にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

不審なメールを収集できる(かもしれない)ポストブログについて書いてみた。

セキュリティ

どもどもにゃんたくです(「・ω・)「ガオー

そういえば最近、外見がアニメ鬼滅の刃の竈門炭治郎役を演じている声優の花江夏樹さんに少し似ていると言われて、意識しだしたにゃん☆たくさんです。ほんとどうでもいい話ですね、全集中して先に進みましょう。

 

僕のツイートでたまにこういった事をつぶやくのですが、お気づきいただけていますでしょうか。

 

実はこの『ポストブログ』について言及したことがなかったなぁとふと感じたので今回ポストブログとはなんなのか、そしてそのポストブログを使ってなにができるかを書いていきます。

今回のブログでは、不審なメール(ばらまきメール、フィッシングメール)を見つけたい、調査したいというリサーチャーやそういった部署にいる担当者に向けて書いています。

1点注意点があります。

このポストブログを使用して情報を収集する場合、本物のフィッシングサイトや悪性サイトにアクセスしてしまう、不審なファイルをダウンロードしてしまう等の可能性がありますので、実際のポストブログを確認しに行く際には十分ご注意ください。

会社等で使用する端末等ではアクセスしないことをおすすめします。

 

では先に進みましょう。

そもそもポストブログとはなんぞや?と思う方が多いと思います。

ポストブログという言葉(ワード)は勝手に作った造語(略語?)です。意味はざっとこんな感じ↓

『メール内容がポスト(投稿)されたブログ』≒『ポストブログ』

 

では、このポストブログの仕組みを説明していきます。

ブログを投稿する方法はいくつか存在しますが、メールを使用して投稿する仕組みというものがあります。

はてなブログでもそういった仕組みが存在します。

メールで記事を投稿する - はてなブログ ヘルプ

 

投稿用メールアドレスに投稿したいブログ内容(メールの件名が題名になり、メールの本文がブログ本文に変換されます)を送る方法です。

f:id:mkt_eva:20201218200054p:plain

 

この投稿用メールアドレスが外部に漏れてしまい、フィッシングメールを送りたい攻撃者の手に渡った場合、攻撃者はその投稿用メールアドレスにフィッシングメールを送ってきます。しかし実際はユーザーには届かず、そのままそのメール内容がブログに投稿されてしまうのです。

f:id:mkt_eva:20201218200850p:plain

 

こういったブログを『ポストブログ』と呼んで、僕やねこさん⚡(ΦωΦ)は継続してウオッチしています。

 

ポストブログを見つけたきっかけは数年前にさかのぼります。

当時僕はUrsnif等に感染させるばらまきメールの調査をしていたのですが、その時にふと件名を調べていたらたまたまそういったブログが存在する事を知りました。

当時こんなツイートをしています。↓

f:id:mkt_eva:20201218201633p:plain

(もうすぐ3年くらい経つんですね、時が経つのは早いもんだ)

 

ではこのポストブログ、どうやって見つけ、活用すればいいかを3段階でまとめます。

~①~

まずは不審なメール(ばらまきメールやフィッシングメール)の件名を知る必要があります。知る方法にはいくつかありますが、参考になるのはこちら↓です。

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

これでまずは件名の情報をゲットしましょう。

~②~

①でゲットした件名をインターネット検索するだけです。ホントにそれだけです。

できればフィッシングメールが出回っているタイミングで調べると見つけやすい気がします。出回っているタイミングがわからない場合はフィッシングメールについて発信しているTwitterアカウントをフォローして見ておくといいかも知れません。

~③~

ポストブログを見つけたら見つけた以外に投稿されているブログも確認してみましょう。元々探していたフィッシングメール以外のも投稿しているかもしれません。

そういったブログは継続してウオッチしておくことで、いつどんな内容の不審メールが出回ったかを把握する良い指標になります。

自分の扱いやすいRSSリーダーにポストブログを登録してウオッチする事をオススメします。

ちなみに僕が使っているRSSリーダーはInoreaderです。

 

まとめるとこんな感じです↓

f:id:mkt_eva:20201218202035p:plain

 

Inoreaderではこんな感じでみることができます↓

f:id:mkt_eva:20201218205238p:plain

 

では、皆さんもポストブログを見つけてウオッチしてみてくださいね!!!!

 

と、言いたいところですが、見つけるには少し大変なところがあると思いますので今回は僕とねこさん⚡(ΦωΦ)のInoreaderのフィードを公開します。ご活用ください。

 

▼ねこさんのフィード

不審メール from ばらまきメールウォッチャー on Inoreader

 

▼にゃん☆たくのフィード

フィッシング from にゃんたく on Inoreader

 

さて、ここまでの内容を読んで自分もやってみたい!と思った方も多いのではないでしょうか。(こういう情報を発信してくれるウオッチャーやリサーチャー増えると良いなと本気で思ってるので…)

 

こういった情報を見つけたら次に何をすれば良いか。

見つけた情報を元に、関係する各所に連絡や報告をおこなったり、より深く調査して欲しいと思っています。そういった手順などについてはこちらでよくまとまっていますのでご活用ください。

github.com

am7cinnamon.hatenablog.com

 

今回もココまで読んでいただきありがとうございました。

ではでは!よいお年を!

 

Special Thanks!

ねこさん⚡(ΦωΦ)

 

<更新履歴>
2020/12/18 PM公開