パスワードを忘れた? アカウント作成
15488650 story
spam

FBIが脆弱性をつかれ、公式ドメインからフェイクメールが大量に配信 9

ストーリー by nagazou
キティちゃん以外は仕事を選んでるはず 部門より
FBIは14日、米国内の法執行機関や刑事司法機関に提供しているFBIのポータルサービスの設定ミスを悪用され、外部から偽メールが配信されてしまったと発表した。この偽メールはポータルサイト「Law Enforcement Enterprise Portal(LEEP)」の脆弱性によるもので、偽の電子メール送信を一時的に許可する設定ミスから@ic.fbi.govで終わる正規のメールアドレスから発信されたとしている(ITmediaKrebs on SecurityPC Watch)。

この偽メールは10万人以上に送信されたとしている。偽メール配信を実行したのは「pompompurin」を語る個人。サンリオキャラクターと同名だが無関係。pompompurinはセキュリティジャーナリストのブライアン・クレブス氏を経由してその手口を明らかにしている。その詳細に関してはKrebs on Securityに掲載された。pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。
  • by zensai (18529) on 2021年11月19日 15時57分 (#4155445)

    pompompurin、つまり穴が見えてるという意味だな!

    ここに返信
  • by Anonymous Coward on 2021年11月19日 16時15分 (#4155457)

    10万通も送る必要なくね?

    ここに返信
    • by Anonymous Coward

      10万人以上とは言っているけど10万通とは言って無くない?
      てことは、ひとり複数の可能性もあるんじゃ。
      #もっと酷い可能性ってだけです。

    • by Anonymous Coward
      隠蔽されないようにってことじゃね
      あとはメール受ける側も当事者意識持てという使命感とか
  • by Anonymous Coward on 2021年11月19日 17時16分 (#4155503)

    何がひどいってKrebsOnSecurityの記事にリンクを張っておきながら

    pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。

    と締めているところがひどい。

    今回送信された偽のメール [twitter.com]はとあるセキュリティ研究者がサイバー攻撃に加担していると主張するもので、
    攻撃者扱いされたセキュリティ研究者のVinny Troia [twitter.com]がこの件を受けて公開した記事 [shadowbyte.com]によると、過去にもPomPompurinを名乗る人物からこのセキュリティ研究者の評判を貶めるような行為(NCMECのサイトに偽の記事を掲載したりetc)が行われていた。

    つまり今回の攻撃は特定のセキュリティ研究者への嫌がらせ(嫌がらせってレベルではないけど)が目的である可能性が高く、

    ひどい脆弱性を指摘するため

    というのは詭弁に過ぎない。

    このコメント [srad.jp]にある

    10万通も送る必要なくね?

    という点も本当の目的が嫌がらせだとしたら説明がつきます。

    ここに返信
    • by Anonymous Coward

      別に酷くはないでしょ。
      記事ではVinny Troia氏に言及しているわけでもないし。

      pompompurinがそう主張しているのは事実。
      ただ、そもそも下種野郎のクラッカーの主張なんざ、真に受ける方がどうかしている。
      かつ、Troia氏の主張が本当に正しいのか、検証されているわけじゃなさそう。
      (確かに疑わしいけど、少々決めつけもあるように感じられる)

      • by Anonymous Coward on 2021年11月19日 18時57分 (#4155590)

        記事ではVinny Troia氏に言及しているわけでもないし。

        どの記事を指しているのかはっきりしませんがKrebsOnSecurityの記事には書いてありますよ。
        仮にスラドの本文のことだとしても、私は本文がVinny Troia氏の名誉毀損をしていると主張しているわけではないので的外れな指摘ですね。

        スラドの本文の問題は、システムの脆弱性を利用し実在の人物の名前を出して悪戯では済まされないような内容のメールをばら撒いたpompompurinの主張のみを掲載し、今回の件を「正義のハッカーがハッキングで脆弱性の存在をを知らせる」といったチープで誤った話に落とし込んでいることです。KrebsOnSecurityの記事へのリンクが無ければ日本の雑なwebメディアを見てそれを真に受けたのかとも思いますが、KrebsOnSecurityの記事の存在を認識しているのであれば、私が#4155503で書いたようなことは容易に把握できたはずです。

        結果として攻撃者側のプロパガンダを一方的に拡散してしまっていることを私は批判しているわけです。(これはITmediaの記事にも言えることですが)

        かつ、Troia氏の主張が本当に正しいのか、検証されているわけじゃなさそう。

        主張が虚偽である可能性もないわけではないですが、名誉毀損メールをばら撒いた人物とそのメールに名前を書かれた人物、どちらの主張を優先して書くべきかは火を見るよりも明らかです。

    • by Anonymous Coward

      ハッカーネームによその知財を使う時点でかなりヤバいやつだってわかるよな

  • by Anonymous Coward on 2021年11月20日 10時58分 (#4155946)

    Gmail のドメインで、 FBI を名乗る人から「金を払わないからお前は捜査対象になった」というメールが来ます。
    こちらは Gmail ではないので、なりすましの通報ができないような気がするんですが良い方法ないですかね。
    わらっちゃうのはいろいろな画像を添付してきて FBI であると信じさせようとしているところです。

    ナイジェリアの手紙の詐欺に引っかかったふりをして指定された口座に送金したかのように画像を作成して送り付けてますw
    お金が到着しないとか文句を言ってくるんですが、「裏切者がいて、そいつが盗んでるんじゃないか」と仲間割れしないかなぁ・・・

    ここに返信
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...