『詐欺メール』「通知 : Appleアカウント(参照ID: APP-95089648)に関するご対応のお願い」と、来た件

Appleのドメインは”apple.com

これは昨日届いていたもので少々旬を過ぎていると思いますが、Appleの名を騙った
フィッシング詐欺メールです。

あまり上手ではない日本語を使い、Appleアカウントがロックされているのでリンクへ
ログインしロックを解除しろと言った内容です。

では、このメールをプロパティーから見ていきましょう。

件名は
「[spam] 通知 : Appleアカウント(参照ID: APP-95089648)に関するご対応のお願い」
ご丁寧に通し番号なで付けられているこの怪しげな件名。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類だと分かります。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Apple" <CS.Support@mail-1gp45y7fkyjk9olpccmdei.world.co.jp>」
使われているドメインは”world.co.jp”
Appleは”apple.com”というドメインを持っています。
なのにそれを使わなず別のドメインのメールアドレスからメールを送るはずがありません。
もっとも、このメールアドレスも偽装しているかも知れませんよ！

メールアドレスは偽装されていた

では、このアドレスが差出人のものかどうかヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、メールアドレスにあった”world.co.jp”というドメインを割当てているIPアドレスを
確認し”Received”にあるIPアドレスと比較してみます。

”www.”を付加するとIPアドレスが出やすいので敢えて付加しています。
出てきたIPアドレスは”111.64.92.182”です。
”Received”にあったIPアドレスは”137.184.70.110”と全く異なるのでこの差出人は
嘘の偽装メールアドレスを記載しこのメールを送ってきたことが判明しました。

今度は”smtp.cojpic.com”ってドメインに割当てているIPアドレスを確認してみると…

表示されているIPアドレスは”137.184.70.110”
”Received”にあったIPアドレス”137.184.70.110”と同じですよね？
ということは、この差出人の本当のドメインは”smtp.cojpic.com”と言うことになります。
そしてこのIPアドレスは、現在どうやらアメリカで使われているようです。

「親愛なる」から始まるメールは気を付けて！

では、引き続き本文を見ていきます。

「親愛なる」から始まるこのメール、さも翻訳されたみたいでしょ？
その他にも笑ちゃうような箇所も数点…
このメールはきっと、別の国のお方が作り機械的に翻訳されたものだと思われます。

で、リンク先はこれまた長いURLのサイトです。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみました。

このようにサイトの安全性は「危険」とされています。
そのカテゴリーは「詐欺サイト」と書かれているように、既に周知済みのようです。

どんなサイトかと思って、安全な方法でリンク先へ行ってみましたが、もう既に旬を
過ぎていて、接続はできませんでした。

このサイトで使われているドメインは”ispdns0.live”
調べてみると、このドメインも既に捨てられているようで検索対象外となっていました。

まとめ

詐欺サイトは、生きていればAppleの偽のログインページが表示されてものと思われます。
まず、このようなメールが届いたら必ず差出人のメールアドレスを確認すること。
そしてリンク先サイトのURLも開く前に必ず確認すること。
この２つさえしっかり押さえておけば被害に遭うことは防げます。
覚えておいてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;