「ユーザーポリシーの違反」と題されたappleからのメール。・・もちろん偽物。 今のGmailとか、yahooメールではちゃんとスパムに仕訳されて、出現しないでしょうね。
自分でメールサーバとか建てていると、スパム検知ソフトの精度で、配られてきた。結構頻繁に来る。そのたびにスパムだと学習させるのだが、おかしいなぁ。
これがその体裁。
| 『Apple IDでは、スマートフォンを所持している本人だけがログインできるため、個人情報を見られたり、お買い物などで不正に利用させるリスクを予防ます。 ただ今、お客様のアカウントが不正利用の疑いがありまして、被害を最小限に抑えるためにアカウントが制限されています。』 |
| 「スマートフォン」だけに絞るか? 「不正利用の疑いがありまして」なんだこの言い回し。 丁寧に書かれているようだけど、今のAppleではもっとしかっりした内容のメールを送ってくると思ったけど。 その下にはボタンがあって「アカウントの確認と復元」となっている。 たぶんここでIDとパスワードを入力させるつもりなのだろう。 そして不正ログインしてアカウントに紐づけられたカードの不正利用。 では、メールのソースを見てみよう |
Return-Path: <anonymous@rs15.naid.**> X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on tk2-232-25504 X-Spam-Level: * X-Spam-Status: No, score=1.4 required=5.0 tests=BAYES_20,FROM_EXCESS_BASE64, HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,RCVD_IN_DNSWL_BLOCKED, RCVD_IN_SBL,T_TVD_MIME_NO_HEADERS,URIBL_BLOCKED,URI_TRUNCATED autolearn=no autolearn_force=no version=3.4.2 X-Original-To: ****@*****.**** Delivered-To: ****@*****.**** Received: from rs15.naid.** (rs15.naid.** [153.126.133.***]) by ****.** (Postfix) with SMTP id 65BAC3FD05 for < ****@*****.**** >; Sat, 4 Jan 2020 09:32:16 +0900 (JST) Received: (qmail 1974 invoked by uid 14783); 4 Jan 2020 00:32:16 -0000 Date: 4 Jan 2020 00:32:16 -0000 Message-ID: <20200104003216.1973.qmail@rs15.naid.**> To: ****@*****.**** Subject: =?UTF-8?B?44Om44O844K244O844Od44Oq44K344O844Gu6YGV5Y+N?= From: =?UTF-8?B?QXBwbGUgSUQ=?= <appleid@apple.web6.jp> MIME-Version: 1.0; Content-type: multipart/mixed; boundary="--Yec1Vpr6Cb" Reply-To: no-reply@apple.web6.jp ----Yec1Vpr6Cb Content-type: text/html; charset="utf-8" Content-Transfer-Encoding: base64
メールのソースを見るときは、Fromなんてあてにしちゃだめです。FromとかToはメールの送り主の最初のメールを構成する段階で入るので、送り主が勝手に書き換えることができます。
上の場合、ボールドしたReceivedを見ます。最初のReceivedは、送信者の最初のサーバでしょう。qmail を使っているのですね。(昔は流行ったですよ。 高速だとか言ってね。私はPostfixしか使いませんでしたけど。)from rs15.naid.**と書かれていて、調べてみると
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: rs15.naid.**
Address: 153.126.133.***
これは rs15.naid.jp 〇ッ〇ルサーバさんですね。 確か安いってうたい文句でしたっけ。たぶんここはレンタルしているだけ、或いはレンタルしたまま放置しているユーザのサーバが乗っ取られるとかかもしれません。 なので、ここが主悪の根源では無くて、ただ利用されただけ。
(Fromのappleid@apple.web6.jpも同じところ)
appleというのがアドレスの中にあっても驚いてはだめです。上の場合web6の場所がappleとなっていて、最後がcomとかjpならアップルである可能性が高いです。でもFromは偽装できるので信じちゃだめです。最後のjpとその前のweb6はユーザは変更できませんが、その前の部分(後ろから3つ目)は自分で変更できます。
メールのヘッダからは他にたどれる情報が無いので、本文の中から調べられないか見てみましょう。
開発ツールで調べてみると、ボタンのリンクはとても工夫されていたが、出てきたのは「autocomautoid.***」->184.168.131.*** たぶんDDNSでしょう。 上位のプロバイダーさんはアリゾナ州の会社。
CUI(キャラクタユーザインターフェース。GUIは聞いたことありますよね)からこのサイトを打ち込んでみてみます。
クッキーを受け入れるか、聞いてきました。気持ち悪いのでやめておきました。ただ、ブラウザーではどうなるか知りたかったので入れてみると、
ノートンが遮断しました。危険なサイトだからアクセスできませんって。
ちなみにサーバーの開放状態も見てみましたが(危険なのでやったらだめです。相手が米軍なら軍事行為の一つとみなされ踏み込まれる恐れもあります)
Not shown: 999 filtered ports
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 17.58 seconds
80番が開いていました。WEBのポートです。最近は443番のセキュリティ付きのポートのほうが多いかもしれません。Chromeでも80番は「保護されていない通信」ってなりますよね。
