サイトアイコン HEARTLAND

『詐欺メール』『Apple IDアクティビティ確認のお知らせ』と、来た件

日本語が苦手なメール
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

何時からAmazonはAppleのメールを代行するようになったの?

AppleからAmazon名義のアドレスでメールが届きました。
そのメールがこちらですが、どう見てもメールアドレスのドメインがAmazonの公式なものになっています。

もしかしてAmazonはAppleのメール配信代行まで商売にしたのでしょうか?
それに、このメールアドレスのアカウント部分(@より前)に私のメールアドレスのアカウントが
埋め込まれているではありませんか。
このメールどう見ても胡散臭いですよね。

更に本文にはおかしな日本語の表現があるのに気が付きました。
それはこのくだりにあります。

近日中に、お客様のApple IDに関連する非標準的な動きを確認いたしました。』

近日中に…確認いたしました??
近日中って今から数日のうちや近いうちって意味だから未来のことを表現する言葉。
でもこのくだりは『確認いたしました』なので明らかに過去のことを表しています。
それに『非標準的な動き』なんて表現もあまり使わない言葉です。
これはどうやら差出人は日本語が不得手な輩ってぽいですね!

ってなわけでこのメールはもちろん悪意を持った詐欺メールです。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] Apple IDアクティビティ確認のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”Apple” <reader-****@amazon.co.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

amazon.co.jp”は、ご承知の通りAmazonの公式ドメイン。
まさかAmazonがAppleのメール代行なんてするわけも無いので真っ赤なウソです!


詐欺メールを立証

当然差出人のメールアドレスのドメインは”amazon.co.jp”ではありません。
でもそれじゃつまらないので、いつもの通りこのメールが悪意のあるメールであることを立証して
いこうではありませんか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from VM-4-9-centos.localdomain (unknown [43.130.49.187])』

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーに割当てられたもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”amazon.co.jp”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”amazon.co.jp”を割当てているIPアドレスの情報です。
これによると”52.119.161.5”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”amazon.co.jp”ではありません。
これでアドレスの偽装は確定です!

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字”43.130.49.187”は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、広東省深圳市に本拠を置く中国『Shenzhen Tencent Computer Systems Company Limited』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、アメリカの『サンタクララ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。


サイトは既に閉鎖された模様

では引き続き本文。

Apple製品の日常利用に感謝申し上げます。

近日中に、お客様のApple IDに関連する非標準的な動きを確認いたしました。この種の行動は潜在的なセキュリティリスクを示唆する可能性があり、お客様の情報の保護を最優先と考え、一時的にアカウントへのアクセスを制限しました。

推奨される次のステップ:

Apple IDにサインイン
使用中のデバイスすべてでApple IDを一時的にログアウト。
Appleの公式ページを利用して、新しいパスワードを確立。
新たな情報を使って、再度アカウントへログイン。
何か疑問や困難があれば、私たちのサポートへお気軽にお問い合わせください。

皆様のセキュリティを守るための措置ですので、ご協力とご理解のほどお願い申し上げます。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『Apple IDにサインイン』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”sdfgy6r6.mefound.com
このドメインを割当てているIPアドレスの情報を取得してみます。

どうやらこのドメインは現在どのIPアドレスにも割り当てが行われていないようです。
当然リンク先サイトは『Nop Found』で表示するページがありませんと返されました。


まとめ

取敢えず今のところはリンク先が存在しないので被害も出ないでしょう。
でも、IPアドレスさえ割当てればこのURLでの活動はいつでも復活することができますので要注意!
不意のAppleからのメールにはお気を付けください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了