スクウェア·エニックスの名で送られてくるスパムメール「常確認のお願い」
ちょっと前にTwitterでも流しましたが、最近「株式会社スクウェア·エニックス」を騙った迷惑メールが頻繁にくるので、ブログネタにしてしまいます。
スクウェア・エニックス アカウントを取得しているならだまされる可能性があるので、フィッシング詐欺に遭わないために知識を身につけておきましょう。
メールアドレスやリンクURL偽装の見抜き方、フィッシング詐欺の目的について解説していきます。
メールアドレスとURL偽装はカンタンにできる!
まず、実際に送られてくるメールがこちら。数パターンあるようですが、From欄のメールアドレスや本文に記載されているURLは同じものです。
タイトル:アカウント確認のお願い
タイトル:常確認のお願い
個人的に一番気になるのが「何らかの取引」という文言です。アバウトすぎてこわいw
公式サイトでも大きく注意書きされていることから、かなりの数が出回っているんでしょうね。
参考【重要】フィッシング詐欺サイトへ誘導するメールやメッセージにご注意ください
このメールをもう少し詳しく分析してみましょう。
メールのヘッダからわかること
WEBサイトと同じく、メールにも「ソース」があります。メールソフトはこのソースを解析して、人が見る形に整形しています。
ふだん目にすることはありませんが、今回はソースの「ヘッダ」部分に着目。
Gmailの場合、相手先のメールアドレス右側にある▼からソースを見ることができます。
すると、わけのわからない文字列がぐあーっと出てきます。
このうち、冒頭部分(ヘッダ)には「どこから」「誰に」「どんな形式で」メールが送られてきたのか、という情報が記されています。
本当にスクエニからメールがきたの?
メールを見ると、発信元は下記アドレスとなっています。
公式サイトによると、このアドレスは正規のものと同じ。ですが、そう見せかけているだけです。
実はこのヘッダに記されている情報というのはほぼ偽装可能なものばかりで、メールアドレスや発信したサーバー、さらにはメール作成に使用したソフトまで偽装できます。
スクエニを騙ったメールのヘッダには、From欄にこう記述されています。
From: "autoinfo_jp@account.square-enix.com" <autoinfo_jp@account.square-enix.com>
しかーし! Received欄にはこんな記述が…
Received: from wf.net ([123.151.23.198])
Received欄は、「誰から」「誰に」という情報が記されます。From欄の「square-enix.com」と違う時点で、かなり怪しいですね。
もっとちゃんと(?)偽装している迷惑メールは、発信元のサーバーを特定できないようにしていますが、今回は素直に発信者情報を載せています。果たしてスクエニは「wf.net」なんていうドメインを使っているんでしょうか。
横に書かれている「123.151.23.198」という数字はIPアドレスですが、これを検索するとサーバーの場所がわかります。
あれ?中国??
もう怪しさ満点ですね。
スパムメールに関するもう少し詳しい情報はこちらが参考になります。
このようにFrom欄とReceived欄がぜんぜん違う場合は、メーラーが怪しいメールと判断して迷惑メールに分類してくれます。
サーバーが中国だからすべてが怪しいわけではありません。日本国内から発せられているスパムメールもたくさんありますし、巧妙に偽装しているメールもたくさんあります。
本文内のURLを偽装する方法
つづいて、本文でクリックを促しているURLについて調べてみましょう。こちらは下記のように記されています。
これだけならいかにも本物っぽく見えますね。でも、マウスを乗せてブラウザの左下を見てください。
ぜんぜん違うところに飛ばそうとしています!
このカラクリは簡単で、このメールはテキストメールに見せかけていますが、実はHTMLメールなのです。
- HTMLメール
- 本文にHTMLをつかい、WEBサイトと同じようなレイアウトにしたり、画像の埋め込み、フォントカラーやサイズの変更などができる形式のこと。スクリプトも使用できる。
さきほど見たヘッダ情報にもきちんと記されています。
Content-Type: text/html;
HTMLでどうやって偽装するのか詳しい手口は伏せますが、ひと昔まえのアフィリエイトサイトでも多用されていました。公式サイトへのリンクに見せかけて、実はアフィリエイトリンクだった、という。
スパマーの考えることはいつまで経っても変わりませんね。
URLの見た目にだまされないよう、注意してください。
フィッシング phishing 詐欺とは
さて、スクエニの名を使ったスパムメールの目的はわかりません。怖くてクリックしていないのでw ですが、おそらくフィッシング詐欺であると思います。
「フィッシング」と聞くと、「情弱を釣る」=「fishing」と思いがちですが、正しくは「phishing」と書きます。
主に、ユーザーの個人情報を抜き取るのが目的です。
既存サイトのコピーなんて簡単に作れる
フィッシング詐欺被害に遭うと、IDやパスワード、さらには銀行口座やクレジットカード情報が抜き取られる可能性があります。
どうやって盗み取るかというと、既存の公式サイト(今回はスクエニ)とまるっきり同じ偽サイトを作ってユーザーに直接入力させるのです。
つい数ヶ月前にも三菱東京UFJ銀行のユーザーがターゲットとなりましたね。
こういった偽サイトを作るのは簡単です。本物が目の前にあるわけですし、ソースをパクれば誰にでもできます。あとはちょちょいといじって、フォームに入力された英数字を保存するだけ。
当ブログとまるっきり同じデザインにするのだって数秒あれば可能ですし、記事を丸ごとパクるのも専門知識を要しません。
こわいこわい。
フィッシング詐欺被害に遭わないために
わざわざ迷惑メールに分類されたものを拾ってリンクをふむことはないと思いますが、フィルタを潜り抜けて受信トレイにたどりついたメールならついクリックしてしまうかもしれません。
たとえスクエニアカウントを取得していなくても、『あれ、スマホで登録したかな』と思い込む可能性もあります。
詐欺被害に遭わないためにも、下記事項を覚えておきましょう。
- メールやURLが本物かどうか確認する
- リンクをたどらず、検索サイトから該当ページにアクセスする
- ブラウザを最新のものにする
- 詐欺情報が出回っていないか確認する
敵もなかなか巧妙なもので、ブラウザに表示されているURLを偽装することだってあります。そのため、二重三重のチェックが必要となります。
ネット初心者には最初に次の2点を教えておくと、被害をある程度軽減できます。
- 個人情報入力ページは「http」じゃなく「https」が使われる
- 迷惑メールに分類されたものは開かない
いずれにせよ、「インターネットは危険である」という認識が広まらないことには詐欺被害も増える一方です。
とくにスマホに興味を持ち始めたお子さんがいる親の皆さんには、もっとしっかり勉強していただきたいと思います。
同一ID・同一パスワードの使い回しは危険
たとえば、あちこちのサービスサイトで同じID・同じパスワードを使っていませんか?
これはかなり危険な行為で、どこかひとつが破られるとすべてのサービスでログインできることになります。
フィッシング詐欺で抜かれたIDやパスを使ってメールやSNSアカウントに不正ログインされると、そこを踏み台として知らぬ間に自分が加害者になっていることもあります。
一番悪いのは詐欺行為をはたらくスパマーですが、IDやパスワードをきちんと管理していない人にも責任があります。ビジネスアカウントなら会社の信用問題に関わるので、きっちり管理しておきましょう。
まとめ
スクウェア・エニックスの迷惑メールを取り上げましたが、利用者が増えているLINEの名を使ったり、急成長している新サービスの名を使ったりと、スパムメールのバリエーションはたくさんあります。
もう一度言いますが、大切なのは「インターネットは危険である」という認識です。
交通事故と同じで、自分が被害に遭っていない場合は川向こうの出来事としか思えないかもしれません。でも、何かあってからでは遅いので、せめてIDとパスワードの管理と迷惑メール対策はきっちりやっておきましょう。
情報を発信しているブロガーなら、なおさらね。
それでは、また。