NOBODY:PLACE

【フィッシング】パスワードがクラックされて身代金が要求されました！【ネタです】

誤爆することも少ないので普段あんまりGMailの迷惑メールフォルダは見ないんですが、なんとなしに開けたらこんなメールが来てました。長めの黒塗りは僕のメールアドレス、短い黒塗りはパスワードです。日本語がだいぶ怪しいですがこの後にこういう記述があり、

あなたがサイトで楽しむとき（あなたは私が何を意味するか知っています！）あなたのカメラのプログラムを使用してスクリーンショットを作成しました。その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。これらの写真を連絡先に送信すると素晴らしいことがあります。しかし、あなたがそれを望んでいないと確信しています。したがって、私は沈黙のためにあなたからの支払いを期待しています。私は$861が良い価格だと思います！ Bitcoin経由で支払う。私のBTCウォレット： 12ziVv4aQkZTA1gj86Y9uYQByG4CcdVcTA

インカメラをクラックしてお楽しみ中のあなたのスクショを撮影した、ばらまかれたくなかったらBTCウォレットに$861支払えと言う要求のようです。残念ながら僕の使用しているPCにはカメラは付いていないので、そもそもスクショを撮られることが無いですし、確かに記述されているパスワードは遠い昔どこかのサイト（アキバ系のPCパーツショップ？）で登録したパスワードのように思えますが、基本的に全てのサイトでパスワードを変えているので流出してもあまり困らないし、どこのサイトのものかもよくわからないので実害が全くなく、全然驚けませんでした。殆どの人は僕と同じように馬鹿らしいと一蹴するでしょうが、

同一のパスワードを使い回していて表示されているパスワードに心当たりがある
PCにカメラがある
PC使用中に人に言えない行為に及んでいることについて、身に覚えがある
心配性

などの条件が当てはまる人であったら心配にもなるかも知れません。身代金要求って最近流行ってるって聞くしな……万が一……とか言って。間違っても振り込まないよう、身に覚えがあっても振り込む前に警察に一度相談してみるようにしてください。大丈夫だと思いますけど、ネットに不慣れな高齢者だと色々ある可能性があるので。うちの親父とか大丈夫かな。

サイトをSSLに対応させないとGoogle Chromeに怒られるようになるらしい

AWSのMFAを解除しないまま機種変更してしまった【＼(^o^)／】

マジか。

LastPassのBASIC認証が効かないときは

パスワードの管理については、ローカルのメールソフトにメモ書きしていた時代、サービスの頭文字と共通の4-6文字を使っていた時代、ブラウザに保存させていた時代など色々あるのですが、最近ではもっぱらパスワード管理サービスの「LastPass」を使って管理しています。 LastPass|パスワードマネージャ、自動フォーム入力、ランダムパスワードジェネレータ、安全なデジタルウォレットアプリ ChromeでもFirefoxでも動き、iPhoneでもアプリを通じてパスワードを管理することが出来てとても便利です。この導入のおかげで、自分が覚えやすいパスワードを設定することがなくなり、まあ今どきはランダムな文字列なら強いとは限らないわけですけど（cf. あのパスワード規則、実は失敗作だった – WSJ）、だいたい12文字から16文字程度のサービス毎に異なったパスワードを設定するようになって、どこかで何かあっても芋づる式にログイン情報を抜かれるということはなくなりました。（その代わり、自分で覚えなくなったけど） LastPassはじめパスワード管理サービスについては、紹介する記事はたくさんあると思うのでそちらを見ていただくとして、LastPassを使っていて唯一不便を感じるのは、ブラウザのBASIC認証（上記画像のようなダイアログ）に対応していないこと。いつかのリリースで対応したとか、対応する設定があるとか読んだ気がするんですけど、それらしき場所をいじっても対応してくれないので多分対応してません。

で、どうするか

セキュリティ維持を考えるなら「諦める」一択なんですけど、今どきBASIC認証使ってるところなんて大してセキュアな場所ではないことが多いので、逆に割り切って、ブラウザで管理することにしたらいいんじゃない？（セキュアな場所では使わないでくださいね）通常、LastPassでパスワード管理している時は、ブラウザのパスワードマネージャはオフにしていると思います。パスワードマネージャをオフってことはパスワードを管理しないって言う意味と思いきや、Chromeの場合、新規のパスワードを保存しなくはなりますが、既に保存しているパスワードは自動入力します。それでいいのかと思いますが、そういう仕様です。というわけで、

「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オンにする。
パスワードを保存したいサイトにアクセスしてBASIC認証
パスワードを保存
「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オフにする。 ← 忘れずに

という手順でBASIC認証のユーザー名とパスワードを保存することで、次から自動で入力してくれます。 LastPass使ってないじゃん！まあでも、BASIC認証のユーザー名/パスワードくらい、良いんじゃないですかね。ええ。

ものすごいカジュアルなフィッシングメール。

セキュリティ

From：三菱東京ＵＦＪ銀行件名：【三菱東京ＵＦＪ銀行】本人認証サービス本文：こんにちは！最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。以下のページより登録を続けてください。 https://entry11.bk_mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

こんにちは！こんにちは！

【小ネタ】パスワードを保存できないサイトでパスワードを保存する【Firefox】

ある程度どうでも良いサイトの場合、パスワードを保存するリスクより利便性の方が上回るので、結構積極的に保存してたりするんですが、サイトによっては保存できない設定になっている場合があります。例えば…アフリエイトのMicroAd。 BTパートナー｜行動ターゲティング,ブログ広告,リターゲティングのマイクロアド左上にログインフォームがありますが、ここで入力したパスワードは保存されません。（保存しますか？と聞かれない）

iptablesを設定した（VPSその5）

はてなブックマークで上位に来ていたこちらを参考に、iptablesを設定しました。これぐらいやっとけ　～Linuxサーバのセキュリティ設定～ – nabeの雑記帳恥ずかしながら何もやっていなかったので。（iptablesでどういう事が出来るのかも知らなかった）処理手順は設定のための処理を書いたシェルスクリプト（iptables-init.sh）を用意し、それを実行して設定を反映、その上で設定をファイルに書き出して再起動しても適用されるように。そんな感じ。

【読書感想文】パーフェクトPHP / 小川雄大/柄沢聡太郎/橋口誠

パーフェクトPHP (PERFECT SERIES 3)
小川雄大柄沢聡太郎橋口誠
技術評論社 2010-11-12
売り上げランキング : 4615
Amazonで詳しく見る by G-Tools

AutoPagerizeはGreasemonkey版からFirefoxアドオン版に移行するみたい（でもまだ満足に動かない）

先日、Greasemonkeyに関するセキュリティリスクが報告され、それに合わせていくつかのスクリプトが更新されました。AutoPagerizeもその一つです。 AutoPagerize セキュリティアップデート – SWDYH

malaさんによる解説：

外部コンテンツを読み込む系のGreasemonkeyやブラウザ拡張を作る際の注意事項 – 金利0無利息キャッシング – キャッシングできます – subtech AutoPagerizeをご利用の方は、こちらのページから最新版をインストールしてください。 AutoPagerize for Greasemonkey

Windows XPが重い場合の対処法 – wuauclt.exeさん大暴れの巻。

8月に入ってから、Windows XPを中心に起動や起動後の動作が極端に重くなる現象が起きているらしく、彼女の人のPCも重いというのでウィルス感染の可能性も含めていろいろと調べてみたのだけど特に異常なプロセスはなさげ。唯一怪しかったのは「wuauclt.exe」なんですけど、これ、名前からも想像できるとおりWindows Updateのアップデート監視用。これを切るとWindowsのアップデートを関知できないので余り推奨できなません。 …が、これを切ると快適にサクサク動くのだよなぁ。さて、どうしたものか。というわけで、そんな場合の対処法。