファイルは開いちゃいけない」というのは、例え、内閣総理大臣からのメールであっても、社長や所長、学長からのメールでも、隣に座っている人からのメールでも、上司からだろうが恋人からだろうが、添付ファイルが来ると予想していないかぎり、興味本位で開いちゃいけないということなのだ。
配達物があります、請求書です、お預かりしていますなんてのはすべてインチキだ。管理者のようにスケベ心一杯の人はMacを使うように。
と言いつつ、新しいWin10機をアンチウイルスソフトでフルスキャンしていなかったことに気がついた。やば。ま、このマシンはメールの送受をやっていないから多分…
しかし、これまで使っていたプリンタなどのドライバやソフトをダウンロードしてインストールしているから、スキャンしていないとまずい…
購入時のMcAfeeをアンインストールしてESETをインストールする間、ネットに接続してあったわけで、何分かかったか覚えていないし…
検査に通った。感染していないようだ。
[ 追記 ] 2016.6.14
オンラインスキャンというのがあって、無料でスキャンしてくれる。信用できるかどうかわからないけど、そこそこ名前が通っているからやってみて損はない(多分ね。該当サイトにアクセスして実行ファイルを落としたらこれがウイルスだったりして…)。オンラインスキャンで無料ウイルス+スパイウェアチェック!というサイトが検索するとでてくるけど、幾つもあった無料サービスがどんどん中止になっている。Win10に対応と歌っているのはない。でも、F-Secure とSymantec Security Checkが使えた。当然、両方ともチェックしたあと、製品を買えというわけだが、強制されるわけではない。トレンドマイクロはWin10だからか使えなかった。一応、上記2つのチェックは通った。こんなもんでいいでしょ。
大昔、フロッピーディスクの時代、Macでアンチウイルスソフトを購入したヒトがいて、そいつからフロッピーでそのソフトをコピーしてもらって、チェックしたら、そのフロッピーにウイルスがいた。つまり、そいつのパソコン本体がすでに感染していた。なんでアンチウイルスソフトを買ったのにスキャンしてないの?ときいたらいそがしかっったからだって。レジデントでいそがしかったからね。彼はどうしただろ。どっかで立派な医者になっているんだろうな。
昨日、猪突猛進女史なんて記事を書いた。書いた理由は、暇だからだ、何故、暇かというと、先日、壊れたHDDのPCのリカバリーを実施していたからだ。
PCがコケたので、まず最初にやったのは、中のホコリをぶっ飛ばすことだ。そのためにコンプレッサを仕掛けたと言ってもいいかも。パソコン内部のホコリをぶっ飛ばすなんてのは故障しないかぎりやらないからな。
原因がHHD(ハードディスク・ドライブ)にあるのはすぐわかったので、PC購入時付属のリカバリーDVDで新たなHDに購入時のシステムを構築すればいい。データは、もはや読めない(読むためにプロに依頼したらパソコンの価格どころでなくなっちゃう)から、あきらめだ。バックアップをみたら今年の1月以降バックアップされていない。なんてこった。だから、昨年度末と今年度初頭のデータがない。といっても、多分、事務関係の書類で、予算についてが主だから問題無いだろ。年度末の予算の最終決済は終わったので、手元にファイルがなくても問題ないだろうし、今年度の予算の執行は5月にならないとできないという大学なもんで、まだ執行していない(と思う)からだ。
ほかの、仕事はMacでやっているからいいでしょ。と、新しいPCを手に入れたからのんびりやっていたわけだ。HDDが壊れたPCをそのまま捨てるのはちと、もったいないから、余った700GBくらいのHDDがあったので構築しようとしたのが、昨日だ。
PCの箱内を圧縮空気でフラッシュして、ビデオカードやメモリーを抜き差しした(この辺のコネクションが問題になることがあるので)のが、最初の失敗で、再起動したらピーピーとうるさい。
メモリーカードを認識してくれないのだ。しっかり差し替えて解消。
モニターになにもでてこない。これもビデオカードを刺し直して解消。
どんなPCでも箱の中に手を突っ込んで作業するのは、部品が一杯あってやりにくいのだ。外側と違って箱の中の金属板などはエッジが作成時そのままなので、滑って手が当たると痛い。
ま、ここまではそれほど問題でなかったのだが、リカバリーDVDを読んでくれない。正常に動作しているPCでDVDが読めないとすると、その原因はだいたいすぐ分かるのだが、システムのないPCでDVDを読めないとなると理由はなかなかわからない。そももシステムがないんだからドライブが悪いかどうかわからない。
試行錯誤してどう考えても光学ドライブがまずいのでは?というわけで、古いPCを見つけ、その光学ドライブで試したら、読めた。だから光学ドライブがおかしいのだ。ほとんど使ってなかったからね。
で何回か起動・再起動をいわれるがままに実施して、HDを作り起動できることになった。
まだ問題があって、このHDDを起動ディスクとして認識してくれないのだ。起動のたびにF2を押して強引に進めていかないと立ち上がらないのだ。インテルのアプリがあって、ディスクを起動ディスクと認識してくれるようにすることができそうなのに、設定しても、シャットダウンするたびに、元に戻っちゃうのだ。
教職員数合計500名程度の小さな大学のメールサービスは大学職員だけでは維持管理できないから外注になる。立ち上げ時に KDDIと契約したらしい。KDDIは、収益の上がらない大学のサーバなんてやってられないからサービスは最悪だ。Yahoo とかGoole に負けちゃう。そのYahooも大学相手のメールサービスはやめちゃう。というわけで、教職員のメールサービスがKDDIからGoogleにこの6月に変更になる。
ユーザが500名程度というと、管理者が管理していた・しているこっちの大学の学部のサービスのユーザより少ない。こっちのサービスも、始めは管理人を含めた教員が実施していたわけだが6年ほど前に、大学中央の情報部門に首を突っ込んでいるベンチャー会社に外注した。もはや大学教員が行うサービスじゃないからね。もっとも大学教員が実施していた・いるサービスだからユーザのわがままに対応した、ユーザからみると嬉しいシステムなのだ。ほかのメールサービスが一通2MB,サーバ容量が最大100MBなんていう時代の時から、両方とも無制限だもんね。だからデカイ写真を何枚も添付するのが自由で、しばしばよそのネットに届かないとクレームがきてたからな。現在の大学の全学生全教職員へのサービスは同じような制限が依然としてあるから、医学部出身の学長なんか使っていられないわけで、学長は医学部独自のサービスを使っている。
あっちの大学でもKDDIのサーバじゃもはや立ちいかなくなり、変更したのだ。学内での議論なんかなかったよ。トップダウンだな。こっちの大学の医学部ではGoogleに投げようという案は何回もでたけど、大学の・医学部のプライドとかがあって、今ので不自由でないのだから(実は維持管理が大変なんだけどユーザからは見えない)なんでGoogleを使うんだよ?Googleはメール読んでいるぞ、そんなとこに依頼できない といわけでGoogleに移行することはない。
あっちの大学は、メール読まれているなんてことは無頓着なんでしょうね。セキュリティが甘いんだよね(実は…..というやばい話があるんだけど、ここには書けない)。
長過ぎるIntroductionだったけど、このメールシステムの変更はユーザにとって大変な作業だ。
1)Gmailを利用するにあたって、これまでのメールのパスワードとは異なった、新たに作成された初期パスワードを大学のページから取得する必要がある。この初期パスワードを使ってGmail にログインし(アカウントは既にできている)、新たなパスワードを設定する必要がある。
2)他のパソコン・スマホ等でのWebメール=Gmail を設定するにあたり、スマホのメッセージ・ショートメールを使ってGoogle側から送られる6桁の数字を受け取り、これを入力する必要がある(一回きりの確認コードだ)。異なったパソコンやスマホでWebメールを利用する場合、全て個別に新たにこの確認コードをGoogleに申請・取得する必要がある。確認コードは使い回しできない。
3)メーラー(WinのLiveとかMacのMail、Thunderbirdなどね)を使う場合は、また別の12桁の文字列(アプリパスワード)をGoogleに申請し、取得し、設定しないといけない。これも1回だけのパスワードで本来使うパスワードとは別物である。そのPCの、そのメーラーを承認するためだけに使うのだ。使い回しできない。
4)これまでのKDDIのサーバに届いたメールを新しいGmailのアカウントにコピペする必要がある。どうせもう二度と見ないメールなんだから、捨てちゃえばいいんだけどね。幸いなことにKDDIのサーバに保存できるメールの容量の制限があって、ときどき警告がきて、古いのは削除しているはずだから、そのコピペの量は少ないに違いない。最大容量は100MBじゃなかったかな?管理人の場合は、削除したから、コピペの結果、この1月以降のメールしかサーバになかった。こっちの医学の場合だったら数GBあるはずだからやばいことになったな。
つまりパスワードのような文字列・数字列が4種類あるのだ。
初期パスワード、パスワード、6桁数字の確認コード、12文字のメーラ・アプリ・パスワード の4つである。こりゃ、皆さん、移行できないですね。ダウンロードできる移行マニュアルは20ページを超える。読んでられないでしょ。全てのメーラーに対応したマニュアルじゃないしね。IMAP、POP、SMTP、ポート番号、認証方式、暗号化なんて聞いたこともない人ばかりだもんね。
メールの受信設定をともかく6月中に設定しないとメール読めなくなっちゃうからね。大変だな。大学中央の情報関係の部署の人(普通は離れたキャンパスにいる)が個別に設定の援助に来る。一人30分だそうで、こっちのキャンパスにいる全ての希望する教員に個別に対応することになっている。管理人は、学科の対応者に選ばれたわけだけど、個々の教員の設定なんかやりたくない、仕事は、単にこの援助する人・される人の間の1回だけのスケジュール調整だけですね。あとは個別に連絡して頂戴ですね。でも、相談と称して設定の手伝いをすることになるかもね。断れないんだよね。人がいいから。
[ 追記 ] 2016.6.4
どうやら、あっちのキャンパスでは各学科の助手クラスの若い人が、該当学科の教員の面倒を見ることになっているらしい。こっちのキャンパスでは何故か学科に担当者を指定しろという命があって、管理人の学科では管理人が指名されたのだ。で管理人は助手ではないので、各教員に対応してもらうわけには行かないということらしい。
ブログ記事の写真をクリックすると拡大して表示することができるプラグインがある。いわゆるLight Box 系のやつでこれはjqueryというjavaとコンフリクトするらしい。jqueryを$に置き換えて動作するのだが、ほかの、例えばテーマとかプラグインも同じ$を変数として使うからのようだ。
chrome-extension://fmcdfigcdfkdghdklblbbpacikcchbbh/jquery-2.1.0.min.js:2 Uncaught TypeError: Cannot read property ‘slice’ of null
と、すべてのプラグインを止めても、このブログを表示するとエラーになる。エラーにqueryという言葉があるのだからこいつのせいなんだろ。まだ良くわかっていない。
というわけで、テーマをかえちゃったりしているのです。すみません。
OSXサーバで、また、php で構成したページ(ownCloudとかWebメールのroundcubeなど)が動いていない。CGI は問題ない。OSをアップデートしたからだ。
/Library/Server/Web/Config/apache2 の
httpd_server_app.conf の110行目の
LoadModule php5_module modules/libphp5.so
がコメントアウトされている(#が頭に付いている)からだ。この# を削除すればいい。apache が php モジュールを読み込んでないからだ。削除して
$ /usr/sbin/apachectl restart でapachを再起動しておしまい。
もう何回目かなこのトラブルは。どうやって直したか、覚えていないんだよね。
ちゃんと記録してあってよかったね。毎回このメモを見るんだよな。なさけない。
移転したけど、うまくいかなかったこと。
すべてのファイルは移転できたようだけど
1)コメント欄がみえない → 設定 → ディスカッション をいじっていたらみえるようになった。
2)画像などのリンク先が昔のまま → Velvet Blues Update URLs というプラグインで一括変換した。
3)Light Box 系のプラグインをつかうと別ページが開いたのちオリジナルのサイズの画像をみることになっちゃう。本来のポップアップにならない。→これは前からで、原因は調査中。Light Box系のHuge IT lightbox をプラグインとしてインストールしているけど。
例えば、下の図をクリックするとオリジナルの解像度の図が開く…..
はずだが開かない。この写真は移転後にアップした写真だ。前のサイトから移築した写真は、コメントページが開いて、さらにクリックするとオリジナルの解像度・大きさの図が提示される。
んが、わからんぞ。時間がないから、後回し。
4)古い記事をみてみたら、図・写真がでてこない。最近のは問題ないけど。
One click でWordPressのアップデートができていたのだが、なぜか4.4.2からできなくなってしまい。アップデートをちとサボっていた。
ようやく、先ほどマニュアルで終了した。プラグインやテーマのアップデートはone clickでできるようになったから、次からは問題ないのではと期待している。
アップデート中はウイルス防御のプラグインを止めていたわけで、そしたら17:49:44 Probably hack/malware attempt! なんてのがあったよ。p8163-ipbfp1903tokaisakaetozai.aichi.ocn.ne.jp 名古屋からです。ボットに感染しているんでしょうな。
広告URLだらけのコメントが投稿されていたしています。
[ 追記 ] 2016.4.12
WordPressの更新に伴い、いままでのサイトから引っ越しました。これまでのac.jp のサーバは問題とされたことはないのですが、個人的な意見表明が多くなりすぎたので引越しです。匿名での情報発信は禁じられているので顕名で言いたいことを勝手にわめいていたわけですが、組織の財産を使ってこんな好き勝手なことわめいていいのかと判断され、管理者自身にペナルティがあってもしょうがないでところです。しかし、ネットワークを管理するほかの人には迷惑になりえます。そこで、クレームがつく前に所属部署に設置したサーバではなく、個人的な別サイトに移転させることにしました。
ほんの一部の関係者しか読んでないブログでしたので好き勝手に書いた結果、関係者には評判がよかったわけですが、最近は関係者でない方もアクセスしていますからね。変な抗議を当局にメールされても面倒なことになるだけですからね。個人的なサイトだったらいいでしょ。
Mac Powerpoint 2011 を起動するといつごろからかアドインが読み込めないというプロンプトが出てくるようになった。このようなエラーメッセージがでてきたとき、すぐに原因を究明するのが正しいのだが、パワポを使うときとは講義とかのファイルを作るときで、そのときは時間がないからやってられない。で、パワポは大抵の場合、起動したままなので、次の起動のときまで忘れているのだ。
ようやく、どのアドインファイルが読み込めなかったのか調べたら PDFMaker.ppa なのがわかった。こいつはアプリケーション—Microsoft Office 2011—Ofice— Startup—PowerPoint にある。
パワポを終了して、このPDFMaker.ppaを他の場所にバックアップしておいて、オリジナルを削除する。アプリケーション—Microsoft Office 2011—Ofice— Startupにあらたなppt_adin とか名前をつけたフォルダを作成し、この中にバックアップからPDFMaker.ppaをコピペする。
パワポを起動して、エラーメッセージがでてこないことを確認し、ツール—アドイン… からアドインを「追加」でこのアドイン—Microsoft Office 2011—Ofice— Startup—ppt_adin—PDFMaker.ppa を指定し、マクロを有効として追加する。
これで、起動時にPDFMaker.ppaが読み込まれる。
オリジナルを取り除き、再度アプリケーション—Microsoft Office 2011—Ofice— Startup—PowerPointにコピペしてもだめだった。どっかに起動時に読み込むファイルの指定が書いてあってそれが壊れたからかな?それともこのファイルを読み込むときマクロが有効にできないからかな?わからんけど、この姑息な手段でともかく動くからいいことにする。
つねに、筋を通さず迂回路ばかりは、管理者の生き様そのものだな。
Teamviewerがつながらない。今日はこっちの大学の勤務なんで、あっちの大学の仕事はあっちの大学のデスクトップPCで作業したいのだ。作業するファイルがあっちこっちに分散してバージョンが異なるとわけがわからなくなっちゃうし、あっちの大学の仕事のメールはあっちのPC上でやりたいのね。そうしないと、自分自身にBccで送信して送信済みの確認をしておかないと、返事したのかどうかもわからなくなっちゃうとか、面倒なのだ。
クラウドのファイル共有もいいけど、よそのサーバにファイルを置くと覗き見される可能性があるでしょ?自前のファイル共有であるownCloud がこのサーバにあって、使っているんだけど、これはTeamviewerだとどうしても速度がおそくなるからだ。ファイルの出し入れをしないといけないからめんどうになる。オンラインでドキュメント編集はできないけど、GoogleとかMicrosoftのサーバに置いて覗かれるよりましだ。
2台のPCがあって、1台は接続準備完了(安全な接続)と緑のマークがでているのだが、あっちの大学や自宅に接続を試みると、「理由がわからない」で接続できない。もう1台は赤いマークで「準備ができていません。接続を確認してください。」なのだ。この表示はパソコンがインターネットに接続できていない時にでる。このパソコンはブラウザが使えているからパソコンのインターネット接続ができていないわけではない。
2台同じ環境なのに表示が異なって接続できない。
あっちの大学の業務用サイトは学外から接続できるはずなのだがつながらない。今日が試験結果を入力する締め切りだからメインテナンスになってないはず…
Teamviewer の公式サイトにも接続できない。
[ 追記 ]
自宅に戻って使ったが問題ない。あっちとこっちの大学のPCにも接続できるしTeamviewer の公式サイトにもアクセスできる。なんだったんだろ。再度こっちの大学に行ってみないとわからない。こっちの大学の基幹ネットが不安定なんだよね。だからといって特定のサイトとかに接続できないのはよくわからん。一応、どっちもSINET4 に所属しているはず。
自宅メールサーバは、当然ながら、他のサーバ、契約しているプロバイダのサーバ、にメールをリレーしてもらっている。そのリレーサーバの名前が変わったのだ。文書での連絡はなかったと思う。DNSの変更は先日文書で連絡があった。これは固定ip addressを使っているユーザだけにだろ。
プロバイダのメール(SMTP)サーバはmail1.example.com だったのがvmail1.example.com に変わったのだ。知らなかった。昨年の10月7日の話だぜ。
プロバイダのメールアドレス宛に連絡があったのだろうか?だとしても使っていないからわからん。で、プロバイダのメールアカウントに来ているメールを読みにいった。プロバイダのWebメールのユーザ名は hogehoge@mail1.example.com なのだ。hogehogeでもなくhogehoge@vmail1.example.comでもないのだ。こっちはvmail1 でなく従来のmail1 なのだ。
プロバイダのメールアドレス宛に来ているかと思いきや、メールサーバの名前が変更になった�日以前のメールはない。だから確認できない。メールがなくなっちゃっているということは、かなり前に連絡があったに違いない。プロバイダのWebページには掲載されていた。「10月2日、10月5日の「ACCSnet サポート情報」のメールで周知させていただきました。」だって。だからメールで連絡があったのだ。プロバイダのメールアドレス宛のメールなんか見てないからな。誰にも知らせてないからメールが来るわけがないと思いきや;
というスパムばかり。しかし、変更のお知らせから変更までが1週間もないんだぜ。Webメールしか使ってない人は、変更以前のメールがなくなっちゃうんだせ。ま、管理者の立場から考えると猶予の時間が短くなるのはわかるけどね。
自宅サーバでWebメールも動かしているんだけど、使ってない。他のユーザで使っているのは一人だけだろ。しかもたまにしか使っていないようだ。昨年の10月7日から今日までWebメールから送信できなかったはず。
自宅パソコンのメールのSMTPサーバは、自宅サーバに指定していたと、ずっと思っていたかが、なぜか、他のSMTPサーバを指定していた。多分、他のSMTPサーバ(こっちも管理しているのだ)をテストするときに設定して、そのままだったんだな。だから、リレーしてくれるサーバが動かなくなってもわからなかったのだ。
んで、26日に気が変わって、自宅のパソコンのメールシフトで自宅サーバをSMTPサーバに指定したら、メールが送付されない。へ?我が家のSNTPサーバがBlacklistに載ったのか?….. いや違うようだ。というわけで、プロバイダにきいたらメールサーバの名前が変わったというのが判明したわけね。
さって、この不祥事は誰のせいか?「あの日」の著者と同じく、他人に責任転嫁すべく、プロバイダにクレームだ。
1)固定ip addressユーザは、貴社のSMTPサーバを、リレーサーバとしてだけ使っている可能性がある等を認識して、重要なネットワークパラメータの変更は、先日のDNS変更のお知らせ同様に文書で連絡してちょうだい。貴社のメールを見ていない可能性がある。数が少ないから可能だと思います。
2)貴社のWebメールのユーザ名が、新しいvmail1 でなく従来のmail1 のままというのは混乱の原因なのでなんとかしてほしい。ユーザ名には@以下のドメイン名を含まないほうがいいのでは?エイリアスでどちらも可能にできるのでは?
It's alright, I say It's OK. Listen to what I say.