『詐欺メール』『Appleサポートセンターより、重要なお知らせです』と、来た件

2024年12月12日

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. Appleが中国のドメインでユーザーにメールを？！
2. Apple IDはApple Accountとなりましたよ
3. まとめ

Appleが中国のドメインでユーザーにメールを？！

いつもご覧くださりありがとうございます！

先日来 Apple や iCloud の名を借り『サブスクリプション料金の改定』や『サブスクリプションの有効期限がまもなく終了します』とサブスク関連の内容を騙るフィッシング詐欺メールが多く見られますが、今度は不正アクセスが行われていないかを確認するように促すメールが届きました。

件名：[spam] Appleサポートセンターより、重要なお知らせです
送信者：iCloud <apple-topot.ductitious-bibwalletic.algibility@service.e2758.cn>近日、一部のAppleアカウントにおいて、不正アクセスの疑いが報告されております。アカウントの安全を最優先に考え、お客様のアカウントが関与していないか、定期的にセキュリティ確認を行っていただくことを強く推奨いたします。お手数ですが、次の手順に従い、アカウントのセキュリティを確保してください：

Apple Storeにサインイン

Appleアカウントから一時ログアウトを行います。
公式のApple ID管理ページにて、パスワードの更新を行ってください。

新しいパスワードで再ログインを行ってください。万が一、ログインやパスワード変更に関して問題や疑問が生じた場合は、公式サポートまでお問い合わせください。皆様の安全と利便性のための措置としてご理解賜りますよう、お願い申し上げます。

Appleサポートセンター

Appleサポートセンターからだとするこのメールはもちろん詐欺師からのもの。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”service.e2758.cn”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに末尾が『.cn』なのでこのドメインは中国のもの。
米国企業のAppleがわざわざ中国のドメインを使ったメールアドレスでこのようなセキュリティーに関するメールをユーザーに送るなんてあり得ないことは誰が考えても分かるはずです。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from service.e2758.cn (unknown [103.252.117.152])

このドメインの持ち主や割当てているIPアドレスを確認してみましょう。
こちらが『Grupo』さんで取得した”service.e2758.cn”に関する情報です。

このドメインを割当てているIPアドレスとReceivedフィールドのIPアドレスは完全に合致しているので持ち主間違いなく送信者のもの。
そしてその持ち主の氏名は当用漢字に無い漢字3文字が利用されたもで申請は中国のレジストラを介して行われていました。
このIPアドレスからメールの発信地を導き出してみると、香港油尖旺区にある繁華街『旺角(Mong Kok)』付近であることが分かりました。
そして更にこのIPアドレスは既に危険なものとして周知されているようで『サイバーアタックの攻撃元』としてブラックリストに登録済でした。

Apple IDはApple Accountとなりましたよ

さて、詐欺サイトのリンクは本文の『Apple Storeにサインイン』と書かれた部分に付けられていますが、あれ？『Appleアカウント』を確認するのにどうして『Apple Store』にサインインする必要があるのでしょうか？💦
まあそんあことは良いとして、その詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://icloud.apple-seaier.shaltgs.cn/account_int/】
(直リンク防止のため一部の文字を変更してあります)
これまた『.cn』なので中国のドメインで、もちろんAppleのドメインではありません。

先程と同様に『Grupo』さんでこのドメインの情報を取得してみます。

やはり中国の方が中国のレジストラを介して取得しているドメインのようですね。
この割当てているIPアドレスからそのロケーション地域を調べると、詐欺サイトでありがちな『東京都杉並区和泉２丁目』付近であることが分かりました。

リンクを辿ってみると、一旦はGoogleとウイルスバスターにブロックされましたが解除して先に進むとこのようなページが開きました。

Apple ID と書かれているログインページですね。
本物をコピって作られたものなのでしょうが、残念ながら本物とは若干異なりますね。
本物のログインページがこちら。

2024年9月に『Apple ID』は廃止され『Apple Account』に移行しました。
故にログインページに『Apple ID』と書かれているはずがありません。
ただそんなことはニュースで扱ってもなく誰もが知っている訳でもないので普通の方はコロっと騙されてしまいますよね。
ここにログインしてしまうとその情報は詐欺犯に把握され不正ログインが可能となりますので要注意です。