『詐欺メール』『Apple ID のお支払い情報を更新してください』と、来た件

2025年2月20日

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます！

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

件名の見出しを確認
メールアドレスのドメインを確認
宛名を確認
リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今回は、『Apple』に成り済ます不審なメールのご紹介となります。
このところこういった Apple や iCloud を扮する輩の悪意のあるメールが多く届くようになりました。
これも流行り廃りの一端なのでしばらく続くと思われます。
賢明な皆さんは大丈夫だと思いますが、しばらくはご注意ください。
今回のメールにはセキュリティ対策として、アカウント情報の確認と支払い方法の更新が必要になったことを通知しています。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

件名：[spam] Apple ID のお支払い情報を更新してください BX-793091511573
送信者："Apple" <aeon@cneo.jp>

Apple IDに関する重要なお知らせ
お客様のApple IDに関連する最新のセキュリティ対策として、アカウント情報の確認と支払い方法の更新が必要です。

【手続きのご案内】

お客様のアカウントの安全を確保するため、以下の手続きをお願いいたします。

1. Apple公式サイト（h**ps://account.apple.com/sign-in）にアクセスしてください。
2. 現在のApple IDとパスワードを使用してサインインしてください。
3. 画面の指示に従い、クレジットカード情報を更新してください。

【なぜこの手続きが必要なのか？】
Appleでは、お客様のアカウントを安全に保つために、定期的な情報確認を実施しております。確認が完了しない場合、一部のサービスが制限される可能性がございます。

【手続き期限】
この手続きは、2025年02月25日までに完了してください。

何かご不明な点がございましたら、Appleサポートまでお問い合わせください。

Appleサポートチーム

珍しくメール本文に直接『クレジットカード情報を更新』と記載されていますね。
説明によるとその理由は、アカウントの安全を保つため定期的な情報確認が必要と書かれています。
なんかクレジットカードの情報を詐取するための無理やりなこじつけです。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『cneo.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『Apple』が利用するメールアドレスのドメインは『@apple.com』
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

送信者のドメインですが、『ムームードメイン』で空き情報を確認してみると、なんとこのドメインは現在誰にも取得されていない空きドメイン。
999円で即取得できるようですよ！

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from savannahsewingacademy.com (unknown [45.195.8.46])

ここに記載のドメイン『savannahsewingacademy.com』を割当てているIPアドレスとこのReceivedフィールドに記載されているIPアドレスを比較してみましょう。
このドメインに関する詳しい情報を『Grupo』さんで取得してみます。

割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者の本当のメールアドレスはこのドメインが使われたものであることが分かりました。
そしてこの情報が正しければ、このドメインの取得者の所在地は台湾のようです。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、東京都千代田区付近で、このIPアドレスは既にブラックリストに登録されて、そのカテゴリは『サイバーアタックの攻撃元』とされています。

宛名を確認

通常大切なメールの冒頭には『○□△ 様』と言ったように『宛名』が書かれています。
でもこのメールにはその宛名が存在しません。
そりゃそうですよね、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがありません。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのですから。

リンク先のドメインを確認

さて、本文に『Apple』の公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://gifercel.com/account.apple.com/sign-in】
(直リンク防止のため一部の文字を変更してあります)
このURLに Apple の公式ドメインが使われているように見えますが、このURLのドメインは『apple.com』ではなく『gifercel.com』ですのでお間違いなく。

先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。