ご無沙汰しておりました。@wato_dnです。

私が過去利用していたメールアドレスには、様々な種類の不審メールが届きます。

今回は、その中でも受信率が高い「Apple」関係の不審メールを記事にしようと思います。あくまで、「私個人に届く不審メール」が対象であるため、今回紹介する例以外にもパターンがあると思われます。その点ご留意ください。

なお、私に届くメールは基本的にフィッシングサイト(偽サイト)が全てであり、マルウェアに感染させる類のメールは届いておりません。残念ながら。

利用しているメールアドレスについて

不審メールの受信に利用しているhotmailのアカウントは、2006年に作成したものです。10年以上存在しているため、そこそこ年季が入ったアカウントになります。

元々メインで利用していたアカウントですが、現在は別アカウントに移行しています。

このアカウントをメールアカウントの漏洩状況がチェック出来るサービス「have i been pwned?」で調べます。

have i been pwned?

*メールアドレスは伏せています。

Oh no – pwned !
とのことで、しっかり(?)漏洩しています。

不審メールが装うサービスについて

私が受信している不審メールは、以下サービスを装っています。

・Apple
・Amazon
・楽天市場
・MyEtherWallet

この中でも今回取り上げるAppleの受信率は圧倒的です。
体感ですが、全体の8~9割近くを占めていると思います。
(とはいえ、ここ最近はなりを潜めている感ありますが)

なお、ドメイン名に関わる様々な情報を収集出来る「DN Pedia」に「Phishing Domains」という項目があり、フィッシングに利用されやすいサービス名が含まれたドメイン名の取得状況を調べることができます。

https://dnpedia.com/

上記はグローバル目線でのフィッシングに使われやすいドメイン名ですが、日本向けのフィッシングに使われやすいドメイン名も存在します。

日本向けでここ最近で、私の中で一番インパクトがあるのは佐川急便を装ったショートメッセージによるフィッシングサイトへの誘導です。

引用元
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/

不審「メール」というより、厳密には「ショートメッセージ」を利用した偽サイトや偽アプリへの誘導(スミッシング)になります。

ちなみに、この佐川スミッシングも私の個人携帯に一度だけ届いたことがあります。

Apple不審メールの種類について

では、実際に私に届いたApple不審メールの中身を確認していきます。

1.アカウントロックパターン

「あなたのアカウントロックされているから制約かけますね、解除して欲しかったらサインインしてね」というパターンです。

Apple系フィッシングとして一番オーソドックスかもしれません。

2.添付パターン

本文はほとんど存在しておらず、PDFファイルが添付されています。
PDFにはフィッシングサイトへ誘導するためのURLが埋め込まれており、URLをクリックするよう促されます。

なお、以下のように、PDF以外にもdocファイルも確認しています。

本文に記載せず、添付ファイルを利用しているのは、URLの文字列をブラックリストのフィルターに登録されないようにするための対策かと思われます。

3.アカウント情報変更パターン

これは、「Appleアカウントに登録されているメールアドレス(A)を別のメールアドレス(B)に変更要求あったから変えますよ、見覚えなかったら以下のリンクから連絡してね。」というパターンのようです。

Aのアカウントは私のメールアドレスですが、Bのアカウントは全く身に覚えのないアカウントです。

Bのアカウントを先ほどの「have i been pwned?」で調査すると、以下のようになっておりました。

Bのメールアドレスも漏洩した可能性のあるメールアドレスであることが分かります。

上記のことから、このメールは、
送信先(A)=送信先として設定したメールアドレス
変更先(B)=漏洩した別のメールアドレス
という設定で送信している可能性があります。

つまり、今回送信先(A)として記載された私のメールアドレスは、別の受信者では変更先(B)として記載されている可能性があります。

4.請求書パターン

App Storeで購入した商品は、Appleからの自動送信メールで領収書が届きます。上記は、その領収書に酷似したメールを送り、身に覚えのないユーザーに対して「問題を報告する>」をクリックさせるパターンになります。

本来、Appleからの自動送信メールでは、「AppleID」には利用しているAppleID、「請求先」には利用者情報及びクレジットカード情報(下4桁)の記載があります。

ただし、不安であれば「正規の手法」で請求情報を確認すると良いと思います。間違ってもメール内リンクは踏まないよう。

余談ですが、「大量の Appleからの領収書 を受信し、身に覚えがないので放置していたら、実は 正規のAppleからの領収書 だった」という事件が実家で発生し、対応をしたことがあります。

これは、AppleIDそのものがすでに不正操作されており、大量のゲーム課金が行われていましたが、Appleのサポートに連絡し事情を伝えることで、請求は取り消しとなりました。

「身に覚えがないから放置する」というのも身を守る手法の一つですが、内容によっては自ら確認する必要がある、という教訓だと思います。

ちなみにこの件、当事者は私の父だったのですが、「俺は何も知らん!Appleが間違って送ってるだけ!」と言い張る父を、なんとかAppleサポートに連絡させるのが一番ハードル高かったです。役員の起こしたインシデント対応をしてる感覚でした。

5.画像リンクパターン

本文内には画像が貼られており、画像をクリックするとhrefでフィッシングサイトに誘導されます。

「アカウントを確認する」をクリックしなくとも、画像自体に誘導先が設定されているため、誤操作で誘導されてしまう可能性はあるかもしれません。

フィッシングサイト誘導後について

URLをクリックすると、Apple公式サイトに酷似したフィッシングサイトに誘導され、AppleID、パスワード、個人情報、クレジットカードを入力するよう求められます。

これらの入力は、フィッシングサイトによっては入力内容のバリデーションが行われているため、適当な入力では先に進めなかったりします。
(クレジットカード番号のルールを守っていないとか)

まとめ

攻撃者がどのような手法でフィッシングサイトに誘導しようとしているか、なんとなくイメージが掴めたら幸いです。

もちろん、私宛に届いていないだけで、他にも様々な手法を用いてメールを送っていると思います。

こういうのもあるぜ!という方はTwitterで教えていただけると喜びます。

実はこの記事、当初はApple以外も取り扱う予定でしたが、文章量が多くなりすぎる予感がしてAppleに限定しました。その他の不審メールも機会があれば記事にしたいと思います。

それでは。

おまけ

以下の方々は「送信者」から出直した方が良いと思います。