Re:シルの日々の戯言。

折れた心が少しだけくっついたから何かを綴ってみるテスト。

地味に巧妙なAdobeを偽るメールに騙されるところだったので、分かる範囲で調べてみた

先日、楽天を偽るメールを分かる範囲で調べてみました。
sylve.hatenablog.jp

この時は、宛先欄(To:欄)に大量のメールアドレスをぶち込んでいたため容易にアドレス詐称の詐欺メールと判断することが出来ました。
それから数日経った本日、こんなメールが届きました。

f:id:sylvester:20171207201209p:plain

帰宅してThunderbird(メーラー)経由で見ているから「詐欺メール要注意!!!11」と警告を発してくれていますが、残念ながらiPhoneメーラーでは警告が表示されることもなく至って普通のAdobeからの決済失敗に伴う緊急確認メールに見えます。

差出人はAdobe、宛先は私のメールアドレス、落ち着いて確認すれば単刀直入に簡潔にしか内容が書かれていないし、そもそも私はAdobe Creative Cloudを利用していますがメールに記載されているAdobe Document Cloudは利用していません、何より私のAdobeアカウントは他のメールアドレスに関連付けされているのでこのアドレスにこのメールが届くこと自体がオカシイのです。*1

これは・・・分かる範囲で送信元とかを漁ってみなければ!

そもそもAdobe Document Cloudって存在するのか?

私はAdobe Creative Cloudユーザーですが、Document Cloudと言うのは初めて聞きました。
簡単に調べると・・・、・・・サービス名自体はキチンとAdobeが提供するCloudサービスのようです。
acrobat.adobe.com

詐称メールに不審点はあるものの、単に私自身の無知ゆえに(こんなサービスあったっけ?と)不用意にリンクをクリックせずに済みました。・・・無知だったのが恥ずかしいのやら、結果的に変なリンクを踏まずに済んでよかったのやら・・・。

ただ、サービスの特性から個人用途と言うよりは法人用途のような気がするので、ターゲットは個人ユーザーではなく、(独断と偏見により)企業ユーザーなのかも知れません。

届いたメールのソースを確認して見る

前回の楽天を偽る詐称メールの時と同じくメールのソースを見て送信元・リンク先を確認してみます。

f:id:sylvester:20171207202059p:plain
f:id:sylvester:20171207202111p:plain
今回の送信元と思われるclient-ip欄に記載されているIPアドレスは176.94.123.21、Adobeサイトへのリンクに隠されたアドレスは「au.junetorrance.com」です。
普通に開くと単なるテキストメールに見えますが、どう見てもHTMLメールをテキストメールっぽく偽装している悪質性の高いメールですね。

IPアドレスドメイン名を調べてみる。

前回も利用させて頂いたIP location Finderさんからどの国から送信され、どの国に設置されてるサーバなのかを漁ってみましょう。
www.iplocationfinder.com

f:id:sylvester:20171207202435p:plain
送信元はドイツ・ハンブルグVodafone回線*2からでした。
ドイツの(詐欺メールの)技術は世界一(ry

f:id:sylvester:20171207202745p:plain
サーバはアメリカのBluehost、これは前回の楽天カードを偽るメールと同じですね。

f:id:sylvester:20171207202824p:plain
興味本位でサブドメイン付きで調べてみると恐らくVPSサービスと思われる企業にぶち当たりました。前回は適当に調べただけですが、VPSで鯖立てて、Bluehostからドメインを取得した・・・と考えると自然な流れなのかも知れません。

詐称リンク先に何があるか?

これまた興味本位で詐称メールに綴られたリンク先に何があるのか?
気になったので、Web魚拓系サービスを利用してどんな画面が表示されるのか確認してみました。

利用したサービスはarchive.isさん、適当にWeb魚拓で調べたら出てきました。
archive.is

f:id:sylvester:20171207204407p:plain
なんということでしょう、接続出来ません。

既に通報されて閉鎖されているのか、あるいは詐欺グループのヘマによりWebサーバとして接続出来ないのか、はたまた私みたいな中途半端に調べてくるような輩を避けるために偽装工作をしているのか?よく分かりませんが、少なくともWeb魚拓が取れないと言う事は現在サーバに接続出来ない模様です。

見に覚えのあるサービスを偽る詐欺メールは怖い

今回は運良く回避出来ましたが、かなりクオリティが高い詐称メールが届いたため、少々恐怖に襲われています。
今までは何らかのヌケがあり、容易に「怪しいメールwww」と草を生やすだけの余裕がありましたが、宛先欄に大量のメールアドレスを詰め込まず、更に別サービスと言えど該当企業のサービスを利用していると「ん?やらかしら?」と思い、思わずクリックしてしまいそうになります。*3

今後、この手のメールが増えてくると非常に厄介な事になりそうです・・・。何が本物で何が偽物か、全てのメールに対し疑いを持たなければならなくなるので厄介な問題です・・・。
プロバイダが提供する迷惑メール対策サービスを活用したり、セキュリティソフトのメール関連機能を有効利用してこの手の怪しいメールの餌食にならないよう注意していきたいものです・・・。・・・いえ、根本的には10年以上(下手すると20年近い間)使い続けてる迷惑メールに汚染されたアドレスを使わずに他のメールアドレス取得して、そっちを使えよ・・・。*4

*1:但し、偶然にもAdobe Creative Cloudの予備アドレスに詐称メールが届いたアドレスを設定している関係上、(過去にカード限度額オーバーで決済できなかった前科もあり)本物かと惑わされたり・・・。

*2:ISP欄を見る限りVodafoneさんも固定回線事業やってるんですねぇ。まぁ、ソフトバンクも携帯から固定から通信回線全般的に悪事を働いているので、携帯事業者だから固定回線やらないって訳では無いとは思いますけど・・・。

*3:多分、Adobe Creative Cloudを利用しているからと言うのが一番の理由とは思いますが・・・。

*4:長年使いすぎてしまい、乗り換えるのが面倒・・・と思いつつ、流石に今回のような事が起きるといつか自爆すると思うので、新しいメールアドレス取得して少しずつ移行させていかなければ・・・。