【NTT西日本】◆重要◆ の件名で送られてくるスパムメールにご注意を
5ヶ月ほど前にご紹介した「スクエニからやってくる迷惑メール」はいったん沈静化したものの、最近になってまた活動を始めたようです。
毎日検索サイトから多くの方が訪れていますので、怪しいメールは検索するというのが定着しつつあるのかなーと思います。なかには疑いもしない方がいらっしゃるかもしれませんが…。
で、先日 NTT西日本を騙ったスパムメールが届きましたので、いろいろ調べてみました。
Gmail に届いていた一通の迷惑メール
問い合わせメールがたまに迷惑メールに振り分けられているのでチェックしていたところ、こいつが潜んでおりました。
NTT西日本から ◆重要◆ なメールらしいです。僕、東日本なんですけど。
ちなみに、「常確認のお願い」メールもちゃんときていますw
開けてみると、こんな感じ。
Gmail を利用していれば警告メッセージが表示されているはずなので、おそらくアクセスするのは僕のような興味本位の人間だけと思います。その他のフリーメールやプロバイダメールだと、疑いもなくアクセスするかもしれません。
迷惑メール内の URL はこのようになっています。
http://www.clube-ntt-west.com/cn-w/auth/
本物はこちら。
https://www.club-ntt-west.com/cn-w/auth/
比べてみると「clube(スパム)」と「club(本物)」の違いがわかりますが、スパムメールだけだとわかりづらいですね。
「http」と「https」の違いも覚えておきましょう。フォームになんらかの情報を入力する場合は、「https」でなければ情報を抜き取られる可能性があります。
送信元は博信白石さん?
送信元のメールアドレスは、9fv34u@bma.biglobe.ne.jp となっています。
このアドレスを見てみると Google+ の「博信白石」さんにたどりつきます。残念ながら詳細なプロフィールは公開されていませんが、どうやら男性らしい。
複数のあて先が設定されていることから、リストを小分けして送信していると思われます。手作業じゃやってられないので、CSV でも作って専用ツールに放り込んで自動化しているんでしょう。
白石博信さんが実在する人物なのか不明ですが、検索すると Twitter アカウントもありました。メールアドレスと同じアカウント名なので間違いないはず。
9fv34u ってどういう意味なのでしょう。
残念ながら最近は活動しておられないようです。まあ、フォロワー3じゃやる気もなくしますよね。ツイート内のサイトも今は消えているようです。
フォロワーのなかにセブンイレブン長野若里店(@wakasato711)がありますが、この近くに棲息しているんでしょうか。
NTT西日本のサイトとフィッシングサイトを比較
では、メール内の偽 URL にアクセスしてみましょう。
あら、ブラウザ(Firefox)でブロックされてしまいました。
このままじゃネタにならないので、無視www
改めてアクセスしてみると、こんな画面が出てきました。
下が本物のNTT西日本のサイト。
本物にはパスワード強度のインジケータがありますが、フィッシングサイトにはありません。抜き取るのが目的だから強度も何も関係ないってことでしょうか。
それ以外はほぼ全パクリ。
HTML の差分を調べられる Diff Checker で両サイトのソースを比べてみましたが、パスワード部分や細かな部分を除けば完全に一致。
会員規約ページは404?
リンク先ページを作るのは面倒だったのか、こちらもほぼ本物サイトと同じです。
唯一違うのが、フッターメニューにある「会員規約」へのリンク。フィッシングサイトでは、「clube」ドメインへリンクしています。
何が書かれているのかドキドキしながらクリックしてみたら…
中国語?
かろうじて判読できる3ケタの数字から、おそらく 404 ページであろうと推測できます(一応ググってみたら、Yahoo! 知恵袋がヒットしました。やっぱり 404 のようです)。
当たり前ですが、本物のサイトはきちんと会員規約が表示されます。
作り忘れたのか、置換を間違えたのか。いずれにせよ中途半端な仕事です。
まとめ
フィッシングサイトの目的は、個人情報を抜き取ることです。
ID やパスワード、クレジットカード番号などを送信する場合は、そこが本物のサイトであるか十分確認してから行ってください。
ちなみに、リンクを踏んだりサイトを開くだけで悪質なウィルスに感染することがあります。迷惑メールは開かないのが無難ですね。どうしても気になるなら、タイトルや送信元を検索してからにしましょう。
それでは、また。