メールアドレスとパスワードのセットでハッキングしたというメール

先日、メールの件名に自分が使っているパスワードが入ったスパムメールが送られてきました。今でも毎日送られてきていますが、また違ったタイプのメールとなっています。

件名は「Your Account Was Hacked!」や「Account Issue」となり、メールアドレスとパスワードが本文に書かれており、システムをハッキングしたと書かれています。

前回のメールよりも具体的な日付(○月○日~△月△日までにハッキングした)などという事も書かれており、普通にびっくりするような内容です。

ちょっと驚くのが、前回のメールアドレスと異なるアドレスが使われていること。パスワードは前回と同じく適当に作るアカウント用のパスワードです。やはり、どこかでメールアドレスとパスワードのセットが盗まれているのかなと思いました。

実は、このメールアドレス、パスワードのセットは、かなり古くに登録したFacebookのメールアドレスとパスワードのセットでした。また、前回のメールアドレスとパスワードのセットも、同じく初期のFacebookで使っていた情報でした。さすがにFacebookのアカウント情報で適当に作るアカウント用のパスワードはまずいわけで、数年前に適当に作るアカウント用のパスワードは使っていません。

2018年9月にもFacebookでハッキングもあり、4月にも数千万人規模で情報流出しています。Facebookでは、何度かアカウントの被害が報告されていますが、今回のメールの元がFacebookから漏洩した情報という事は確認できません。他のサイトから漏洩した可能性もありますが、このようなメールが届いても無視するのが一番でしょう。

なお、メールにはビットコインを支払えという内容です。ポイントサイトなどのアカウントでリスト型攻撃するよりも、ビットコインを要求した方が効率が良いのかもしれません。

WordPressのxmlrpc.phpを停止する 高負荷状態を回避

WordPressを使っているサイトのログに

[error] server reached MaxClients setting, consider raising the MaxClients setting

と表示が現れ、高負荷状態でサーバがダウン。エラーメッセージで検索すると、MaxClientsの値を上げれば良いと書かれていますが、負荷が高いのであればMaxClientsの値を上げても意味がありません。

色々ログを調べてみると、WordPressのxmlrpc.phpに対する攻撃が原因のようでした。

xmlrpc.phpはリモートで投稿する時に使う機能ですが、使う事がないため、全てのサイトでxmlrpc.phpを無効にしました。

ちなみに、xmlrpc.phpを削除してもアップデートの時に復活するようですので、.htaccessやNginxで無効に設定します。

■Apacheの場合

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

■Nginxの場合

location ~* /xmlrpc.php {
deny all;
}

これで、今回の高負荷状態は避けられました。

WordPressのチューニングでwp-cron.phpを手動実行する時の注意点

以前、WordPressの負荷が上がっており、様々なチューニングをしました。

まず、サーバのチューニングでOPcacheを有効化。続いて、W3 Total Cacheをインストールします。ページがキャッシュされて高速になります。

また、wp-cron.phpを手動で更新するように設定。wp-config.phpの一番上に

define (‘DISABLE_WP_CRON’, ‘true’);

を記述します。次に、定期的な実行を行うためにcrontabでwp-cron.phpを実行するようにします。このwp-cron.phpはサイトにアクセスがあるたびに実行されるため、それなりにアクセスがあるサイトの場合は負荷が高くなります。

  1. OPcacheでPHPファイルの高速化
  2. W3 Total Cacheのプラグインでページやオブジェクトなどのキャッシュ化
  3. wp-cron.phpを定期的に実行

これで安定した運用ができていました。

続きを読む

天井の埋め込みスピーカーとAmazon Echoを繋げてみた

筆者の家には新築時に設置したBOSEの埋め込みスピーカーが設置されています。今まではCDやラジオを聞く程度でしたが、先日購入したAmazon Echoを繋げてみることにしました。

Amazon Echoを設定する時にBluetoothスピーカーの接続について聞かれていたのでBluetoothスピーカーがあれば接続できることがわかりました。ただ、天井埋め込みスピーカーはBluetooth接続のスピーカーではありません。

どうやって接続するかを考えた所、Bluetoothアンプを購入しアンプとスピーカー(スピーカーを接続しているアンプ)を繋げることにしました。

続きを読む

Insta360 Nanoをケースを付けたiPhoneで使う方法

ちょっと、実験を兼ねて360度の動画撮影をするためにInsta360 Nanoを購入しました。iPhoneに接続すると360度の動画を撮影することが可能です。

ただし、Insta360 NanoはiPhone 7に直接挿す必要があり、保護ケースを付けていると接続できません。

先日、保護ケース無しでiPhone 7を落として、画面がバキバキになりましたので、保護ケースを外して使う気にもなれずに、延長コードがないか検索しました。

続きを読む

Chromeの「このページは動作していません」 ERR_BLOCKED_BY_XSS_AUDITOR のエラー原因

本日、Chromeで管理しているサイトの更新作業を行っていた所、見慣れないエラーが表示されました。

このページは動作していません

このページで通常と異なるコードを検出したため、個人情報(例: パスワード、電話番号、クレジット カード番号)を保護するために、ページをブロックしました。
サイトのホームページにアクセスしてみてください。
ERR_BLOCKED_BY_XSS_AUDITOR

続きを読む

書留・簡易書留の差出票の記入が不要になった!

書留や簡易書留などでよくわからなかったのが「差出票」を書く必要があることです。

差出票を書くと、控えをもらって、追跡番号で相手が受け取ったのか確認することができます。

先日、子供の書類を書留で送った所、差出票の記入をせずに受け付けてくれました。

郵便局の方が忘れたわけではなく、不要となったようです。

続きを読む

しばらく見ていなかったらWordPressがハッキング…

こちらのブログをしばらく更新していませんでした。WordPressが4.7.1から4.7.2となり、他サイトのWordPressの更新をしていた所、こちらのWordPressの更新を見ると「Hacked By GeNErAL」の投稿が。

おそらくWordPressのバージョン更新していなかった事が原因で、なりすましの投稿が行われたのでしょう。

早速、パスワードの変更、自動更新の設定を行いました。

Viber、国内の携帯電話・固定電話への有料通話サービス「Viber Out」を無料提供するトライアルを開始 楽天モバイルで使ってみた

Viber、国内の携帯電話・固定電話への有料通話サービス「Viber Out」を無料提供するトライアルを開始 楽天モバイルで使ってみた楽天のメッセージングアプリ「Viber(バイバー)」は固定電話や携帯電話への有料通話サービス「Viber Out」の通話料金を2016年8月8日(月)から無料にするトライアルを開始しました。

通常、メッセンジャー同士の通話については無料となりますが、携帯電話や固定電話への通話を無料にする取り組みは非常に珍しいです。

元々ドコモのカケホーダイを使っているため、ケータイからの通話はドコモのケータイを使っていましたが、なんと旅行中に液晶が割れ、画面を見られなくなってしまいました。

続きを読む

偽装メールに要注意! 金融機関からの添付ファイルは開かない リンク先も良く確認

三井住友銀行の迷惑メール最近、クレジットカード会社や銀行を装うフィッシングメールが多いですが、本日届いた偽装メールは非常に巧妙でしたので注意のために紹介したいと思います。

「【三井住友銀行】振込受付完了のお知らせ」という件名のメールが届きました。私も三井住友銀行の口座を保有していますが、登録した覚えのないメールアドレスに届いています。

振り込みした覚えもないため、色々と確認してみましたが、マウスオーバーで、リンクは全て三井住友銀行のドメインになっていることを確認しました。

続きを読む