前回の「お使いのApple IDがロックされます。」の続きです。
このメール内のリンクは原則クリックしてはいけません。真似をして被害や損害を被っても責任は取れません。もし、実行される方は、フィッシング詐欺の仕組み、マルウェアの挙動、クロスサイトスクリプティング、クロスサイトリクエストフォージェリーなど情報セキュリティの基礎知識は備えておきます。あくまでも、自己責任でお願いします。

また、リンクをクリックしなくとても調べられる対処方法を後半で説明します。

Tor Browerでアクセス

「アカウントの確認」をクリックします。Tor Browserでアクセスします。(万が一、経路をたどられても大丈夫なように。)

ご覧のように、見るからにAppleのサイトのように見事に仕立てられています。Phishing(フィッシング)の由来が魚釣りのFishingと、洗練されたsophisticatedであると言われてもうなずけそうです。

実際には、この手の偽サイトに本物の情報を書き込んで、大切な個人情報を盗まれてしまうとう事件が多発しています。Apple IDを持っていて、あまり情報セキュリティに関心がない人は、簡単に引っかかってしまうかも。

かりに「アカウントの確認」をクリックして、偽サイトを開いてしまったとしても、ブラウザのアドレスバーに表示されているURLを見る習慣があれば、偽サイトを見抜けます。

では、今回のURLを見てみます。

URLのドメイン名が「app89236382.info」となっているので、あきらかにAppleのものではないとわかります。

そこで、Virus Totalで、このURLが安全なのかを確認してみました。

なんと、オール・クリーン。すべてのチェックをクリアしています。だからと言って安心はできません。なぜなら、まだこのサイトが偽サイトして登録されていないからです。メールを受信してすぐにチェックしたからだと思われます。

しかし、さらに、Virus Totalのここで調べると、

「https://app89236382.info/?16shop」とあります。このURLで、再度、スキャンしてみると、

1箇所、Phishingの警告が出ています。URLは最初のもととは異なりますが、ドメイン名は同じなので、今回のURLもフィッシング詐欺のサイトであることがわかります。

さらに、後日、同じタイトルのメールが送られてきました。

さっそく、メール本文内のリンクにアクセスしてみると、

最初にこのメールを受信して、2・3日が経過しています。そして、この記事を書いているときもう一度、アクセスすしてみると、

最初のものは、下記のようなサイトにリダイレクトされている。

2回目に受信したリンク先は、ブラウザでことなるものが表示された。

Tor Browser と Chrome では、403のForbidden(サーバによるアクセス拒否)だが、Firefoxでは、例の偽Appleサイトが表示された。URLをよく見ると、なんと2回リダイレクトされている。最初のURLでは警告がでるので、2回リダイレクトさせて偽サイトに誘導しているのです。

もし、偽かもしれないという疑いを持たないで、偽サイトにアクセスすると、まったく気づかずにクレジットカード情報を含む大切な個人情報を盗まれてしまうかもしれませんね。

攻撃者は2回もリダイレクトさせて、警告をかわすなどして知恵をしぼって悪巧みを成功させようとしているのがわかります。

みなさんも、自己防衛を忘れないように。

最低、次の2つは注意しておきます。

くれぐれも、メール本文のリンクはクリックしないようにしてください。

1.メールの送信元アドレスを確認し、ネットでその安全性を検索してみる。

2.サイトのURLをいつも確認し、ネットでその安全性を検索してみる。

最後に、メールの扱いについて書いておきます。

今回のメールはHTML形式で作成されています。そのため、リンク先がすべて見えなくなっています。そこで、2つほどメールの利用のしかたをご紹介しておきます。

1.メールをテキスト形式で開く。

お使いのメーラー(メールの送受信や作成に利用するソフト)により、操作が異なりますが、基本は同じ仕組みです。(例:Thunderbird)メニューバーの「表示」から「メッセージの表示形式」「プレーンテキスト」をクリック後、メールを開きます。すると、下記のように、リンク先が表示されて読み取れるようになります。

ここからメール(テキスト形式で開く)————————————————–

お使いのApple IDがロックされます。

私たちはあなたのApple ID情報があなたのアカウントを維持することを確認する必要があ
ります。
私たちは、あなたのアカウント情報の一部が正しくないことをお知らせしたいと思います。

ケース番号:20/07/2018

下のリンクをクリックしてアカウント情報を確認してください。 :

アカウントの確認 <http://x.co/6nTst>
私たちは24時間以内にあなたからの応答を受信しない場合は、アカウントがロックされます。

Apple サポート

ご要望やご提案をお聞かせいただき、 Apple のサポートプログラムとサービスの改善に
ご協力いただければ幸いです。

お気軽にサポートをご利用ください。Apple サポート <http://www.apple.com/jp
/support/>では、製品の詳細を確認したり、最新のソフトウェアアップデートをダウン
ロードしたり、他のユーザとヒントや解決方法を共有したりすることが可能です。
また、Apple へのお問い合わせ
<https://getsupport.apple.com/GetproductgroupList.action…>にお客様にとって最適な
方法をお選びいただけます。

TM and copyright © 2018
All Rights Reserved <http://www.apple.com/jp/legal/> / プライバシーポリシー
<http://www.apple.com/jp/privacy/> / Apple サポート
<http://www.apple.com/jp/support/> / 今後のアンケートの登録解除
<http://mynews.apple.com/survey/unsubscribe…>

ここまでがメール————————————————————-

どうです?最初のメールと全く違って見えます。

アカウントの確認 <http://x.co/6nTst>

のところには、隠れていたURLが表示されています。誰が見ても、Appleのアドレスには見えませんね。短縮URLのようです。最近は短縮URLは大手の企業でもよく使うので、一概にはいえませんが、疑いを持つには十分でしょう。

もちろん、このURLに直接アクセスしてはいけません。偽サイトにリダイレクトされてしまいます。このURLをコピーして、Googlなどで検索してみてください。怪しければそれなりの情報がヒットします。もちろん、Virus TotalなどのURLをチェックしてくれるサイトを利用しても結構です。

2.リンク先を右クリックしてURLをコピーする。

リンク先を右クリックすると、ポップアップメニューが表示されるので、その中の「リンクのURLをコピー」をクリックします。クリップボードに保存されるので、Gooleなどの検索欄に貼り付けて検索し、情報を集めます。もちろん、Virus Totalなどのチェックサイトの検索欄に貼り付けて検査することもできます。

最後に繰り返しになりますが、メール本文内のリンクをクリックしてはいけません。クリックしなくても、様々な情報は上記のように得ることができます。

ぜひ、攻撃者の罠にはまらないように、みなさん知恵を絞って安全で安心・有意義なネット生活を送ってください。