『詐欺メール』『Appleサポート』からいくつものメールが届いた件

2025年1月6日

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

件名は異なるものの中身は全部同じ

いつもご覧くださりありがとうございます！

年末年始休暇中に『Appleサポート』を名乗る者から『Appleアカウント』を再認証するよう促すメールがいくつも届いていました。

件名はそれぞれ
『Apple IDへの不正アクセスを防ぐための手続き』
『Apple ID保護のための再認証のお願い』
『Appleアカウントがロックされる可能性があります』
『Appleアカウントの安全性を確保するために』
『Appleアカウントの安全確認のお願い』
『Appleアカウントの認証手続きを48時間以内に完了してください』
『Appleアカウントの認証手続きを完了してください』
『Appleアカウント再認証のお願い』
『Appleアカウント利用制限解除のための手続き』
『Appleアカウント情報を更新してください』

どれも送信者のメールアドレスのドメイン(@より後ろ)は『accounts.nintendo.com』と記載されています。
そして本文の内容もどれも全く同じです。
ではこの中から、代表として一番新鮮そうなこのメールを取り上げて詳しく見ていくことにします。

件名：[spam] Appleアカウント情報を更新してください（メール番号:CF-BL-87402934343）
送信者："Appleサポート" <webmaster-psmbcarfd-Administrator-nnRt@accounts.nintendo.com>
Appleをご利用いただきありがとうございます。システムによる定期的な確認の結果、
お客様のアカウントに再認証が必要であることが判明しました。

【認証手順】

・公式ウェブサイトにアクセスしてください。
・Apple IDでログインします。
・画面に表示される指示に従って必要な手続きを完了してください。

Apple公式サイトにアクセス

【注意事項】
このメールを受信してから48時間以内に認証を完了してください。
認証が完了しない場合、アカウントが一時的に制限される可能性があります。

VAR1: ZXCVBNMASDFG

VAR2: QWERTYUIOP123

VAR3: 4567890qwertz

Generated Timestamp: 2025-01-07

Random Value 8: DXVdgOnk

Random Value 6: MSEc7M

Additional Data: Lorem ipsum dolor sit amet.

Placeholder: MixedContent123456

『システムによる定期的な確認の結果、お客様のアカウントに再認証が必要であることが判明しました』と言うくだりは、それ以外の詐欺メールでもよく使われている常套句。
こんなのを信用していたらきりがありませんよね。
著作権表示以降の『VAR1: ZXCVBNMASDFG』や『VAR2: QWERTYUIOP123』などはよく意味が分かりません…

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

任天堂のドメイン

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”accounts.nintendo.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
もうお分かりかと思いますが、これは任天堂さんのドメインで、最近このドメインは詐欺メールの偽装ドメインで良く使われていて、当然偽のメールアドレスになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from 10-33-5-113.localdomain (unknown [165.154.240.141])

ドメイン”accounts.nintendo.com”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”accounts.nintendo.com”を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”accounts.nintendo.com”を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、最近色々とお騒がせの多い隣国の『ソウル』付近であることが分かりました。

それにこのIPアドレスは既に危険なものとしてブラックリストに登録されています。

『このサイトは安全に接続できません』

さて、本文の『Apple公式サイトにアクセス』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://ghgjyud.sbs/%F0%9D%99%98%F0%9D%99%A4.%F0%9D%99%9F%F0%9D%99%A5】
(直リンク防止のため一部の文字を変更してあります)
これまた『Apple』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、『東京都杉並区』付近であることが分かりました。

リンクを辿ってみると、このようなエラーページが開きました。

『このサイトは安全に接続できません』と書かれています。
『ERR_SSL_PROTOCOL_ERROR』は、サイト側にセキュリティーに問題があるときに表示されるエラーで接続に危険を伴うので遮断されたようです。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;