Re:シルの日々の戯言。

折れた心が少しだけくっついたから何かを綴ってみるテスト。

Office Supportと偽る輩からプロダクトキー「がの」異常とメールが来たので晒す

随分と久し振りに迷惑メール晒し記事でも書いてみることとします。
恐らく世間様では既に知られているであろう迷惑メールですが、私のアカウントではお初だったので興味を引きました。

送信元は「Office Support」と名乗るmicrosoft.comでもoffice.comでも無い恐らく偽りのメールアドレス、プロダクトキー警告を称するタイトルが付けられています・・・が、タイトルの時点で日本語が怪しくて俗に言う草生えると言う有様です。*1

タイトルが怪しく、送信元も怪しく、例の如くメーラーのアドレスに突っ込めるだけメールアドレスを突っ込んでいるスタイルなのでITスキルがある人は騙されないパターンです。しかし、迷惑メールの典型例としてネットの大海に記録として残しておきましょう。

迷惑メールの内容

f:id:sylvester:20190906211448j:plain

必要な部分はマスキング(***と置き換え)しておきます。
また、HTMLメールでリンクが張られていますが、単なるテキスト化して単なる文字列に加工しています。

件名:Office Support
宛先:xxxx@xxx.exsample.jp,xxxx@xxx.exsample.jp,xxxx@xxx.exsample.jp(特定のプロバイダの特定メールサーバ)
本文:
[大切]すぐマイクロソフトのプロダクトキーをご認証ください。さもなくば権限付与が中止されます!

ご利用のオフィスソフトの授権が終了されてしまう恐れがあります!

マイクロソフトセキュリティチームはご利用のオフィスソフトのプロダクトキーが違法コピーされた恐れがあることを発見しています。

攻撃者はご利用のオフィスソフトのプロダクトキーでほかのオフィスソフトを起動する試みをしています。ご本人の操作なのかどうかが確定できないので、お手数ですが、検証作業をしてください。

検証作業をしていただけない場合、ご利用のオフィスソフトのプロダクトキーの授権状態を終了しますので、ご了承ください。

今すぐ認証

*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを防止する技術で、手続きは簡単に実行できます。また、この手続きは匿名で行われるので、お客様のプライベートな情報は保護されています。ご安心ください。

#12428;ています。ご安心ください。

��]= 3f= 8
@D-

��]= 3f= 8@D----]= 3f= 8@�---]= 3f= 8@�-@�-@�-@�-@�-@��-�

所見事項

怪しい部分としては以下のところ。

  • 送信元メールアドレスが明らかに怪しい。
    • 恐らくMicrosoft Officeに関するメールと思わせたいと推察するが、送信元ドメインが「0986583500.com」と訳の分からないドメインになっている。
    • whoisで調べると渋谷の住所で個人名が出て来ます。企業代表なのか、個人なのかは分かりませんし、これ以上深追いするのは辞めておきましょう。
    • 但し、Amazon詐称メールでもこのドメインがメール送信元として綴られているようなので、碌でもないってのは確実です。
  • メールタイトルの日本語が異常。
    • 先に記載したとおり、「がの」ってなんだよ、「がの」って。
  • 宛先に大量のメールアドレスが記載されている。
    • 通常、このような形でメールアドレスを大量に詰め込むことはやりません。このような形で配信された場合は情報漏洩事故です。
    • また、特定のプロバイダのメールサーバ*2を狙い撃ちしているか、過去に蓄積した情報から無作為に選択して送信した感が強いです。
  • 「今すぐ認証」のリンク先がwarnning-account-recovery-support-microsoft.comとなっている。
    • 通常は「.(ドット)」で区切るところをすべて「-(ハイフン)」で繋げている。
    • ドメインとして「warning-account-recovery-support-microsoft.com」と言う末尾にmicrosoftを付けただけで、Microsoftが運営しているサイトと誤認させようと悪知恵を働かせている。
    • whoisで調べるとロシアのレジストリで登録されているようです。日本語をターゲットにしているのにロシアで取得されたドメイン、うーん怪しさ爆発。
    • nslookupするとロシアのIPアドレスが出てくる。うーん怪しさ爆発。

その他、ところどころで日本語が怪しかったり、文末が文字化けしていたりで偽るにしてはクオリティが低いです。
昨日一昨日からネットデビューしましたって人なら騙せるかも知れませんが、こんな幼稚な詐欺メールでも儲けが出るくらい釣れちゃうものなのでしょうか。

対処方法

このメールを迷惑メールとフィルタ付けした上で消すなり迷惑メールフォルダに突っ込むなりお好きなように。
但し間違ってもリンクをクリックしては駄目です。この手のメールの常套手段としてクリックしただけで「このメールアドレスは有効!」と敵に塩を送ることとなるかも知れません。

*1:タイトルに強調して綴ったとおり「プロダクトキー『がの』異常な状態」と非常に残念です。

*2:私の場合はOCNを利用しているので「xxxx@yyy.ocn.ne.jp」の形式なので、メールサーバは「yyy.ocn.ne.jp」です。