2021年12月15日

「パスワード付き圧縮ファイルは詐欺だと思って」海外からの仕事依頼でファイルをダウンロードしたらTwitterを乗っ取られた

相手の素性をよく調べることと知らない人からのファイルはダウンロードしない方が良いんだなぁ
238
くろつき@本アカ無事取り戻せました @kuromuu_2

【拡散希望】 僕のTwitterアカウントが乗っ取られました。 直前に覚えのないメールアドレス変更がありましたが、2段階認証も設定しており、経緯は現在Twitter社に確認中です。 現在乗っ取ったアカウントにて下記の固定ツイートをしているようです。 絶対にクリックしないでください! pic.twitter.com/b2exT4i4kP

2021-12-15 04:27:22
拡大
くろつき@本アカ無事取り戻せました @kuromuu_2

簡単な経緯の推測 ・海外からイラストの依頼あり ・資料をrar形式(圧縮ファイルの一種)で送られてきて、ダウンロード→解凍 ・約1時間後、Twitterのメールアドレス変更の通知が来る ・念の為再度2段階認証を設定し直し ・直後乗っ取り&メタマスク内も全部抜かれる 恐らくPCがやられた可能性

2021-12-15 05:07:17
くろつき@本アカ無事取り戻せました @kuromuu_2

今回、TwitterのDMではなく、お仕事用のG-mail経由でやられた可能性が高いです。 ・お仕事の依頼 ↓ ・資料を圧縮ファイルで受領 ↓ ・ストレージからダウンロードし解凍&記載のパスでファイル閲覧 これで中見抜かれる系か類するウイルスでPC抜かれたものと思われます。

2021-12-15 07:34:12
きよみどす @kiyomidosu

@kuromuu_2 怖い!!😵‍💫😵‍💫😵‍💫😵‍💫😵‍💫

2021-12-15 10:35:55
モリ@反出生主義 @mr1aan

@kuromuu_2 うわぁこれは引っかかってしまいますよねぇ…

2021-12-15 10:20:45
🐵MONK🐷 @MICHIKUSA_UN

圧縮ファイルに対するウイルスの懸念って昔に比べて皆なくなったよなぁ twitter.com/kuromuu_2/stat…

2021-12-15 11:39:44
Hayatti.nft @ はやっち @HayattiQ

いわゆる標的型攻撃というやつですね。 かなり注意深く見ないとやられてしまいそうです。 twitter.com/kuromuu_2/stat…

2021-12-15 10:05:23
まーくん @maakun_mixiname

@himono_vtuber rarはウィルスの可能性もあるので、 注意が必要ですよね😢😭 でも、見極めるのが非常に大変です。

2021-12-15 11:31:58
やす@暗号通貨 @yas_crypto

このフィッシングはかなり怖い… NFTで稼いだアーティストを集中的に狙ったやり方か… もちろん、ホワリスの為にメールアドレス流してる人も多いので、アーティストでなくても注意しないと。 twitter.com/kuromuu_2/stat…

2021-12-15 11:45:26
Cheena 🕵️ @cheenanet

これはなかなか厳しいケースだけど、これからどんどん出てくると思う twitter.com/kuromuu_2/stat…

2021-12-15 11:29:17
クマちゃん2号🌲🍙😈🌽🌿🍎⚓️🍃 @dsyaki

@kuromuu_2 大変な目に遭われましたね、ひどい話です。 ウイルスチェック用のソフトは使われてましたか? 無料体験版のウイルスソフトもありますので、 ウイルスバスターやESETで無料体験版を 導入した方が良いと思います。 他の方もおっしゃていますが、オンライン状態を 維持することが最も危険です。

2021-12-15 10:53:21
kr-tukimi @kr_tukimi

@dsyaki @kuromuu_2 実はパスワード付きの圧縮ファイルは ウイルス対策ソフトでもウイルスチェックできないものもあります。 一番良いのはパスワード付き圧縮ファイルはまず「詐欺」と考えるのが手っ取り早いでしょう。 business.ntt-east.co.jp/content/cowork…

2021-12-15 11:59:32
くろつき@本アカ無事取り戻せました @kuromuu_2

しかし圧縮ファイルダウンロードして解凍したらPCの中身全て丸見えになる ……とか可能なのでしょうか? twitter.com/kuromuu_2/stat…

2021-12-15 05:22:21
イヘコ | IHEKO @NFTSHOSHINSEA

@kuromuu_2 心中お察しいたしますと共に被害が最小限に抑えられる事を祈っております。 ファイルを開いた後、何かしらIDやパスワードを打ち込んだ事があるとしたら十分にあり得ます。

2021-12-15 05:26:59
くろつき@本アカ無事取り戻せました @kuromuu_2

@NFTSHOSHINSEA 恐縮です… パスワードは向こうから送られてきたファイルをダウロードするためのパス入力しただけで、 Twitterなどのパスワードは入力してないです。

2021-12-15 05:30:04
イヘコ | IHEKO @NFTSHOSHINSEA

@kuromuu_2 なるほどです、、 となるとかなり厄介かもしれません。 開いたファイルがwordだった場合はおそらくIcedIDの可能性が高いです。 それであればとにかく今はログイン出来るものにログインしてパスワードを変えたりするしか方法はないです。 無責任で申し訳ないのですが諦めずに続けてください!

2021-12-15 06:28:39
イヘコ | IHEKO @NFTSHOSHINSEA

詐欺とウイルスは似て非なるものです。 わからんファイルをDLしてウォレットから抜かれた等あればそれは「詐欺られた」ではなくパソコンがウイルスに感染している状態です。まず1番最初にパソコンをオフラインにしてください。 確認方法は引用させてもらいます。 nri-secure.co.jp/blog/explainin…

2021-12-15 08:03:00
リンク www.nri-secure.co.jp 【検証】マルウェア「IcedID」の検知傾向と感染に至るプロセスを徹底解説 NRIセキュアのセキュリティ・オペレーション・センターでは、10月下旬より「IcedID」と呼ばれるマルウェアの感染被害を検知しております。本記事では、この「IcedID」の傾向と感染に至るまでのプロセスを解説します。 23 users 80

古い解凍ソフトには脆弱性がある

Siroい越前 @shirochaaaaaa

去年Windows Defenderがrarをスキャンしてないと話題になってたな twitter.com/kuromuu_2/stat…

2021-12-15 11:08:15
えがつ @egatukiriya

解凍ソフトに脆弱性があると解凍だけでやられるから、古い解凍ソフトを使うべきでない、という話を聞いたことあります。 依頼の資料とかはクラウドのここに入れてください、とかにすべきなんですかね。 twitter.com/kuromuu_2/stat…

2021-12-15 06:42:13
Shinji Esaki @snj_esk

@kuromuu_2 はじめまして。 もしRARファイルの解凍にWinRARを使用されているようでしたら、「WinRAR 脆弱性」で検索してみてください。 旧バージョンには脆弱性があるようです。 お約束ですが...at your own risk でお願いたします。

2021-12-15 11:30:14
残りを読む(28)

コメント

朧_海月◆aQDqc/krOg&るるいえ@MHW @Oboro_rlyeh 2021年12月15日
こういうの見ると、信頼出来る代理人や会社の必要性を感じるなぁ。 フリーランスって格好良く見えるのかもだけど、こういう時や仕事的に危ない時に誰も守ってくれないし。
90
ころろ @bnedyaahyE 2021年12月15日
失言で炎上してないのにアカウントが乗っ取られた人の貴重な生態
130
はせ @hakase_D 2021年12月15日
「中身抜かれる」とか「記載のパスでファイル閲覧」とか こなれてる感じ書いてるけど状況が掴みにくいなー
19
くおんみどり🖖Master_Asia 作品集単行本発売中&楽曲配信中 @midorik 2021年12月15日
こういうパターン、海外案件だと仲介かまさないと怖いよね。とはいえ、零細は金ないからなぁ。防御の手が打てない。
40
たろす @gh15336 2021年12月15日
rar には確かに展開先を任意の場所にさせる脆弱性があって(2019年修正済)、それを使えば悪意ある実行ファイルを実行させることは可能。だが状況的にそこまで持って行けたなら Twitter よりももっとクリティカルな情報を狙うだろうから、偶々時期が重なっただけの可能性が。(VirusTotalあたりに検体投げてみて欲しい)
13
OHK @oyamahirok 2021年12月15日
「中見抜かれる」で(エッ"中"を"見抜かれ"たの…?)って思ってしまいました。ネットからは圧縮ファイルやPDF、スプレッドシートの類はダウンロードせず、一旦ウェブサービス上でプレビューするといいと思います。
4
アルビレオ@炙りカルビ @albireo_B 2021年12月15日
gh15336 「ダウンロードし解凍&記載のパスでファイル閲覧」とあるので、展開よりも閲覧がトリガーになった可能性が高そうです
46
ほねなしマルシー @mkd_light 2021年12月15日
正しくは「PCがマルウェアに感染した結果Twitterのログイン情報も奪われた」ってとこだろうけれど本当に解凍以外してない?
35
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 2021年12月15日
同じマシンでメールを受け取るとか狂気の沙汰に見えるけど性善説の世界観ではまあそうよなぁと
0
RAIYA@提督 @RAIYASB 2021年12月15日
Windowsディフェンダーも動いてなかった?ウイルス対策ソフトは最新かどうかも重要、サブスク更新し忘れで最新の定義ファイル落とせてないとかも往々にして有るしなぁ
0
たろす @gh15336 2021年12月15日
albireo_B ご指摘感謝です。ファイル閲覧ならそれがトリガでしょうね……。となるとパスワード付きかも圧縮ファイルかも関係ないような。他の方の指摘の通り、WEBサービスでのプレビューが最適解ですかね。
4
RAIYA@提督 @RAIYASB 2021年12月15日
あと解凍ソフト何を使ってたかも重要、変なところ使ってると解凍時にコードが実行される脆弱性が直ってないこともある
1
RAIYA@提督 @RAIYASB 2021年12月15日
albireo_B 確かにこれは気になる、回答するときにパスワード使ったのと、解凍後のファイルでパスワード使ったでは話が変わる
1
ベー@TREK @TREK_mireniam 2021年12月15日
私用、仕事問わずにメールに添付ファイルはリスクでしかない。SherePointなら安全か?っていわれるとうーんってわけですが
0
ロセ @Cerro0405 2021年12月15日
「ご確認ください.zip                  .exe」とかだった予感
53
ジミー加藤(フルモデルナ+ファイザー) @KATOHSAMANOSUKE 2021年12月15日
外部からの圧縮ファイルは圧縮の形式に関係なく開く前にファイルの中身覗いて何が圧縮されてるかを見るのが鉄則だったんだけど若い人はそこまでやらんのかな?
1
ぱるむ @hal3589 2021年12月15日
見たことあるアイコンだと思ったらフォトバッシュで背景描く技法の講座やってた人か
0
hoyohoyo4545💉💉💉 @hoyohoyo4545 2021年12月15日
信頼している先以外の圧縮ファイルはまずウイルススキャン掛けるなぁ… ウイルスソフトも通過するタイプだとどうしようもないが…
0
おねむ @onemu1846 2021年12月15日
行政ですらPPAP廃止に動いてるし、圧縮ファイルを使わないとかクラウドストレージでの共有とか進めて、そうでない物は一切開かない対応しないってしてかんとなぁ…
0
アオカビさん @Penicillium_ch 2021年12月15日
仕事の依頼とかで外部からのファイルを開かないといけないのは辛いな~。もう全部GoogleDrive経由とかのサイトを使ってローカルにファイルを持ち込まないようにしないとダメなのかなぁ。
0
たいばに @qnh2 2021年12月15日
zipを解凍(extract)した「だけ」ではこうならないはず。その直後にファイルに「なにか」したはず。ただやはりパス付ファイルは送受信しちゃいけないんだ。
7
うてん。 @uten00 2021年12月15日
どういう事かと思ったらパスワード付き圧縮ファイルはアプリが開けないから自動検出抜けなのね。そういう使い方されたことはないけど確かに注意はしないといかんわ。
4
うてん。 @uten00 2021年12月15日
昔はexeのついた解凍プログラム付きの圧縮ファイルもあったけどさすがに今はそんなもん使えんよな。
1
うてん。 @uten00 2021年12月15日
今はマクロも悪意のあるコード組み込めるから安全そうに見えるドキュメントや表計算ファイルすら開くだけで危ないとこはある。普通の圧縮ファイルなら中身を見れるアンチウィルスソフトが自動で検出してくれるけどパス付きだと無理だもんな。
3
K3@FGO残5 @K3flick 2021年12月15日
今Gmailはexeやjsファイルは送れないので(圧縮しててもダメ)、古のトラップではなさそうに思う。
1
ばしにぃ @hiro_orso_viola 2021年12月15日
抜かれるとか経緯を分かってるように書いてるけど、根本原因は多分違うと思うよ。
27
zc @R20022003Zc 2021年12月15日
顧客に対するデータをPPAPで送ってくる企業は未だ全然あるから「絶対に開けない」って対策を完全には取れないのが難しいところ。悪しき形式だし、潰えてくれれば早いんだが。
4
あなたのママ @AnatanoMAMAdesu 2021年12月15日
[c9977708] この子ここ最近いろんな記事に現れてはこの言葉だけ発して消えていくのよね。なんなのかしら。なんかの暗黒邪悪呪文?
1
いくら @YamadaIkra 2021年12月15日
暗号化RARなんてWareZ以外で見たことない。あっ、いや、WareZも見たことないです。
6
しろねこたいしょう @sironekotaishow 2021年12月15日
攻撃者が直接ファイルを送ってくるなら、怪しい奴め!って警戒できるかもだけど 攻撃の意図がない依頼者のPCがウイルス感染していてそこから送られたファイルだったりしたら…警戒することもできないな
0
RAIYA@提督 @RAIYASB 2021年12月15日
uten00 リアルタイム検知機能付のウイルス対策ソフト入ってれば解凍時点で弾かれるけどね
7
空家の恵比寿様1968 @ebcdic_ascii 2021年12月15日
やっぱウィルスバスター入れとかないとダメだね(適当)
2
しわ(師走くらげ)@多忙極 @shiwasu_hrpy 2021年12月15日
年々巧妙というか悪知恵の効いたモン増えてるわなぁ…というか最近Twitter中心にいろいろ狙われ過ぎ
1
polyyuji @Ht8HnzLUnruNuXg 2021年12月15日
メタマスク知らない人用に書いておくけど、メタマスクの中身を抜かれたというのは、仮想通貨を抜かれたという意味。 メタマスクは仮想通貨のお財布でを持っているというのは慣れてる人。 日本円でいくら取られたかしらんけど、慣れてる人ならメタマスクに入れておく額は10万以上じゃないかなぁ。
17
結城真@社内秘 @shinokiwa 2021年12月15日
ストレージからダウンロードってあるのでファイル共有サービスの類を経由したのかな?と最初思ったんだけど、どっちなんだろ。
1
ミューオン @myuonmyuon 2021年12月15日
パスワード付き圧縮ファイルは日本企業の公式スタイルなので避けようが…
0
千葉 @chiba_gnbrmn 2021年12月15日
10年以上前のハッキング手段だと思うけど当時を知らない若者が増えてまた主流の手口になったの?
0
未完缶 @citrus_hanayu 2021年12月15日
記載のパスってなんやねん。C:\Windows\System32内で… みたいな感じか?んなわけあるか
1
水上春奈@サウロンの口P @tarlyon 2021年12月15日
メールを開ける・添付ファイルを解凍するのはまぁ良くてトリガーは閲覧(しようとして実行形式のファイルをクリックした)だろうなぁ GmailやGoogleドライブは標準でダウンロード前にウイルスチェックしてくれたと思うが、パスワード付きの圧縮ファイルとかそもそもファイルがでかすぎると「チェックできなかったから自己責任でお願いな」みたいなこと言ってくるはず
6
霧島かなた @twintailcat 2021年12月15日
目新しい攻撃みたいな書き方してるけど古典的な手法だよね‥
7
YF(annex38) @annex_38 2021年12月16日
ただの絵描きがメタマスクなんてものを触るとも思えないのでそっち方面のアタックか
1
嘘吐きは嫌いです。 @ncvlxknvfgdl975 2021年12月16日
アカウントの方見て来て、返信メールが日本語じゃないと心配していたけど。多分それは通報いた時ヘルプページが日本の奴じゃ無かっただけかもしれない…… Twitterは返信メールで外国語ってボクも何度か貰ってるから、そこら辺は心配しなくて良いと思う。ボクのPCが乗っ取られて無ければの話しだけど……
0
すいか @pear00234 2021年12月16日
autorun.inf でも中に入ってたんでないかな?さすがにこの時代に、「暗号化された圧縮ファイルを展開または内容閲覧した」だけで任意コード云々の脆弱性があるとも思えんのだが・・・。
0
実況避難所 @233033shelter 2021年12月16日
怪しいzipファイル、バズった時にリプに湧いてくる出会い系リンク、YouTubeのコメント欄に湧いてる怪しいリンク、これらは全部マルウェアやワンクリック詐欺と思っていい。
2
mmm1969mmm @mmm1969mmm 2021年12月16日
gmailくんは圧縮ファイルでも変なものは割と弾いてくれるイメージだけど、何が入ってたんだろ
0
RGB000 @19666_61 2021年12月16日
rar形式はきな臭いんだよな...zip・7z以外の形式は全部詐欺ぐらいのつもりで居たほうがいい
0
doseisan_ons @doseisan_ons 2021年12月16日
よくよく読んだけどrarが悪いのではなく、そのあと開いたモノが悪いのね…、rarに新しい脆弱性でもあったのかと
9
たけし🐕 @takeshi17922255 2021年12月16日
ぁながのなルーホィテリュキセが体自子張拡はrar
0
Aki @_aki_ 2021年12月16日
これは危険!圧縮ファイル取り扱ってる人は注意だよ!自分もやけど。
0
barubaru @berururururu 2021年12月16日
rarだって書いてるのに、なんでzipコメント多いんだろうか。全部ファミコンって呼ぶおかんみたいなもん?
6
kz14 @kz14 2021年12月16日
パスワード付き圧縮ファイルはウィルススキャンを回避するのに悪用された? 解凍後にドキュメントに偽装した実行ファイルをダブルクリックしてしまったとか
0
しゅら @syurash 2021年12月16日
基本的に今のメールシステムって古い時代に設計されたのをそのまま使ってるからザルだらけで ファイルのやり取りはしたくないな、割と冗談抜きでまだLINEとかで送った方がマシ
0
しゅら @syurash 2021年12月16日
onemu1846 確かにピコ太郎は最近見なくなりましたね、、(オイ)
1
しゅら @syurash 2021年12月16日
https://www.nikkei.com/article/DGXZQOUE071OK0X01C21A1000000/ ランサム攻撃でカルテ暗号化 徳島の病院、インフラ打撃 こんなのもありますからねえ、、意外とセキュリティはガバガバ
0
しゅら @syurash 2021年12月16日
まあ、自分もドジやってデータふっとばしたけど、常時接続より1週間に一度、コールド・ストレージの方がマシな印象
0
RGB000 @19666_61 2021年12月16日
19666_61 今回は普通にファイル名長くて拡張子気づかなかった系か。気をつけよう
0
RAIYA@提督 @RAIYASB 2021年12月16日
ツイート追っかけたところ、解凍後のファイルに書いてあるパスワードを入れるというやらかしを確認、致命打はこれだな 対策は挙動監視やサンドボックス機能付対策ソフト入れる事だな(有料が嫌ならAvast無料版でもOK)
10
ナス大好きおじさん@ナレッジワーカー @nasudaisuki_oji 2021年12月16日
「念の為再度2段階認証を設定し直し」Twitterって2要素認証だから設定されているならモバイル端末も盗まれないと乗っ取り出来ないと思う(あげあし)
0
三好 隆 @miyopee 2021年12月16日
記事読んだら解凍しただけで感染したようだが、WinRARの脆弱性突かれたってそういうことかいと。怖すぎるからちゃんとv5.70以降にWinRARアプデしとけ。てかこの脆弱性明らかになったのと対策されたの、一昨年やんけ。
0
. @shichinan 2021年12月16日
ビジネスでrarを使うとか信じられない。日本でrarを使うのなんてアングラ(死語)くらいかと。
1
名無しさん@c1f @1_z605 2021年12月17日
WinRARなんてやめて7zip使おう
0
三好 隆 @miyopee 2021年12月18日
shichinan 光学メディアへのバックアップにはかなり使えたからね。リカバリレコード付きで分割圧縮できたから。
0