メールアドレスも社名も違ってる『Apple』を名乗る怪しい輩から以下のようなメールが届きました。 1通にしときゃ良いものをこんなメールが一晩に10通も…(;^_^A それに差出人のメールアドレスは、どこからどう見てもApple社のものではないし、更に末尾の署名が 『アップル株式会社』と書いてありますが、Apple社の正式社名は『アップルジャパン株式会社』です。 社名を間違えるなんて言語道断、絶対にあり得ませんよね?! では、このメールを解体し詳しく見ていきましょう! まずはプロパティーから見ていきましょう。 件名は『[spam] Apple アカウント認証に関する重要なお知らせ』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”ID Apple” <58457d9c7@cefbe40bf.co.jp>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。
空きドメインじゃメール送れませんよ!では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 Received:『from nbvkk.com (unknown [43.163.214.222])』 |
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので すなわち差出人が使った送信サーバーの自局情報です。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”cefbe40bf.co.jp”が差出人本人のものなのかどうかを調べてみます。 『対応するIPアドレスがありません』と書いてありますね。 単にIPアドレスに割当てられていないだけなのか、それともドメイン自体が存在しないのか。 『お名前.com』さんでちょっと調べてみます。 ああ、やっぱり。 このドメイン現在空きドメインで取得可能らしい…(;^_^A ってことでこのメールに使われているドメイン”cefbe40bf.co.jp”は利用できないのでアドレス偽装確定です! ”Received”に記載されているIPアドレス”43.163.214.222”は、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。 地図に立てられたピンの位置は、国内最大の詐欺メール発信地である『杉並区立和泉二丁目公園』付近。 そして送信に利用されたのは、中国の『Shenzhen Tencent Computer Systems Company Limited』と言う プロバイダーです。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
またしても『杉並区立和泉二丁目公園』では引き続き本文。 Appleをご利用いただき誠にありがとうございます。 システムによる定期的なチェックの結果、 お客様のアカウントについて再認証が必要となりました。【認証手順】 当社の公式ウェブサイトにアクセスしてください。 Apple Storeにサインイン 画面に表示される指示に従い、必要な手続きを完了してください。 【注意事項】 このメールを受信してから48時間以内に認証を完了してください。 そうしない場合、お客様のアカウントは一時的に凍結される可能性があります。 敬具 アップル株式会社 |
このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『Apple Storeにサインイン』って書かれたところに付けられていて、 そのリンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。 既にしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”jrvflk.xyz”とApple社のものと全く異なるもの。 このドメインにまつわる情報を取得してみます。 このドメインを割当てているIPアドレスは”43.163.224.138” あれ?このIPアドレスの前から2つ目のセグメントまでメールの”Received”に記載されていたIPアドレス ”43.163.214.222”と同じじゃん。 このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 やっぱりさっきと同じ地図です。 利用されているホスティングサービスも同じ『Shenzhen Tencent Computer Systems Company Limited』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 本物っぽいログインページが開きました。 ここに情報を入力してログインしてしまうと、その情報が詐欺師に流れてしまいます。 そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで 詐取されることでしょう。
まとめ恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |