Gmailのフィッシングフィルターをすり抜けた偽ヤマトメール

偽ヤマトさんからGmailアカウント宛にメールが届いた。「配送先住所に誤りがあったため、荷物が配達できませんでした」。

 

住所に誤りがあるのにメールアドレスが合ってるとか、
メールアドレスがわかるのに氏名が書いていないとか、
ヤマト運輸が So-net からメールを送るとか、
そんなもんあるか！

 

ポイントはそこではなく、フィッシングメールがGmailのフィルターをすり抜けたというところにある。GmailはSpamフィルターがあるからほぼ100％近くSpamメールはインボックスに行かない。GmailでSpamなんて見たことがない。でもこのメールはその優秀なフィルターをすり抜けている。送信元も ヤマト運輸<taque@pb3.so-net.ne.jp> から来ていて、DKIM / SPF といった認証を通っている（ということはso-netのメールサーバから送られているとか、そんなことありえる？）

Authentication-Results: mx.google.com;
       dkim=pass header.i=@pb3.so-net.ne.jp header.s=x01 header.b=BGorDuH0;
       spf=pass (google.com: domain of taque@pb3.so-net.ne.jp designates 202.238.198.245 as permitted sender) smtp.mailfrom=taque@pb3.so-net.ne.jp;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=pb3.so-net.ne.jp

 

さてメールにはQRコードがついていて、アクセスしてほしいと言わんばかりなのでアクセスしましたよ。

よくお届け物詐欺メールで使われる duckdns.org に飛ぶのはご愛敬、
でもまず住所電話番号を入れさせられ、驚いたことに郵便番号から住所検索ができる仕組みになっていて（よく作りこんであるな！）
その次にカード情報を入れさせられ、カードの有効期限もチェックする仕組みになっていて（よく作りこんであるな！）
入れて確認を押したら更新完了画面が表示され（引き返せないな）、
そのあと本物のクロネコヤマトのページに飛んだのだった。

ほしいのはカード情報なのだろうけど、
これはある程度のリテラシーがないと、引っかかってしまうかも、と思った。

 

パスワードは長いもの、12文字以上が良い。記号はなくても構わない。

最近パスワードに関する記事を二つ読んで、なんとなく水分補給の話を連想した。
「部活中は水を飲むな!」といった根拠のない根性論の世界から、「熱中症予防のため、水分補給を!」という安全を考慮に入れた180度の方針転換は、デジタルな情報セキュリティの分野にもあり得るようだ。私は推奨事例が変わったことを非難しているわけではない。パスワードの設定方法が一歩進んで、人間の心理的・習慣的行動も踏まえるようになったということだろう。

記事の一つはこれ。
(A) 総務省　国民のための情報セキュリティサイト

もう一つはこれ。
(B) 日経（クロステック）記事 記号は不要　推奨するパスワード、方針転換の理由
こちらはJPCERT/CCのコラムが元ネタになっている。

(A)はパスワードの更新頻度に関する推奨で、米国 NIST (National Institute of Standards and Technology) のガイドラインがそのオリジナルだ。パスワードを定期的に変更するアップサイドより、「定期的な変更を要求することで、パスワードの作り方がワンパターン化し簡単なものになることや、使い回しするようになることの方が問題とな」るというのが最新の見解のようだ。NISTのガイドラインにも　Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) という文言がある。memorized secretsとはパスワードの意味で、ログインの管理者側は、パスワードを変えることを強制すべきではない、と言っている。ゆえに、破られない限り、パスワードは変更しなくてよい。破られたら（他のパスワードに影響が無いよう）即変更する、というのが良い対応のようだ。この見解が出るのと前後して、実際にいくつかのWebサイトではパスワードの変更を求められなくなったような印象を受ける。

(B)はパスワードの複雑性に関する記事で、文字の種類がたくさんあって短いものよりは、種類が少なくても長いものが良い、と述べている。これもNISTのガイドラインに沿っていて、NISTには Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. とある。これは単に組合せの数の問題だろう。

一般的に半角で使える記号は、スペースも含めて33種類 (space) ` ~ ! @ # $ % ^ & * ( ) - = _ + [ ] { } ; ' \ : " | , . / < > ?
このうち、通常記号で使えるのは経験上半分くらい、16種類だと考える。全部が使えないのは、例えばスペースは省略されてしまうとか、*（アスタリスク） や %（パーセント）はワイルドカードと区別ができないとか、+（プラス）や -（マイナス）は文字列の連結コマンドになってしまうとか、( )、;（セミコロン）はデータベース処理でコマンドの一部になってしまうとか、キーボードによっては出ないものがあるとか、そういう理由だと思われる。

小文字が26種類、大文字が26種類、数字が10種類の場合、パスワード1文字につき62通り。
小文字が26種類、大文字が26種類、数字が10種類、記号が16種類の場合、パスワード1文字につき78通り。

本当は必ず大文字がないとダメとか数字がないとダメという制約が入るので、もっと少ないが、記号なしの12文字と記号ありの8文字を単純比較した場合、
前者は62¹² ≃ 3.2 x 10²¹ 通り = 32 垓通り = 320,000 京通り。
後者は78⁸ ≃ 1.4 x 10¹⁵ 通り = 0.14 京通り。
その差約230万倍、つまり総当たり法でパスワードを破るのに、パスワードを4桁長くすれば230万倍時間がかかる、ということだ。記号が全部使えたとしても、1文字につき95通りなので、8文字であれば 95⁸ ≃ 6.6 x 10¹⁵ 通り = 0.66京通りで、230万倍が約50万倍にしか縮まらない。

長いパスワード、恐るべし。

Googleからの重大なセキュリティ通知とその謎

Googleから、「重大なセキュリティ通知」というメールがGmail宛てに届いた。

にわかには信じがたかった。というのも、パスワードはそれなりの長さだし、よくハッキングに使われるような 123456 とか asdfjkl;　とか誕生日とかではなく、真面目に設定した文字列だったからである。しかし、用心するに越したことはない、と思ってすぐパスワードを変更した。Gmailのアカウントはいろんな通知に使っているので、それが使えなくなったら大ごとだ。

その後、少し悩んでしまった。Googleのアカウントのアクティビティ、すなわちどの端末でどこからアクセスしたか、は https://myaccount.google.com/security#activityで見ることができる。セキュリティ通知の詳細は、最近のセキュリティ イベントというブロックにあって、確かに「不審なログイン試行をブロックしました」という記録が見える。その記録の詳細がこれだ。

すなわち、IP Address 35.204.221.225 が不正アクセスの発生源ということんなる。ところで、IPアドレスは誰が取得して管理しているかということについては whois （フーイズ）というプロトコルがあって、それで大まかな情報を調べることができる。例えば日本の .jp アドレスを叩いたときにどこのサーバを見に行けばいいのかという情報はJPRS 日本レジストリサービスが管理している。問題のアドレスは見るからにアメリカだから、アメリカにある ARIN American Registry for Internet Numbers というサイトで、調べてみた。その結果が、少し長いのだが下の通りである。

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/whois_reporting/index.html
#
# Copyright 1997-2018, American Registry for Internet Numbers, Ltd.
#


#
# Query terms are ambiguous. The query is assumed to be:
# "n 35.204.221.225"
#
# Use "?" to get help.
#

NetRange: 35.192.0.0 - 35.207.255.255
CIDR: 35.192.0.0/12
NetName: GOOGLE-CLOUD
NetHandle: NET-35-192-0-0-1
Parent: NET35 (NET-35-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Google LLC (GOOGL-2)
RegDate: 2017-03-21
Updated: 2018-01-24
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment:
Comment: Direct all copyright and legal complaints to
Comment: https://support.google.com/legal/go/report
Comment:
Comment: Direct all spam and abuse complaints to
Comment: https://support.google.com/code/go/gce_abuse_report
Comment:
Comment: For fastest response, use the relevant forms above.
Comment:
Comment: Complaints can also be sent to the GC Abuse desk
Comment: (google-cloud-compliance@google.com)
Comment: but may have longer turnaround times.
Ref: https://rdap.arin.net/registry/ip/35.192.0.0



OrgName: Google LLC
OrgId: GOOGL-2
Address: 1600 Amphitheatre Parkway
City: Mountain View
StateProv: CA
PostalCode: 94043
Country: US

... （以下略）...

さて、どういうことかわかるだろうか?　35.204.221.225　はGoogleのクラウドサービスだと言っているのだ。GoogleのクラウドがGmailに不正ログインする?　それはかなり考えづらいが、可能性としては二つ考えられる。一つは、Googleのクラウドサービスを使用してる民間業者が、本当に不正にログインするケース。厳重なファイアーウォールがきっとあると思うのだが、とにかく異なるサービスを起点に不正ログインしてしまう可能性。もう一つはGoogleの左手と右手があって、左手がやっていること（Googleのユーザサービス）を右手（セキュリティ管理）が知らず、右手が左手をブロックするというケース。営業部門 vs. 内部監査みたいな話ですね。

もうパスワードは変えてしまったし、それ以降「重大なセキュリティ通知」は来ていないので、ひとまず問題は解決しているのだが、その原因について私は後者ではないかと疑っている。

IPv6設定を「自動」から「リンクローカルのみ」に変えることの意味

前回の記事でMacbook AirのノートからWiFiがぶちぶち切れるという問題は解決したようだということを述べた。今回は「なぜ」を考えてみたい。

その前に定義から。『IPv6設定を「自動」から「リンクローカルのみ」に変えることの意味』というタイトルにはOSが含まれていないから、一応 Mac環境を念頭に置いているが、OSには関係のない記事になるかもしれない。まずIPv6である。

IPv6
Internet Protocol version 6を指す。その前のインターネットプロトコルはIPv4である。IPv4は  255.254.2.1  みたいに4つの数字と間に3つのドットを含むアドレスからなる。一つの数字は0～255までの2⁸（8乗）で表されるから、全体のアドレスは (2⁸)⁴ = 2³²通りがある。4,294,967,296、ざっと43億個。

IPv6は  ABCD:EF01:2345:6789:ABCD:EF01:2345:6789  といったように、1桁が0～15(=F)まである2⁴（4乗）=16個の英数字が、4個ずつコロン（:）で区切られて32個並ぶ。全体のアドレスは 2^{4 × 32} = 2¹²⁸通りがある。その数、ざっと3.4 x 10³⁸個。日本語では340澗（かん）個というらしい。...、兆、京、垓、𥝱、穣、溝、澗、正、...の澗だ。IPv4の10²⁹倍、100,000,000,000,000,000,000,000,000,000倍だ。IoTが始まってもほぼIPv6アドレスの数は無限大、ということはよくわかる。そんなところで眠くなってきたので、続きは次回に持ち越す。

WindowsユーザがMacのクリーンアップに挑戦する (1)

私は根っからのWindowsユーザで、仕事もこのブログもWindowsでやっている。Macはほとんどわからないし、昔はアプリケーションに関してはWindowsの方が圧倒的に多かったので、わざわざどうしてMacを選ぶユーザがいるのかさっぱり理解できなかった。マウスも右クリックできる2つボタンが好きだ。

Macを使うのはまるでWindows PCをデュアルブートにして、片方にUbuntuを入れて、Ubuntuでも結構いろんなことができるぜ? というFree OS感を楽しむのとほぼ同じイメージだった。趣味としてはわかるけど、「Ubuntuで大抵のことはできる」はすなわち「Windowsと比較してそれほど劣らない」という話だから、OSを使うこと自体に喜びを感じる人以外（つまりアプリケーションを使って何かをしたい人）にとってはWindows一本でやっていってもツールが違うだけで何ら変わらない。徒歩で行くか、自転車で行くか、電車で行くか、みたいな話だ。今はWebアプリケーションの時代で（例えばGoogle Documentとか）、アプリケーションがOSに依存しないから、私自身はOSは使いやすいものがいいというスタンスに変わってきている。使いやすいOSが私にとってはWindowsで、たまにクラッシュしたりしてひどい目に会うこともあるけれど。

さて、友人のMacが不調だというので、MacとWindowsとの比較をしながらいろいろやってみた。友人のMacは初期のMac book Airで、もう7-8年使っていると思う。CPUはCore i5、メモリは4GBあって、これはまだそこそこ使える範囲だと思うのだが、ストレージがSSDの128GBしかない。ここはちょっと厳しそうだ。なお、この情報は、左上のマックアイコン → このMacについて から見ることができる。

1. Dockのアニメーション削除DockはWindowsでいうとタスクバーだな。私の環境でもWindowを開閉するときのアニメーションとか、いろんなアニメーションは使っていない。あれはシステムに負荷をかけるだけだし、慣れてしまえばなくてもどうでもいい。これはWindowsユーザにもわかりやすい。


2. Dockの再起動Windows Explorerの再起動をコマンドプロンプトを使ってやる感じですね。MacにもCUI的なコンソールがあることは初めて知った。


3. 不要なアプリ削除Finderから、SHIFT+⌘+Aでアプリケーション一覧を立ち上げ、明らかに使っていなさそうなアプリケーションを探す。RealPlayerはもはやWindowsではユーザがいないと思われるので、こちらは削除してみた。もしMacではデフォルトのメディアプレーヤーですというならごめんなさい、だ（Quicktimeがあるのは知っている）。他には知っているアプリケーションばかりだったので残しておいた。アプリ削除にはせっかくなので、AppCleanerを使ってみた。これも直感的にすぐ使える。


4. Blutooth Off


5. 透明度を下げるこれも、Windowsでは1のアニメーション停止と並ぶ負荷軽減の常套手段だ。ここまではこのサイトを参考にした。


6. MacにはOffice 2008が入っているのだが、これをよく使うことは知っているので、立ち上げて数式をパチパチ入力してみた。........遅い! 私だったら1分で耐えられない重さだ。どうしてこんな重いものを放っておくんだろう?ということで、さらにMacのExcelに特化したクリーンアップを行う。


7. フォントの重複チェックMacには301個のフォントが入っていて、37個の重複が見つかった。重複フォントはゴミ箱に移動してしまう。さて、Windowsではゴミ箱の中身を選択的に（かつ永久に）削除することができるのだが（つまり選択的に空にする、それは空にするとは言わないと突っ込まれそうだが）、Macではその機能がないようだ。例えば、今回のように、友人が削除したものと私が削除したものがあって、友人が削除したものは後から戻したいかもしれない、一方私が削除したものは要らないことがわかっているので、それらはストレージ空き容量を増やすために確実に消したい、というようなときにこの機能があると便利だと思うのだが、Macユーザはそんな優柔不断対応は嫌いなのだろうか。さらにWindowsのシステムフォントフォルダは C:\Windows\Fonts 1箇所しかないので、重複フォントという概念がない。他のフォルダに置いたフォントは単なるフォントファイルであって、システム的にはインストールされていない。このあたりの違いは面白い。


8. 環境設定ファイルの削除com.microsoft.Excel.plistcom.microsoft.office.plistこの2つを削除したのだが、.plist ファイルはWindowsでいうところの .iniファイルらしい。確かに .ini ファイルはテキストファイルで設定を書き込むところだから、そんなに重要ではないな。Windowsの場合は、.ini ファイルはそれぞれのアプリケーションフォルダの中にあって、Macのように /Library/Preference/ には固まっていない。この2つのファイルは数十～百KBだったら、それほどクリーンアップに影響があるかどうかは不明だ。


9. Cacheの削除 /Library/Cache/MicroSoft をフォルダごと削除ブラウザのCacheファイルというのは意味がわかる（画像ファイルとか、ダウンロードしてきたものとか）のだが、MacでいうアプリケーションのキャッシュというのはWindowsでは何に当たるんだろう? アップルの説明を読むと、ブラウザと同じように、アプリケーションがインターネットを通じてデータをやりとりするときのキャッシュファイルだと解釈できる。私はiCloudもOne Drivemoも重くなるだけだから辞めてしまったのだが、MacではそんなにiCloudとアプリケーションの間でデータをやりとりすることがあるのだろうか? MicroSoftのフォルダには数MBのキャッシュファイルがあった。


10. 環境設定以下2点の機能を無効化アニメーションで表示するオートコンプリート


11. もう一度Excelを立ち上げてみると........さっきと全然反応が違う! これは効果あり!


12. 最後に、もう一度PRAMリセットこれは何の役に立つかわからないが、たぶんWindowsでいうところの再起動ですね（シャットダウンはキャッシュが残っているので、電源は落ちるけど起動は前回の続きから行われる。再起動は真っ白な状態から起動する）。

というわけで、いろいろやってみて、2つ感想をもった。一つはOSというのはコンセプトが似ていて、リソースを喰う原因も結構似通っている、だから一つのOSが分かれば別のOSのこともすっと入っていけるようになる、ということ。もう一つは、ネットの記事に感謝、ということだ。

 

（参考）

【保存版】Macが重い&遅い！そんな時の対処法と解決方法をここに記します！高速化で快適に！
MacのExcelで文字入力が重い時の対応方法
Mac のクリーンアップとスピードアップに関する基本ガイド