最近、スクウェア・エニックスを名乗るメールで、「不審なアクセスを検知したため、ログインが制限されました」などと来ることがあります。
※実のところ、過去に登録していたアカウントはすべて削除したので、初めからウソってのは分かってるのですけどね。
私が使っているメーラーは、htmlメールを強制的にテキストメールに変換してしまうので、URL偽装がうまく働かず、パッと見た目、何が悪いのかわからないほど。(^^;
しかし、よくよくヘッダや、偽装先URLを見ると怪しいことに気づけます。
今回は、このスパムメールを少し分析してみることにしましょう。
パッと見た目の本文は以下の通りです。
ちなみに添付ファイルはありませんでした。
From:"autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:私のメールアドレス
Subject:[スクウェア・エニックス アカウント]のお知らせ
こんにちは、メンバーズ事務局です。
お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、
もしくは不審なアクセスを検知したため、ログインが制限されました。
ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード
再検証を行ってください。
スクウェア・エニックス アカウントの検証を完了するためには、下記のURLを
クリックしてください。
https://secure.square-enix.com/account/app/svc/Login?cont=account
※上記URLをクリックしてもページが開かないときはURLをコピーし、
ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
※上記URLは、送信より24時間経過すると無効になりますので、
有効期間内にURLをクリックしてメールアドレスの登録を完了させてください。
※本メールの著作権は株式会社スクウェア・エニックスに帰属します。
※記事内容の無断転載、加工、配布、再出版を禁じます。
※このメールは自動で送信しています。このメールに対し、ご返信いただきましても回答できません。
発行元:株式会社 スクウェア・エニックス
© 2012-2016 ARMOR PROJECT/BIRD STUDIO/SQUARE ENIX All Rights Reserved.
この時点で、やたらと空行が目立ってて(たぶん、テキスト化の弊害もあるけど)、おやおや?と思うところでしょうか。
次に、途中にあるURL、これ自体は本物です。
しかし、htmlのソースコードを見てみると、実際には以下のURLにリンクされていました。
hxxp://support.na.square-enix.com.sxrp-ouory.usa.cc/account/app/svc/login.html
※間違って開かないように、一部加工してます。
このURL、表示しているものと全然違います。
これが世にいうURL偽装ですね。
※このドメインをgred.jpで調べてみると、ドイツの Falkensteinなる都市にあるサーバなんだそうです。
こういうときに、URLをチェックするサイトはいくつかあります。
鵜呑みにはできませんが参考にはなります。
・gred.jp
・WebPulse サイト再評価リクエスト(泣く子も黙るBlueCoatのサイトです)
・Trendmicro Site Safety Center
・VirusTotal
今回はBlueCoatが「疑わしいサイト」、VirusTotalの結果は10個のウイルス対策が悪意のあるサイト、あるいはフィッシングサイトと返しており、とりあえずこれだけでも、黒っぽいサイトであると考えてよろしいかと思います。
次にRecievedヘッダを見てみましょう。
(前略)
Received: from pps.filterd (scpa213.cm2.dti.ne.jp [127.0.0.1])
by scpa213.cm2.dti.ne.jp (8.15.0.59/8.15.0.59)
with SMTP id u7S1CXTo018576 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:01 +0900
Received: from iql.org ([42.59.121.141])
by scpa213.cm2.dti.ne.jp
with ESMTP id 252rg87xgs-1 for <私のメールアドレス>;
Sun, 28 Aug 2016 10:15:00 +0900
Message-ID: <422ABE3ABD48E5DB110ADB0DEF1AEB41@iql.org>
From: "autoinfo_jp" <autoinfo_jp@account.square-enix.com>
To:<私のメールアドレス>
これで見ると、一番最初の送信元がiql.orgという、スクエニとは全く関係なさそうなドメインから発信されていました。
IPアドレスが載っているので、spamhausに照会すると、ブラックリストのXBLに登録されており、その理由がCBLに入っているからでした。
CBLに入るということは、過去にspamを送って、その中にマルウェアが入っていたことがあるということです。
要は、spamの踏み台になっているか、むしろそれ専用のサーバなのかというところでしょうか。
ついで、Return-Pathも見てみましょう。
Return-Path: <ymwuv@iql.org>
そもそもFromとドメインも違うし、明らかにランダム生成されたアドレスだし...ということで、これも信用するに足りません。
そんなわけで、このメールは(1)疑わしいアドレスへのURL偽装があり、(2)添付ファイルがないことから、真っ黒なフィッシングメールである。
と結論付けることができそうです。
※本当は、その画面を見るのが一番確定診断が出しやすい(たぶん、それっぽい入力画面があると思います)のですが、残念ながら(?)テークダウンされているらしく、aguseで確認してみましたが、画面は表示されずでした。
ついつい、メール本文だけに目が行きがちですが、コピペすれば海外の人でもどうにかなることがあります。
やはり、ヘッダやリンクを確認すること、そもそもhtmlメールは強制的にテキストに変換するメーラーを用いることなどが大事ですね。
お金をかけずに、しょーもないフィッシングやランサムウェアを回避する一つの方策になるかと思います。
マスタオ
そういうので銀行からきてたなぁ~。
ネトゲやってた頃は結構その手のメール来てたから、普通に警戒してる
スクエニからもバレバレな怪しい日本語のメールとか来てたから、
基本的にメールに書いてあるリンク押すことはないですなぁ; なんにしても公式経由です。
繋ごうとした公式HPのアドレスを勝手に書き換えるウィルスとかもあるそうですし、
こうなるとめんどくさいっすね~
GRN
>繋ごうとした公式HPのアドレスを勝手に書き換えるウィルス
ブラウザハイジャッキングでしょうか。
怪しげな中華アプリに入っていることがよくあります。
また、DNSキャッシュポイゾニングというテクニックで、PCに攻撃せずに別サイトに誘導するということも、理論上可能ではあります。
いずれにせよ、見抜くのは難しいのですが、常日頃から狙われている、ということを忘れないようにしないといけませんね。
本当はVMwareなどを使って、一度ネットにアクセスしたらスナップショットからrevertするのが一番安全なのですが…。