Appleのドメインは”apple.comこれは昨日届いていたもので少々旬を過ぎていると思いますが、Appleの名を騙った フィッシング詐欺メールです。 あまり上手ではない日本語を使い、Appleアカウントがロックされているのでリンクへ ログインしロックを解除しろと言った内容です。 では、このメールをプロパティーから見ていきましょう。 件名は 「[spam] 通知 : Appleアカウント(参照ID: APP-95089648)に関するご対応のお願い」 ご丁寧に通し番号なで付けられているこの怪しげな件名。 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類だと分かります。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Apple” <CS.Support@mail-1gp45y7fkyjk9olpccmdei.world.co.jp>」 使われているドメインは”world.co.jp” Appleは”apple.com”というドメインを持っています。 なのにそれを使わなず別のドメインのメールアドレスからメールを送るはずがありません。 もっとも、このメールアドレスも偽装しているかも知れませんよ!
メールアドレスは偽装されていたでは、このアドレスが差出人のものかどうかヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<www-data@smtp.cojpic.com>」 もうこの時点で差出人のメールアドレスのドメインとは異なったドメインが 見えてきちゃいましたね。(笑) ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<1645395011-b07143b012f38b6bbfddbae358cae651-8462d45f6daf8e85ad6e9d4ed429abb8-krei@>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from smtp.cojpic.com (smtp.cojpic.com [137.184.70.110])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、メールアドレスにあった”world.co.jp”というドメインを割当てているIPアドレスを 確認し”Received”にあるIPアドレスと比較してみます。 ”www.”を付加するとIPアドレスが出やすいので敢えて付加しています。 出てきたIPアドレスは”111.64.92.182”です。 ”Received”にあったIPアドレスは”137.184.70.110”と全く異なるのでこの差出人は 嘘の偽装メールアドレスを記載しこのメールを送ってきたことが判明しました。 今度は”smtp.cojpic.com”ってドメインに割当てているIPアドレスを確認してみると… 表示されているIPアドレスは”137.184.70.110” ”Received”にあったIPアドレス”137.184.70.110”と同じですよね? ということは、この差出人の本当のドメインは”smtp.cojpic.com”と言うことになります。 そしてこのIPアドレスは、現在どうやらアメリカで使われているようです。
「親愛なる」から始まるメールは気を付けて!では、引き続き本文を見ていきます。 「親愛なる」から始まるこのメール、さも翻訳されたみたいでしょ? その他にも笑ちゃうような箇所も数点… このメールはきっと、別の国のお方が作り機械的に翻訳されたものだと思われます。 で、リンク先はこれまた長いURLのサイトです。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみました。 このようにサイトの安全性は「危険」とされています。 そのカテゴリーは「詐欺サイト」と書かれているように、既に周知済みのようです。 どんなサイトかと思って、安全な方法でリンク先へ行ってみましたが、もう既に旬を 過ぎていて、接続はできませんでした。 このサイトで使われているドメインは”ispdns0.live” 調べてみると、このドメインも既に捨てられているようで検索対象外となっていました。
まとめ詐欺サイトは、生きていればAppleの偽のログインページが表示されてものと思われます。 まず、このようなメールが届いたら必ず差出人のメールアドレスを確認すること。 そしてリンク先サイトのURLも開く前に必ず確認すること。 この2つさえしっかり押さえておけば被害に遭うことは防げます。 覚えておいてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |