Appleを騙るメールvs情報セキュリティスペシャリストの話。

f:id:tonymctony:20180629071011p:plain

 

先日、こんなメールが届きました。

 

f:id:tonymctony:20180629054216p:plain

Morocco(モロッコ)から私のApple IDへのアクセスがあったらしく、24時間以内に何かしないと私のアカウントが永久にロックされてしまうとのこと。

 

セキュリティ上の理由により、Apple IDがロックされています

 

という無機質な文言に、最初はドキッとしましたが、よく読んでみるとフィッシングメールのような内容ではないですか。と思ったら案の定

 

f:id:tonymctony:20180629054426p:plain

差出人がAppleを騙っていただけでした。なんでtwitter.comがAppleのサポートするんだよ?とツッコミたくなりました。

 

 

 

フィッシング詐欺

こういった、使用しているサービスを騙って嘘のメールを送信し、騙されたユーザから情報を抜き取る手法をフィッシング詐欺といいます。

 

おそらくですが、先ほどのメールの「検証」リンクを押下すると、Appleとは関係のない、詐欺業者が用意したApple IDとパスワードを入力する画面が出てきて、情報を入力すると、IDとパスワードが業者に渡り、乗っ取られてしまうのでしょう。

 

そんなのに騙される人いるの!?とお思いの方もいらっしゃるのでしょうが、騙される人がいるから業者が存在するんです。そして、騙されるわけがないと思っている人も騙されてしまうのが恐ろしいところです。

 

f:id:tonymctony:20180629112753j:plain

自慢しているわけではないのですが、一応証明書を。

 

私は情報セキュリティスペシャリストというすごいのかすごくないのかよく分からない資格を持っており、セキュリティに関してはそれなりの知識を持ってはいますが、日々詐欺手法も高度化しているので、いつの日か騙されてしまう可能性もゼロではありません。

 

 

2日後、再度メールが来た

先ほどのメールをそのままスルーしていたら、2通目のメールが来ました。

 

f:id:tonymctony:20180629054802p:plain

 

お客様のApple IDがiCloudのサインインに使用されました

 

とのこと。おいおい、2日前のメール実は本物だったのか!?と一瞬焦りますが、よく読むとなんとなくおかしいので、差出人を見てみると

 

f:id:tonymctony:20180629055138p:plain

やはり、これも差出人がAppleを騙っていただけでした。今度はtsiteかい!

 

さらに3度目も懲りずに来ました

※2018.7.16追記

 

f:id:tonymctony:20180716092846p:plain
f:id:tonymctony:20180716092856p:plain

 

またも懲りずに送ってきました。「私たちはあなたのAppleIDアカウントを無効にしました」とのタイトルです。これ、見てる端末がipod touchなので、アカウントが無効になっていたら、ipod側からなにか言ってくるはずなんですけど…。

 

ということで差出人を見てみると、訳の分からないアカウントです。ヘッダを検証するまでもなく、偽物であることが分かります。

 

4通目、5通目もありました

2018.8.3追記

 

未だにメールが届きます。狙われてるんでしょうね。

 

f:id:tonymctony:20180803102740p:plain
f:id:tonymctony:20180803102754p:plain

twitterのアドレス騙るの、お好きですね。

 

info@twitter.comから「あなたのApple IDはロックされています」とのこと。確かに、後日ロックされたんですけど(笑)やったの、あんただろうという話でして(不正ログインで何度かパスワードを間違えるとロックされるみたいですね。)

勿論、このメール内のリンクをクリックしてはいけません。リンク先が明らかにおかしいです(メール内の文字列とリンク先が異なっています)。確認するのであれば、必ず、appleの公式サイトから確認しましょう!

 

Apple ID - Apple サポート 公式サイト

 

f:id:tonymctony:20180803103506p:plain
f:id:tonymctony:20180803103516p:plain

続いては「私たちはあなたの Apple ID アカウントを無効にしました。」とnoreply@google.comから来ました。なんの権利があって、Googleというライバル企業にApple IDを無効にする権限があるんだよ。というツッコミはおいておいて(もちろん、アドレス詐称ですからね)、こちらも詐欺メールです。

 

ロックされたなら2のロック解除で済むはずが、なぜ3で請求情報を更新する必要があるのかと。魂胆見え見えじゃないですか。

 

メールを検証してみる

差出人だけでフィッシングメールだと十分判断できると思うのですが、念のため(というか興味本位で)、メール自体の検証をしてみました。

 

1通目

Appleロゴマークがどこにリンクしているのかを確認してみました。

 

f:id:tonymctony:20180629060926p:plain
f:id:tonymctony:20180629060940p:plain

ロッコからのアクセスにしたのは、このメールを作ったときにワールドカップでも見ていたのだろうか?

 

するとhttps://google.com つまりGoogleのトップページにリンクしていました。AppleなのにGoogleにリンクするってなかなかおかしいですよね。

 

さらに、メール下部のApple ID サポート個人情報保護方針の部分(画像上で青で囲んだ部分)はリンクのように見えますが文字色が変わっているだけでリンクは張ってありませんでした。本当のAppleだったらこんな杜撰なことはしませんよね。

 

以上のことから、このメールはフィッシング詐欺メールであると言えるでしょう。

 

 

2通目

こちらもAppleロゴマークがどこにリンクしているか確認してみます。

 

f:id:tonymctony:20180629062529p:plain
f:id:tonymctony:20180629061929p:plain

今度は画像が貼ってあるだけでした。これだと間違ったところにリンクしているわけではないので、本物かも…と思ってしまうかもしれません。

 

また、1通目では文字色が変わっているだけだった部分もそれっぽいリンクが張ってありました。ちょっと腕を上げましたね!ただし、Apple IDサポートプライバシーポリシーリンク先がすべて同一でした。これはおかしい。

 

さらに、青囲みで示した部分、CopyrightがiTunes(Appleの提供するサービス)って…なんか変です。本来ならApple Incのはずです。

 

以上のことから、こちらもフィッシング詐欺メールであることが判断できます。

 

3通目

このメールにはAppleロゴマークもついてませんし、文章もおかしいフィッシングメールでした。

 

f:id:tonymctony:20180716093211p:plain

メール下部の「iCloudサポート | 規約と条件」にリンクはありません。なんというか、手抜き間が伝わってくるメールですね。

 

アカウントのロックを解除するために、なぜお支払い情報・請求情報を更新しなくてはいけないのか。露骨に狙いが分かるメールになっています。

 

送信先の偽装について

こういったメールが来たときは差出人の名前ではなくメールアドレスを確認しましょう。名前は本物を騙りますが、アドレスは今回のように適当なアドレスから送られていることが多いです。

 

追記:ブックマークからご指摘いただきました点を追記します(ご指摘ありがとうございました!)。

 

より巧妙な手口の場合、メールアドレスも本物のアドレスに偽装されていることもあるので、今回のようにメールアドレスがおかしくないと感じた場合は、念のため、メールのヘッダ情報も確認しましょう(確認方法はスマホの場合、契約会社によって違うようです。ヘッダの確認方法は各社のHPに載っています。自分で調べて分からない場合、知識のある人に相談しましょう)。

 

www.dekyo.or.jp

 

考えてみたら、今回の送信アドレスも偽装ですね(偽装したアドレスが見るからにおかしいだけで)

f:id:tonymctony:20180630075346p:plain

webメールからヘッダ情報を確認。Return-Path行にあるメールアドレスと送信してきたメールアドレス(From)が違う。

 

まとめ

今回は2通で終わっていますが、最近はメールが複数回送られ、ストーリーが進むタイプのものが増えているようですね。

 

「アクセスされました」→「変更されました」→「今回の請求額が」となって、自分の知らないところで何かが起きていると思わせて焦らせて騙す手口のようです。

 

身に覚えのないことがあったら、まずは疑い、冷静になって検証することが大切です。そして、焦ってメールのリンクにはアクセスしないこと。

 

また、一人で考え込まず、信頼できる人に相談すると「やっぱりおかしいな」と思えることもあるはずです。

 

私も情報セキュリティスペシャリストである以上、騙されたら笑いものにされるような気がしてしまうので、日々勉強し、騙されないように情報をアップデートしていく所存です。

 

ロックされたので、情報変更

 2018.8.3追記

 

私のApple IDがログイン複数失敗(不正アクセス)により、ロックされました。きゃつらめ、面倒なことをしやがる!

 

なので、公式サイトからロックを解除し、念のため、各種情報を変更しておくことにしました。

 

Apple ID - Apple サポート 公式サイト

 

f:id:tonymctony:20180803104720p:plain
f:id:tonymctony:20180803104732p:plain

 

本物のappleid関連のメールアドレスはappleid@id.apple.comみたいです。