Macの著名ビデオ変換アプリにトロイの木馬「Proton」が混入して相当数のMacが感染している恐れが出てきた〜KeyChain、１Passwordの情報が狙われているようだ

５月８日のMalwarebytes Labsが取り上げた情報で、Macのビデオ変換アプリHandBrakeのサーバーがクラックされ、Macの個人情報・セキュリティ情報を抜き取る新型のトロイの木馬「OS X Proton B」が混入していたというニュースが流れた。

ソースによるとサーバーのクラックとマルウエアの混入は５月２日に起こったと見られているということだ。
このトロイの木馬はキーチェーンのパスワード情報や１Passwordの情報を抜いて特定のサーバーに勝手に送信する動きをするとのこと。

該当のHandBrakeのバージョンは1.0.7。

早速アプリケーションフォルダのHandBrakeのバージョンを確認すると1.0.7でビンゴ！
1.0.7にアップデートした日付をTime Machineに入って確認したところ5月1日で
HandBrakeが汚染したのが5月2日というのは現地時間だから微妙なところ

マルウエアに汚染されたHandBrakeは初回起動時に特徴的な振る舞いをする
これは「Malwarebytes Labs」で掲載された画像だが
「HandBrakeは追加のコーデックをインストールするか？」とパスワードを求めてくる
通常のHandBrakeの起動でパスワードを求められないしこの時に感染が起きるようだ
今回のアップデート後にパスワードを求められたかどうかは記憶がはっきりしない
そういうことはなかった気がするがいつも注意しているわけではないのではっきりしない

そこで念のために久しぶりにClamXavで起動ボリューム全域スキャンを実施した
その結果いくつかのスパムメールと古い既知のブラウザ、ゲームアプリを検知しただけだった

Malwarebytes

Macでも被害を出している特定のトロイの木馬を検知する専用セキュリティアプリ。

Mac版はMalwarebytes for Macという名称でフリーウエアで配布されている。

今回のOS X Proton Bマルウエア騒動の最初の情報元のMalwarebytes Labが発表後すぐにこれに対応するMalwarebytesシグニチャーをリリースして対応した。

ClamXavで一応陰性の結果が出たが、念のためにこのマルウエアに対応したMalwarebytesでもスキャンしてみた。

Malwarebytesは初回起動時ヘルパーツールのインストールを求められる

Malwarebytesの使い方はとても簡単
スキャンボタンをクリックして結果を待つだけ

動きを見ていると特定のアドウエア、トロイの木馬の
パターンで全域をスキャンするという仕組みのようだ
シンプルな仕組みなので動作は軽快で非常に早い

結果は「マルウエアは見つかりませんでした」とのことでまずは一安心
もし問題が起きたらリンク先のページへ飛んで解決せよと言われる
マルウエア発見の画像を見るとユーザライブラリの中に
RenderFiles、VideoFrameworksというファイルを生成するようだ
通常は存在しないこのファイルがインストールされたマルウエア本体らしい

Malwarebytesのメニューにはシステムスナップショットという項目がある
現在どんな機能拡張などのプラグインがインストールされているかスナップショットをとって
問題が起きた時何が増えているかを比較することで新種のマルウエアの発見が早くなるかもしれない

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

昨日『Appleサービス』を名乗るアカウントから「アカウント情報の一部が誤っているためログイン、リアクティベーションできない、AppleID情報を確認せよ」という意味合いのメールが届いた。

最近流行りのAppleID乗っ取りまたはクレジットカード認証情報抜き取りの詐欺メールっぽいのだが、身に覚えがあるメールアドレスだし確認することにした。

その過程で思ったのは今までのおざなりの詐欺メール・詐欺サイトと違ってかなり騙す方も本気になってきていることを感じた。

以下その詳細を。

ある日自称『Appleサポート』からAppleIDが
ログインできなくなっているとのお知らせメール

アカウント情報が間違っているので今すぐ
確認サイトに行って認証せよという内容

最後のサポートやプライバシーポリシーが
リンクではなく単なる青文字なのがご愛嬌だが
本当に作り込んだらこういうリンクも作って
本物そっくりのポリシーページを作る奴も出てきかねない
今回はそう思った根拠が幾つかある

htmlをブラウザで表示して認証ページのリンク先を表示したら短縮URLが使われていた
こういうリンクを短縮URLで記述すること自体ありえないのだが
スマホだと「こう見えるのかな？」と思ってタップしてしまうケースもあるに違いない

リンク先はAppleのサイトそっくりのログオンページになっているので
まずここで信じてしまうとAppleIDとパスワードを抜かれてしまう可能性がある

よく見るとドメインはapple.comではなく某国のドメインなのだが
app-renew.usaと書かれるとアメリカのサイトかなと勘違いする人もいるかもしれない
その下のApple商品ページへのリンクはすべてダミーなのがまだ作りが甘い

例によって存在しないメールアドレスと存在しないパスワードでログインしてみた

ログインできた
アクティベーションコードとか書かれているがこれを入力するフォームは
どこにもなく「次の」ボタンをクリックする以外にない
これまでの詐欺サイトと比べ日本語はかなりこなれてきているが
「次の」ボタンで相手は日本人ではないことがばれてしまった

そして個人情報を入力させるフォーム
しかし目的はこれではないだろうから
相手は日本人ではないのだし意味不明の内容を適当に入れた
国名と電話番号だけはさすがに国の名前と数字を入れないと
ダメとチェックされたがそれ以外はすべて素通しだった

つまり彼らの最終目的はこれ
カード番号とセキュリティ番号、有効期限を名前やAppleID、
パスワードととセットで抜き取りたいということ

こんなもんに引っかかる奴がバカとかなめていてはいけない
パソコンで見たらチャチな作りでもスマホだと本物と偽物の区別がつきにくい
スマホでは先ほどのリンクのドメインが見えないの真偽の判定がしにくい上に
差出人のアカウント、アドレスもフル表示されないのでここで偽物を見抜くことも困難だ

そのメールアドレスをタップすると
これまたAppleサービスっぽいドメインのメールアドレスが表示される（.co.jpだが…）

こちらが本物のAppleのAppleID確認・リセットページへのリンクメール
本物はちゃんと受取人のメールアドレスを特定して本文に乗せているが
ここまでこまめに偽装するニセメール制作者が現れればここを真贋の識別ポイントにもできなくなる
実際そういう奴が出てくるだろう

本物はサポートページやプライバシーポリシーへのリンクもちゃんと本物
しかしこのように見た目でそっくりなだけでなくポリシーなどへのリンクも
ちゃんと 本物っぽく作る奴が現れたらスマホでは真偽が判断できないに違いない
実際この時は不正アクセスされたかと思って出先でiPhoneを使ってAppleIDのパスワード変更をした
思い当たる節がある時にiPhoneで本当に絶対ニセメールに引っかからないかは確信が持てないかも

一応Appleの本物のAppleID認証サービスのサポートメールはこのアカウントで送られてくる
ちゃんとapple.comなのに注目
しかしスマホの場合メールのヘッダにこの送信者のドメインが
しっかり表示されないのがやはり一種のセキュリティ的弱点だと思う

このニセメールの差出人だがパソコンで見てもAppleサービスが差出人になっている

しかしヘッダを詳細表示するとこのアカウントは認証された差出人ではなく
mail-lf0-f100.google.comというGoogleメールアドレスが詐称していることがわかる
問題はここまでの確認がスマホだとできないことだと思う
PCを使わずにスマホだけでネット接続しているユーザも多いので
ユーザ側もこういうところを確認する習慣が失われているかもしれない

これはスマホ、とりわけiPhoneを狙い撃ちしたフィッシングメールなのが明白で、Macなどでメールをよく見ればすぐにフィッシングだとわかるのだが、そういう識別がしにくいiPhoneの弱点を見事に突いている。

最近実際アカウントに不正アクセスされてパスワードを変更した直後のユーザだったら、身に覚えがあるから出先で急いで確認せずにiPhoneで変更をかけたくなって引っかかってしまうかもしれない。

詐欺サイト作者がもう少しリンクなどを作り込んで、もう少し日本語の間違いも減らせば本当に騙される人も出てくるだろう。
出先でiPhoneなどを使って慌ててパスワードの再認証や変更などをかけないこと、カード認証の情報の確認はiTunes StoreなどのユーザーリンクからAppleサイトに入ることなどを心得ておくことが必要になると思う。

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ！

またもや「あなたのAppleIDの情報を２４時間以内に確認しないとIDが凍結される」というスパムメールが来た。

おなじみの手口なのだが、だんだん精度が高くなってきてメールとメールから誘導される詐欺サイト共に嘘くささがなくなってきて、日本語の間違いも減ってきた。

IDの認証についてトラブっている最中にこういうメールが来たら、うっかり騙されるということもあるかもしれない。

毎度言っていることだが、こういうメールのリンクからサイトに入ってアカウント情報を更新したりしないこと。
どこにでもパスワードなどの情報をうっかり入力したりしないこと…防衛策はここらに尽きると思う。

Appleを名乗る差出人からAppleIDがロックされるというメールが来た

差出人はAppleを自称するapleid.comのドメインのメール
今回はもうヘッダの確認も省略したがこれ自体が詐称差出人だろうし
オリジナルのメールサーバーは中国か南米かプロキシサーバ経由なんだろう

アカウントの確認をするためにアカウント情報の追記をしろ
という内容でその入力のリンクが張られている

リンク先は嘘くさいチャラチャラしたAppleサイトもどきではなく
かなり本物っぽいAppleサポートサイトが現れる
URLを確認すれば明確なのだがもちろん本物ではない
例によって実在しないAppleIDと使ったことがないパスワードでログインする

そしてこの詐欺サイトの目的はやっぱりこれだ
AppleIDとひも付けたクレジットカードのカード番号、セキュリティコード、パスワードを要求される

『Dropboxのアカウント登録確認の認証をせよ』というメールでアカウント・パスワードをだまし取る偽メールがお馴染みの手口で登場

「Apple IDが無効になったのでAppleの確認ページで認証をしろ」
という趣旨の偽メール、それもきちんとした日本語でちゃんとリンゴマーク入りヘッダの付いたものを、Apple.co.jpで送りつけてくるメールが相当出回っているという話はここでも過去何度か取り上げた。

「あなたのAppleIDが凍結されている。至急リンク先ページでIDの確認をせよ」という内容のno.reply@appleid.ssl.comのメールはフィッシングだから気をつけろ！＜さらに追記あり＞

「あなたのAppleIDが凍結されている、直ちにロック解除してください」というメールがまた来ている〜リンク先を覗いてみたがおなじみの手口だった…

「AppleIDが継続できない」と警告しニセIDサイトに誘導するフィッシングメールが増えて来たが、最近は手が込んできてスマホでは真偽の識別が困難になってきた

以前から再々報告している日本人iPhoneユーザー狙い撃ちのフィッシングメール・詐欺サイトのコンビネーションがだんだん精度を上げてきているので注意せよ！

どれも明確にスマホユーザー狙いで、スマホが表示領域の問題でパソコンと比べると偽装のボロを出しにくいという特性を悪用している。
総体にスマホユーザーの方がパソコンユーザーよりも情弱が多いということも関係あるかもしれない。

ほぼ同じ手口で（おそらく作者も同じ？）今度はDropboxのアカウント情報狙いの偽メールが昨日から飛び交っている。

「サインアップを完了する前にアカウントを認証する必要がある…」というアカウントを
作った直後に飛んでくるようなメールが昨日複数アカウントに飛んできた
認証が切れたのかと思わせたいのかリンクに誘導する

差出人はdropbox.comの本物っぽいメールアドレスなので（もちろん偽装だが）
ここでフィッシングを見破ることはできない

リンク先のサイトのデザインも本物っぽいので
ここまでで見破れるポイントはURLフォームしかない
これについては後述

ちなみにこちらが本物のDropbox社からのアカウント確認メール

差出人は本物も偽メールと同じno-reply@dropbox.com

本文は翻訳調の日本語なのでAppleID偽メールがそうだったように
偽メールの方もすぐにこの程度のこなれた日本語版が出てくるだろう

偽メールのリンク先をMacのブラウザで開いてみた
サイトデザインはもっともらしいが下の「Click Here」をクリックしても
このページに戻ってくるだけで結局右上の「サインイン」に誘導して
アカウントとパスワードを盗むのが目的だった
個人情報狙いかな？

左上のDropboxアイコンをクリックしたらCentOS版のApacheの
テストページが出てきたのはちょっと面白かった
まだいろいろ試行錯誤中なんだろう…

ちなみにこちらが本物のDropboxのサインインページ
サイトのデザインなんて簡単に真似ができるのでアイコンの違いとか
フォームの有無などは識別の参考にはならない

URLウインドウでサイトのURLを確認するのが古典的だがやはり一番確実な方法だと思う
SafariならURLに認証が付いていたらこんな感じで緑の被認証社名が出る
認証がない場合もドメインがちゃんとしているかどうかが確実な識別ポイントだ
上の公式サインインページのURLはwww.dropbox.comという公式ドメインになっているのが見て取れる

『お前のメールアドレスを乗っ取った、PCも乗っ取った、Hな画像を見てHogeHogeしているお前の顔をWebにあげたので公開して欲しくない場合はBitコインで金を払え』というメールが届くようになった

この数日、表題のような内容のメールが届くようになった。

このメールがいかにもGoogle機械翻訳に頼ったようなたどたどしい日本語なのだが、日本語にわざわざ訳して送りつけてくるところを見るとこちらが日本人であるという個人情報をつかんだ上で送ってきているということらしい。

さらにいうと『お前のメールを乗っ取った、お前のメールのパスワードは◯◯だ』という内容が含まれているということだ。

このパスワードが今では使用していないがまさに１５年前にYahoo Japanから漏えいしたパスワードだった。

孫のハゲ！
たった１０００円でなかったことにしようとしやがったが、おかげでYahooから漏えいしたアカウントパスワードのリストはスパム業者・ハッカーの間で売買されてついに世界中で流通するまでになったということぢゃないか！

ある日を境にこういうメールが毎日のように飛んでくるようになった
発信者が私のメールを偽装しているのはこれまでもあったことなので驚かない
問題は私のメールのパスワードをズバリ言い当てて（ただし１５年前の漏えいの時に変更済みだが）
お前のパスワードでお前のPCのリモートデスクトップを乗っ取ったといっていることだ
おしい！ウチにはリモートデスクトップで遠隔操作できるパソコンがないのだよ
MacBook ProはじめMacはリモートデスクトップでは乗っ取れないのだよ

このメールの本文は機械翻訳の変な日本語なので、正しい日本語に再翻訳すると以下のようになる。

こんにちは！

突然のメールを不審に思っているかもしれないが、私はあなたのアカウント◯◯@yahoo.co.jpをハッキングし、そこからメールを送った。
あなたのデバイスは完全に私の支配下にある！

たとえば、◯◯@yahoo.co.jpのパスワードは◯◯です

あなたが閲覧していたポルノサイトに仕込んだマルウエアにより、RDP（Remote Desktop）であなたのPCを乗っ取った。 キーロガーを使ってWebカメラも乗っ取った。
メッセンジャー、SNS、メールも全部こちらに筒抜けだ。

２画面のHなビデオとそれを見ながら恍惚としているあなたの顔を編集してWebにあげた。
公開して欲しくないなら$850をBitcoinで支払え。
私のBTC住所： 1AVoeWk9HMud7jpiP4sRQ4vS72YqcXwwM2
（大文字小文字を識別するのでコピーして貼り付けてください）

支払は2日以内。交渉はなし。
このメールを読んだことがわかるように特定のピクセルを仕込んだ。

BitCoinが支払われなければ、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。

次回は注意してください！もっとましなウイルス対策ソフトウェアを使用してください！

最後は大きなお世話である。

しかしWebサイトに仕込んだマルウエアでリモートをとって、SNSやカメラまで自由に操れるとか、メールに仕込んだ「ピクセル（？）」により読んだかどうか遠隔からわかるとか、好き放題妄想を描いたものだ。

これだけだったら子供のいたずらと気にも留めなかったのだが、この「お前のパスワードは◯◯だ」という部分が正しく１５年前にYahoo Japanから漏れたパスワードだったので、ちょっと、いや、かなりどきっとした。
Macが乗っ取られた形跡がないか、Yahooのアカウントに不正にログインされた形跡がないか思わず確認した。

もちろんパスワードは15年前に変更しているのでそんなことはあり得ないのだが、あの時のリストが未だに海外にまで売買されているのだと思うとちょっとげんなりした。

メールのヘッダを詳細表示してみた
メールの送信者は自分のメールアドレスのように偽装されているが
赤で囲われたところをみると「認証されていないユーザが名乗ってる」と
ハッキリ出ておりメールアドレスを詐称したIPアドレスがしっかり表示されている
差出人の詐称は古典的な手法でこれ自体はよくあるスパムの手口

こうなったらオジサン掘っちゃうぞ…
このIPアドレスはベトナムテレコムで割り当てられているGIPでベトナムから発信されている

ほぼ同内容の機械翻訳スパムメールはメキシコから飛んできていた

そして同じくほぼ同内容の別のメールはポーランドから飛んできていた

残念、このことから察するにメールの送り主はTORかなんか使ってプロキシからこのメールを送りつけてきているのかな。

ビットコインのアドレスはおそらく本物だろうから、ここから問い合わせたら割り出せるのかな。
ビットコインがそんな問い合わせに応えるような真面目な企業によって運営されているようには思えないけど。

【追記】
そういえば当時Yahooのユーザリストは数万だったか、数十万だったかのオーダーで漏出したはずだ。
その全員に「お前のパスワードは◯◯だ」という文面を送りつけているのかもしれない。

ということは何人か引っかかってBitCoinを振り込んでいるのかもしれない。
ランサムスパムとして案外効率がいいかもしれないな。

昔一度だけお試ししたWebサービスとかを、このメールとパスワードの組み合わせで登録したかもしれないので、ひょっとしたらそういうところが乗っ取られるかもしれない。
いずれもWebサイトおすすめリンクページとか、アフィリエイトとかだから直接害はないかもしれないけど。
ただそういう十数年以上前に一度だけお試ししたところが、どんなパスワードで登録しているかなんてもう記録も残っていないのでどうしようもない。

パスワードの使い回しはくれぐれもやめましょうという教訓かな。

それと信頼できないWebサービスには個人につながる情報は登録しない…この２点に尽きるな。

「Macが3つのウイルスに感染しています」とかいきなりAppleCare（もどき）のページに飛ばされてセキュリティソフトをダウンロードさせる正体不明の「Mac Cleaner」というソフトについて

自宅の当サイトのバックアップを表示チェックしていたら、いきなり下記のキャプチャのようなAppleのホームページ（？）に飛ばされて、AppleCareが「ウイルスに感染しているからMacをスキャンしろ」という。

AppleCareにそんな機能があったっけ？とかいう以前にうちのMacは一台もAppleCareに入っていないではないか…というところでもうすでに噴飯ものなのだがせっかくなのでちょっとお付き合いすることにした。

ひょっとしたら新手のランサムウエアか何かを釣り上げたんじゃないかと思って。

ただ自分のサイトのリンクを踏んだ時に、ここに飛ばされたのがちょっと嫌な感じなのでサイトバックアップは全消去してローカルのマザーをアップロードし直した。
なにかスクリプトをインジェクトされたような気配はなかったが一応念のため。
この記事を書き終えたらMacServerの本家サイトも全面上書きする。

本日自宅サーバーの弊サイトのバックアップのリンクチェックを
していたらいきなりこんなページに飛ばされた
Appleのホームページのような体裁を装っているが
上のリンクは全部ダミーだしそもそもAppleCareにウイルス検知の機能なんかない

こういう時はまずURLのドメインの項目を確認するのが心得
当然だがこのAppleもどきサイトはapple.comではなくrackcdn.comというドメインだった

さっそく掘っちゃうぞ…ということでwhoisで検索してみたが貸しドメイン屋の情報しか出てこない

虎穴に入らずんば虎子を得ず…でもないが情報が得られないなら乗ってみる
おすすめに従ってスキャンをかけてみた

そうすると２つのウイルスと１つのスパイウエアに感染しているので
駆除ソフトをダウンロードせよというのでダウンロードしてみた
「MacCleaner」というソフトなんだそうだ

ダウンロードが完了したらさっそくClamX AVに捕まった

ClamX AVの判定はこのインストーラはPUA.OSX.AMCに感染しているとのこと
PUAとは PUA (Possibly Unwanted Application)つまり「望ましくないソフトウエア」
夏頃にMacKeeperなんかがPUA認定されて話題になっていたが要は有効な機能もないのに
ユーザを脅してアプリを購入させる強引なマーケティングをするアプリという認定のようだ

ClamX AVに隔離されてしまったがインストーラはしっかり確保したので調べさせてもらう

Pacifistで中身を見させてもらったら中にがディスクイメージが一個ゴロンと入っているだけ
このイメージをマウントするとこの中に本当のインストーラが入っているということらしい
でた！迷惑ウエア特有の入れ子構造…リバースエンジニアリングを嫌っているだけかもしれないが
ウイルス対策ソフトにこんな入れ子構造は必要ない気がするのは私だけ？

このディスクイメージはMacCleanerさんの管理者パスワードで
ガッチリ守られていて中身を見ることはできなかった

そして先ほどのAppleCareもどきのページを
もう一度表示しようとしたらもう逃亡した後でした…
レンタルドメインを次々切り替えてDNSのレピュテーションサービスの
有害サイト認定をかいくぐる気満々ということか

この「MacCleaner」がどの程度有害なソフトかは未テストなので不明。
Appleのサイトを偽装してウイルス感染と脅して駆除ソフトをダウンロードさせて、しかもそのもどきサイトも短時間に逃亡しているという振る舞いだけで、このアプリがどれほど有益なソフトか知れるというものなのでもうテストも省略させてもらった。

かつてMacKeeperがこれと同じようなことをやらかしてすっかり評判を落としていた事例を思い浮かべるが、このMacCleanerはAppleのサイトを偽装しているだけ悪質だ。

やはり夏頃、PUA認定が出ていたAdvanced-MacCleanerと同一ソフトなのか別物なのかは不明。
また世の中にはMacCleanerという別物の真面目なソフトもあるので話はとても紛らわしい。

昔MacSweeperという真面目なソフトと、MacSweeperというランサムウエアがあったがこういうマルウエアはこういう紛らわしい名前にしたがるので注意が必要だ。

「Macが３つのウイルスに感染しています」とかいってAppleのニセサイトに誘導してセキュリティソフトをダウンロードさせる押し売り広告がどうやら蔓延している

先日も取り上げたがブラウザが突然画面が切り替わって「お前のMacはウイルスに感染している、今すぐスキャンしろ」というAppleのサポートサイト（もどき）に飛ばされる手口がどうやら各所で蔓延しているらしい。

詳細はこちらにも触れた。
「Macが3つのウイルスに感染しています」とかいきなりAppleCare（もどき）のページに飛ばされてセキュリティソフトをダウンロードさせる正体不明の「Mac Cleaner」というソフトについて

今回はツイッターのクライアントからリンクを踏んでYouTubeを開いたらいきなり画面が切り替わってキャプチャーのAppleサポートページ（自称）に切り替わったのでYouTubeから何か打ち込まれたのかもしれないと思ってスキャン、ダウンロードボタンを押してしまう初心者がいるかもしれないと思った。

Safariなどのブラウザが開いて「ウイルス感染発見」とか言われたら、いくらAppleのロゴが貼ってあっても100％偽物だから決してスキャン、ダウンロードボタンなどを押してはいけない。

なお「ウイルス対策ソフトを入れていてこういう詐欺サイトはブロックしてくれる機能があるから自分は関係ない」などとタカをくくってはいけない。

このニセサイトは数時間で姿をくらませて別のURLでまた現れるという動きをしており、いわゆるマカフィーやノートンなどの詐欺サイトブロック機能「Webレピュテーション」などの対策の弱点を突くような操作をされている。

その手のウイルス対策ソフトが「有害サイト」として認定した頃にはとっくに該当サイトは逃亡して消えている。

そして貸しドメイン屋から大量にドメインを購入しているようなので、次から次へと新しいニセサイトを移動して表示している。
そしてそのニセサイトに飛ばす広告はYouTubeやまとめ系サイトなどのアフィリエイトに大量に潜り込んでいるようだ。

ツイッタークライアントのツイートのリンクをクリックしたらYouTubeが開いて
すぐにこのページに飛ばされるまでアレヨアレヨという間だった
そしてこのページ、前に紹介した時と違ってAppleのリンゴロゴが赤から
グレーに変わっているし「AppleCare」とかいう間抜けな表示もやめたようだ
どうやらこのページを作っている奴は日本語が堪能、あるいは日本人で
「Appleは今頃あんな赤いリンゴのマークは使っていない」「AppleCareはウイルス対策サービスではない」
とかのSNSのツッコミを読んで常にページを改善しているような気がする

そしてやはりMacがウイルスに感染しているのでスキャンソフトを
ダウンロードしろというページに飛ばされる
ダウンロードが完了したら右上のダウンロードボタンを
押してインストールせよと迫っている

ダウンロードしたスキャンソフトは即ClamXAVSentryに捕まって
隔離フォルダに移動されるところまで前回と全く同じ
そして前と同じ「MacCleaner」というソフトがPUA.OSX.AMC
というマルウエアであるという認定も全く同じ

最初のAppleサポートページをもう一度表示しようとしたらまたもや逃亡した後だった

しかしダウンロードサイトはどうやら固定のURLで運用しているようなので
そのドメインをWHOISで掘ってみたらこんな感じだった
パナマのサーバーを指し示していたがパナマ人が日本人を
騙そうとして仕組んでいるというわけではないだろう
こういう管理が緩い国のサーバーや貸しドメイン屋を使っているだけで
日本人または日本人をターゲットにしている人物の仕業という感触が高い
そしてこのニセサイトはアフィリエイトとしてYouTubeや
あちこちのブログ向けアフィリエイトサービスに潜り込んでいるようだ
対策としては「感染している！」とか書いているサイトが開いたら
何もしないで即閉じる…これに尽きる

iTunes StoreのアカウントID凍結を警告するフィッシングメールがまたぞろ来る〜毎度のことだけどスマホのこの仕様なんとかならんの？

ここ数日で何通かこういうメールが来る。

内容は曰く
支払いの問題でApple IDがロックされました【警告】
Apple ID（メールアドレス）のために必要なアクション。
私たちはApp Storeでお支払いの同期が失敗していることがわかりました。
サービスへのアクセスを失うことを避けるために必要な支払い方法を更新します。
このような理由から、あなたのアカウントがフォローアップまで一時的にロックされます。

最終同期ステータス
２日前。

支払い同期ボタン

こんな感じの内容で例によって機械翻訳で英語から日本語に翻訳されたような変な日本語なのだが、この数日アプリレジストの解約でちょうどApp Storeとちょっとゴタゴタしているタイミングだったのでちょっとドキッとした。

フィッシングの日本語が変だから見分けられるという問題ではない。 どうせ今回も中国か南米のプロキシ経由で中国人か韓国人あたりが送りつけてきているんだろうけど、差出人のメールアドレスがはっきり識別できないというスマホの仕様のせいでその都度スパムかどうか判断保留しないといけないのが鬱陶しい。

本物かどうか見分けるためにリンク先を覗いてみようとかスマホで絶対やってはいけない。
こういうフィッシングメールが来るたびにわざとリンクを踏んで差出人のURLを確認するというようなことをこのサイトでも時々やっているが、私の場合これはちゃんとリンクのURIに自分のメールアドレス情報が含まれていないかブラウザで確認してからやっている。

「リンク先でパスワードやカード番号を入力しなければ安全だろう…」というような誤解をしている人もいるが、確かに入力しなければその時は詐欺に這わないがレファレンス情報でこのメールアドレスに送ったメールからリンクに入っているという情報を掴まれて
「このメールアドレスは詐欺メールに反応するアクティブなアドレスだ」
と認定されてさらにスパムメール業者にメールアドレスリストが流される。

そのうちもっと手の込んだフィッシングメールが飛んできて、しまいには騙されるかもしれない。

だから何も入力しないから問題ないだろうとか思って、決してスマホからリンクを踏んだりしてはいけない。

「Apple」からiTunes Storeの支払いの問題で
アカウントがロックされたというメールが来た
差出人は「Apple」になっておりここにもし正しいAppleサービスメールアカウントが
入っていたらスマホからは完全に識別不能だ
住所録に登録しているデフォルト設定のままだと
開いてもちゃんとAppleのメールアドレスが出てくる

ちょうど今実際にiTunes Storeとゴタゴタしているタイミング
だったので「まじか！」と一瞬思ってしまった
ここで慌ててこのリンクを踏んではいけない
HTMLメールなのでMacのブラウザでも開くことができる
ブラウザで開いて見てこのリンク先が本当に「Apple.com」の
ドメインなのか確認してからでないと踏んではいけない
しかしスマホではそれができないから確認の仕様がない

このメールをMacのメーラアプリで開くと差出人はAppleではなく
「Google.com」のアカウントを詐称している間抜けぶり
おまけに文字化けグダグダでどう見ても公式アカウントからのメールではない
ヘッダをフル表示するまでもなくフィッシングメール丸分かりだが
こんなグダグダメールでもiPhoneなどのスマホで見ると本物みたいに見えてしまう
もう少し上級者の詐欺師だったらAppleのサービスメールを詐称することもできる
必ずパソコンかMacのメーラアプリでヘッダのフル表示で差出人を確認することをお勧めする
そして一番問題なのは詐称するまでもなくAppleと名乗ればスマホには「Apple」と見えてしまうことだ
スマホは詐欺に遭いやすい情弱デバイスだということを心に留めてほしい
こういうメールが来たら慌ててリンクを踏まないで必ずMacかPCで確認すること

MacやPCのメーラで何を確認するかというと「まともな」メーラなら
必ず「ヘッダをフル表示」というメニューがあるはずだ
これでメールのヘッダ情報を確認する

この詐欺メールはapple.comではなくnoreply@accouts.google.comを詐称するという
間抜けぶりだがそのgoogle.comも「does not designed permitted sender hosts」
ということで「代理送信ですよ」と警告されている
もしApple.comのサービスアカウントを詐称されても
こういうことでちゃんと見抜くことができる

こんな間抜けなフィッシングメールでもiPhoneやスマホだと騙されるのは
カウント名に「Apple」と書けばiPhone上ではAppleと表示されてしまうからだ
間抜けメールにも騙されるiPhoneの情弱メールの仕様は如何なものかと思うのだが…

【追記】

スパムメールフォルダをさらっていたらいつの間にか、Amazonのアカウントが無効になったぞという内容のフィッシングメールも来ていたことに気がついた。

こちらは上記のiTunes Store詐称メールよりはちゃんとした知能のヤツらしく、メールアドレスはAmazonのメールアカウントを偽装していた。
さらに「問題解決」のリンク先はちゃんとhttp://www.amazon.co.jpで始まるURLになっていたので慌て者だったら引っかかるかもしれない。

スマホで見分けることは不可能だと思う。

つまりPCもMacも使わずにスマホだけですべての決済手続きをする最近の若いユーザーは、もう救いがないということだ。

「Amazonのアカウントに不正なアクセスがあったので
パスワードなどを確認せよ」という内容のフィッシングメールが飛んできた
メールアドレスはちゃんとしたAmazonサポートのメールアドレス（を詐称したもの）
もちろんリンク先でパスワードを入力したらアウトだ

Mac上でGyazMailでこのメールを表示してhtmlファイルをSafariで表示した様子
ロックアウトの解決のために「ログインボタン」からログインするように求められるが
このボタンをクリックしないでマウスオーバーするとリンク先のURLが下に表示される
この詐欺サイトの管理者は先のiTunes Store詐欺サイトよりかなり知能が上のようで
リンク先URLはちゃんとhttp://www.amazon.co.jpで始まるURLになっているがよく見ると
co.jpの後にスラッシュ（／）が入っていないのでこれがドメインではなくもっとずっと下の
.infoで終わっているセクションが本当のドメインになっている
スラッシュまで確認する習慣を身につけないとブラウザでも騙されるかもしれない

さらにこのリンク先URLをコピーしてテキストエディタにペーストすると
ドメインから表示ページの.phpの間に長大なパスがあることがわかる
これはどういうことかというと誰に出したメールにはどのパスに
リンクしたかを記録しておけばどのメールアドレスがいまだに
フィッシングに反応する間抜けなアドレスかを確認できるわけだ
そして反応したメールアドレスは「詐欺にひっかりやすいメールアドレス」として
またリストが闇業者に売買されるのでこういうものに反応しないのが正解
しかしiPhoneではこれは確認できないのが問題だ

お馴染みの「あなたのアカウントが停止されマシた。リンク先でパスワードを確認してください」というフィッシングがだんだん手が込んできてる

口絵のメールが来た。

毎度お馴染みの「あなたのアカウントが停止された」「アカウントが不正アクセスされた」「停止されているのでアクティベートしてください」という手口のフィッシング詐欺メールだ。

お馴染みの手口なんだけど、偽装の仕方がだんだん手が込んできている。

これまでは「Amazonのアカウントが停止されている」という内容で、
Amazon.co.jp
というアカウント名で送信されたメールも、メールアドレスを見ると「Google.com」になっていたり「youtube.com」になっていたり
「んなわけねえだろ！ブヮァーカァwww」
と笑ってられるような偽装だったが、ちゃんと「amazon.co.jp」のドメインのアカウントを偽装していたり、リンク先のパスワードリセットの偽装ページのURLがちゃんとhttpsだったりする。

最近どこぞの「セキュリティの専門家」が
「httpsを使用する、ブラウザに鍵のアイコンが表示されるページは信用できるページ」
とかのたまって炎上していたが、そういう手合いはきっちりだまされるような手口になってきている。

口絵の「Amazonのアカウントが停止されました」というhtmlメールが来た
もちろんAmazonプライムのロゴマーク入りだからもうビジュアルでは識別できない
日本語も機械翻訳のような変な日本語ではなくきちんとした日本人っぽい文章
メールアドレスを確認するとちゃんとAmazon.co,jpとなっている
メールアドレスはどうせ偽装だろうけどこうなるともうスマホからは
ホンモノかニセモノかの判断が困難になってくる

MacでGyazMailを起動して問題のメールのヘッダーをフル表示すると
差出人のメールアドレスはちゃんとamazon.co.jpになっているが
pursing errorが出ているのでホンモノではない
ただ今までのように「not allowed」という表示を出すような
ドメインの追跡を妨害する細工はされている
きちんとヘッダを見ないと差出人のアドレスがホンモノかどうか判別は難しい

さらにパスワードをリセットせよと誘導されるフィッシングサイトのドメインも
amazon.co.jpドメインになっているかのような偽装がされている
よく見ると.co.jpの後にスラッシュがないので本当のドメインは.topの前の部分なんだけど
ぼんやり見ていると見間違えかねないしさらにhttpsのスキームになっているのにも注目

つい最近も
「SSLを使っているサイトは安全」
「URLにhttpsとついていればサイトがSSLで暗号化されている」
とかフィッシングサイトに引っかからない心得をテレビで解説していた、自称「セキュリティの専門家」が居たけど、ああいういい加減な解説を鵜呑みにするとこの手の偽装にはきっちりはまることになる。

以前も会社でセキュリティ担当をやった時に、「専門家」なる人たちの話をいろいろ聞いたが、ああいう人たちは本当に玉石混交なのだなと実感した。

ニセ専門家の中には本当にレベルが低い人がいて、なのにもっともらしいことを言うから注意が必要だ。

そしてフィッシングやっている連中もきちんとそういう解説を見て、これを騙す方法を対策してフィッシングメールを繰り出してくるからやはり引っかからないようにするには勉強が必要だ。

ライフハッカーによるとMacユーザーが今最もやられているマルウエアが「Shlayer」なのだそうだ〜っていろいろミスリードじゃないか？

最近になってMacユーザーのかなり多くがマルウエア「Shlayer」にやられてこれが猛威を振るっているという記事を見かけた。
Twitterなどであちこちリンクを見かけたが詳細はこちら。
Macに危害を及ぼすマルウェア｢Shlayer｣が流行中。その対策法は？ | ライフハッカー［日本版］

このライフハッカーの記事を見て「なんだかなぁ」と思ったのは、こういうセキュリティに関する記事は相変わらずミスリードが多いということ。

「Shlayerそのものは数年前に登場したマルウェアですが、偽のFlash Playerをダウンロードさせて悪意あるソフトをインストールするマルウェアは昔からありました。最も古いマルウェア攻撃と言っても過言ではないくらいです。」
という一節でShlayerが確認されたのは「数年前」とか大雑把な書き方をしているが、確認の記事がintegoから出たのは2018年なので一昨年のことだ。
詳細はこちら。
偽のFlash Playerインストーラーを装い、感染したMacに追加のマルウェアやアドウェアをダウンロードする「OSX-Shlayer」が確認される

ShlayerはどういうマルウエアかというとAdobeのFlashPlayerのインストーラーを偽装して、PUA…いわゆるユーザーが望まないアプリをダウンロード・インストールさせるマルウエア。
DownLoaderというマルウエアに分類される。

PUAというと最近はMacKeeperが
「あなたのMacは感染しています」
というポップアップをしつこく表示することで一部のセキュリティフォーラムからPUA認定されて話題になっていた。
大体は「Microsoft Officeのライセンスフリー版」とか自称してインストーラーをダウンロードさせて、「インストールする」ボタンを押すと偽セキュリティソフトやライセンス契約をしつこく強要する常駐ソフトをダウンロードしてインストールさせるという動きをする。

ウイルスと違うのは自律的に繁殖したり別の端末に感染する機能はなく、すべてユーザーが「インストール/OK」ボタンをクリックすることで繁殖、感染する。

ライフハッカーの解説のアカンところは
「2020年の今、Flash Playerをインストール・更新・使用してオンラインコンテンツにアクセスする理由はほとんどありません。もっとも、スポーツイベントの違法ストリーミング放送や、流出映画を見たいなら別の話ですが。」
とか書いちゃってミスリードしていることだ。

このソフトは違法ストリーミングサイトや違法映画ダウンロードサイトだけで配布されているわけではない。

こういうことを書くから「俺は違法サイトは一切見ないので安全だ」とかいう誤解を招くことになる。

このマルウエアが流行しているという情報のネタ元はどうやらこちらのカスペルスキーのサイトらしい。
Macユーザーの10人に1人が「雑で時代遅れなマルウェア」に攻撃され続けており被害は拡大していることが明らかに - GIGAZINE

こちらの解説では
「アフィリエイト広告を介してインストールページを表示し、あたかもムービーの再生に必要なソフトウェアの様に偽って、インストールを促したり…Wikipediaのリンク先に紛れていたりすることもあります。」
となっている。

この偽インストーラーの配布もとは何も違法サイトやエッチなサイトだけでなく、普通のサイトでアフィリエイトに紛れ込ませて突然ポップアップを表示したりするということは、別に違法なサイトでなくてもポップアップが出てくるということだ。

信頼できるサイトのアフィリエイトに紛れ込ませて「FlashPlayerが必要です」というポップアップを表示するアフィがあって
「このサイトのコンテンツにはFlashPlayerが必要なのか」
と何気なくOKボタンをクリックすると感染するということが問題なのだ。

AdobeのFlashPlayerやJava runtime Environmentなどのアップデートが全く関係ないタイミングで突然ポップアップを出して
「アップデートをしてください/OK」
という表示を出すことが問題なんだと思う。

いつも関係ないタイミングで突然出るから、ブラウザでWebを見ているときに「アップデートしてください」という表示が出るとついつい押してしまうかもしれない。

真面目な動画をREFしているサイトの表示中に「FlashPrayerが必要です」というポップアップが出ると思わずクリックしてしまうかもしれない。

こういうところが問題なので「違法サイトを見ていないなら問題ない」なんてことは全くない。
ライフハッカーのライターは何が問題なのか全くわかっていない。

これが今になってなぜ「流行中」みたいな記事になるかというと上記のカスペルスキーのサイトの「被害件数の割合」の集計が根拠になっている。

問題のカスペルスキーのMacマルウエア被害の比率
Macのマルウエア被害の3分の1が「Sslayerの被害」という内容だが
この統計の母数がわからないし%で表示されているので何件被害があったのかがわからない
これでは「Macユーザー10人に聞きました」というアンケートの結果かもしれず
データの信憑性は全く検証できない

AdobeのFlashPlayerは「バグの塊」とスティーブ・ジョブズに決めつけられたが
「MacこそFlashPlayerのサポートの努力を怠っている」とAdobeが批判して
喧嘩になっていたのが記憶に新しい
FlashPlayerはそれ自体が実行環境になっているためにセキュリティホールに
なりやすいという問題もあるしこのアップデートのポップアップが突然出てくるために
詐欺マルウエアの餌食になりやすいという問題がある
こういうポップアップをそっくりにコピーしてマルウエアに表示させるのは簡単だから

ライフハッカーの記事は「違法サイトにアクセスしなければ関係ない」みたいなことを
書いているが実際はたまたま動画を置いている真面目なサイトを閲覧中に
アフィリエイトに紛れ込ませてこういうポップアップを出させれば
「表示にFlashPlayerが必要なんだ」と思ってクリックしてしまうかもしれない
最近はアフィに紛れ込ませてマルウエアのダウンロードサイトに誘導する手口も
増えているので「違法サイトにアクセスしなければ安全」なんて解説全くのナンセンス

にしても、マルウエアを特定したのがインテゴでこれが流行しているというミスリード記事のソースがカスペルスキーで…ってこの界隈はなんでこうもいかがわしいのかな。
これであとトレンドマイクロが揃えば数えで満貫だけど…今のところトレンドマイクロはこの「流行」にまったく触れていないみたいだが。

最近増えたパスワード認証詐欺サイトをiPhoneでも見分ける方法〜タップでプレビューできるようになったのはありがたい

最近多くなったフィッシングサイトに誘導する偽パスワード確認メール。

大抵はAppleIDとかApp Store、Amazonやヤフオクなどの「アカウントの更新ができなくなったのでリンクから認証ページに行ってパスワード認証をしてください」という内容のメール。

もちろん嘘で、当該リンクを踏んでサイトでパスワードを入力するとめでたくパスワードを抜かれて、ある日気がついたらApp StoreやiTune Store、Amazonなどから高額の請求書が来るという流れ。

さらに相手が上級者だったら、そこからクレジットカードの認証も抜いてテレビや自動車の請求書まで来るというやりたい放題をやられてしまうのがこの手のフィッシング詐欺。

パスワードを入れなければいいんだろ…とか舐めていると痛い目にあう。

リンクにはあなたの識別IDがしのばせてあり、リンクを踏むと「このメールアカウントはフィッシング詐欺にひっかりやすいアカウント」と認定されて、次回からこの手のフィッシングメールガ大量に来ることになる。

しかしPCやMacのブラウザ上だったらリンクが本物なのか、フィッシングなのかが識別しやすいがiPhoneはそうはいかない。

URLをフルに表示しないという欠点のために識別できないのだが、最近ここが改善されたらしい。

AmazonのPrime会員の更新ができないために
アカウントがまもなく無効になるというメール
このアカウントでPrime会員登録はしていないので
嘘だとすぐわかるのだが登録者だと心配になる

かといって思わずリンクを踏むと「このアカウントは
チョロいアカウント」認定されてフィッシングメールが
どっさり来るという流れになる
リンクは踏まないのが正しい対応法
そこでiPhoneの場合はこの「認証サイト」へのリンクを長押しする

するとプレビューが表示されて先方のURLが長めに表示される
要はドメインが正しいURLかどうかが問題でAmazonなら
Amazon.comでないといけないAppleならApple.comだし
この67.229.48.197というグローバルIPやApple.com.certify.cu/
というような紛らわしいURLはすべて嘘
これで見分けられる

総務省から2回目の定額給付金のお知らせが来た…ってきっちり詐欺メールじゃんかこれ〜いろいろ手を替え品を替えしてきますなぁ

コロナ第三波来襲が確定的になって、首都圏や大阪、北海道など新規感染者数が記録を更新しているなか、東京都も非常事態宣言を考慮するなどの事態になり2回目の特別定額給付金の手続きのお知らせメールが来た…というていのフィッシングメールが来た。

前回の定額給付金の時に不正受け取りや売上が急減した事業主に対しての持続化給付金をビジネスも何もしていない個人が不正に申請して受け取る給付金詐欺が、全国で多発していてそんなのバレないわけがないのにと思うがそういう詐欺の勧誘に乗る情弱が世間には大勢いることが判明した。

そういう情弱を狙い撃ちしたのかどうなのか、今度は給付金がほしいと思っている個人をターゲットにした詐欺メールがついに登場した。

総務省からの二回目の定額給付金の手続きを開始するのでホームページで確認せよといういかにも役所のメールっぽい内容のメールが届いた。

リンク先はどうやらリンクを踏んだ個人をリストから特定するようなリンク形態になっているようなので踏んではいないが、おそらく住所氏名と口座番号、暗証番号を記入させるような内容になっているのだろう。

受給詐欺をするような情弱なら引っかかるに違いないという悪意がにじみ出ている。

メールは二回目の特別定額給付金の手続きサイトを
開設したので確認せよといういかにも役所的内容
差出人は総務省になっており口絵の通り総務省のレターヘッドも付いている
変な日本語でもないので注意力が不足している人たちなら引っかかると思う

狙いはこの定額給付金のポータルサイトというリンクを
踏ませてそこで個人情報を抜き取ることらしい

例によってそのリンクをタップしないで長押しするとリンク先のURLをプレビューできる
soumu-go-jpというもっともらしいURLになっているが本当のドメインはそこではなく
10wzhishi.comというスラッシュ直前の部分で総務省とは何の関係もない

ヘッダーを詳しく見るためにMacのGyazmailでチェック
差出人はpostmaster@soumu.go.jpと総務省のメールサーバーっぽいアドレスになっているが…

ヘッダーを詳細表示してみると差出人のIPは
「soumu.go.jpのドメインを使用する許可はされいない」とある
差出人偽装はもう最近の詐欺メールの常套手段だ

該当のIPアドレスは香港のプロバイダーに割り当てられていた
おそらくレンタルサーバーだろうからこれ以上差出人の情報は多分追えない
ただし本物の持続化給付金の手続き業務も相当いい加減な孫請けに
出されていたようなので本物もこういうもんかもしれないが…

第二回特別定額給付金のお知らせが来た！お小遣い１０万円お代わり！！…ってなめてんのか？

総務省から定額給付金のお知らせメールが来た…って、御察しの通りスパムメールだ。

HTMLメールで総務省の名義で第二回特別定額給付金の給付が決定して総務省のホームページで詳細を確認してくださいという内容のメールだ。

その総務省の広報サイトというところにリンクが貼ってあって、そこに誘導して住所氏名、生年月日や口座番号などの情報を抜くのが目的の偽サイトにご案内していただけるんだろう。

毎日の時事ニュースにちゃんと眼を通していれば、定額給付金は麻生太郎が
「やっても効果がないのでやるだけムダ、検討する気もない」
と言っているので、２回目給付の実現性はほぼゼロと言っていいことはわかるはず。
ところがこういうメールが来るのは何度目かなので引っかかる人もいるんでしょうなぁ。

問題はこのメールのヘッダの差出人だ。

今朝もまた来ました第二回特別定額給付金のお知らせメール

問題はこのメールの差出人
楽天のメールサーバーになってるよ
「楽天メールサーバー名を使用が許可されていないホストからのメッセージ」
というヘッダーが見て取れるのでもちろん差出人偽装

なんで総務省の定額給付金のお知らせが楽天のメールサーバーから来るのか…

前回の給付金の時に電通経由でかなり怪しげなところに事務作業を丸投げしていたので、こんないい加減な偽装でも見破られないに違いないと思われたのかもしれない。

実際、思わず私もヘッダを確認してしまったのは、
「なんで楽天とは思うが、ひょっとしたら総務省ならやりかねない」
と思ったからだがさすがにそれはなかった。

総務省も舐められたもんだ。

フィッシングメールが激増しているが「リンクを踏まなければ大丈夫」とかまた日テレがスボケな報道をしている

最近
「あなたのIDで不正なアクセスを検知した、リンク先の認証ページでパスワードをリセットしろ」
というようなスパムメールが毎日のようにくる。

送信元は全部偽装なのだが「Amazon」だったり「楽天」だったり「AppleStore」だったり「住友VISA」だったり「JCB」だったり、もう手当たり次第いろんな名前を偽装して
「不正アクセスの疑いがあるから個人情報を確認せよ」
といってくる。

その数はこの一年で５倍にも増えているそうだ。

という話を昨晩某日テレの某ニュースゼロとかいう番組で
「アマゾンからの確認メールにご注意」
として取り上げていた。
上記リンク先のデータも紹介していた。

その対策が
「Amazonama.comのような紛らわしいアドレスになっているがアマゾンは個人情報を聞き出すようなメールは送らないといっているのでリンクを開かないようにすればいい」
とかいっていて、
「ああ、やっぱり日テレ報道何も理解していない」
と再認識させてくれた。

例えば口絵の三井住友VISAカードからの個人情報照会メールはフィッシングなのか？

見分けられますか？

口絵メールの続きで三井住友から「VISAカードの認証のために個人情報、
免許証番号、家族構成をリンク先ページで届出よ」という内容のメール
このリンク先で個人情報を記入する

リンクにマウスオーバーするとhttps://click,contact.vpass.ne.jp
という住友カードのドメインとは違うリンクが見える
しかも誰がリンク踏んだかわかるように長大な識別子をつけていて
まるでフィッシングメールのリンクのようだ

リンクを踏んで飛んでみると住友VISAカードの
ホームページそっくりのフィッシングサイト…
ではなく本物のVISAのページ

はい、ちゃんと認証済みの住友のドメインのページでした…
これなんかフィッシングメールなのか本物なのか素人には見分けるのは不可能だと思う

Appleから飛んで来た「不審なダウンロードを検知したのでパスワードをリセットしろ」というメール
これもメールのリンクを踏んで「パスワードを変更しろ」といっている
リンクはapple.comと書いてあるから大丈夫とか思ってはいけない
htmlメールの場合見えているURLと実際には違うリンクに誘導することは可能だ

これもマウスオーバーしてapple.comになっているから本物だとわかる
最近メインのMacBook Proを更新したのでAppStoreからダウンロードすると
こういうメールが来ることになるがこれなんかも簡単に偽装できそうだ

そして楽天から来たお支払い情報の更新のお願いメール
登録のカードが期限を過ぎたのでカード情報を更新しろといって来ている

このリンク先をマウスオーバーすると「rakuten.co.jp」とちゃんとしたドメインに
なっているのでこれもOK…じゃないんだなぁ…これのドメインは「rakutenvip.xyz」という
正体不明のドメインなのでこれはフィッシングメールだとわかる
この通り「フィッシングメールに気をつけましょう」なんて安直にいっているが有働ちゃんも
日テレの報道デスクもこのニュースの肝が全然理解できないまま適当に放送していた

「個人情報を確認するようなメールは全部フィッシングメールなので気をつけましょう」
と日テレのキャスターはニュースを締めくくったが、この通り本物の確認メールも飛んで来るぞ。

「アマゾンはそんなメールは飛ばさないとコメントしていた」
といっていたが、アマゾンだってビヘービアがおかしかったらメール飛ばすだろうし、冒頭触れたようにこれはアマゾンだけの問題ではない。

「リンク踏まなきゃ大丈夫」
というような単純な話じゃないことは、上のキャプチャの通りで本物の確認メールも飛んで来るからだ。

その見分け方をちゃんと伝えるには2分程度の暇ネタニュースでは無理で、URLの仕組み、ドメインのルール、インターネットの構造からちゃんと説明しないと何もわからないおじいちゃんおばあちゃんには一つも有益な情報にならない。

そんなの2分のニュース枠で伝えるのは無理だから
「リンクは踏むな」
と適当な結論でまとめてみました…それじゃダメなの？…という日テレのニュースデスクの表情が見えるような気がする。

フィッシングメールが激増しているのは、それだけ引っかかる奴がいるから増えているんだろう。

「リンク踏まないから大丈夫だよ」
とかいっているやつはいいカモだと思うけどなぁ。

そもそも本物の確認メールをこんな簡単に偽装できる形で送りつけて来るなよと思う。
メールは最初にPGPの公開鍵暗号を交換させて暗号化して飛ばすという慣習が定着しない限り、このフィッシングメールはなくならないと思う。

長大な識別子をつけて来るんだったら、最初からメールを個別に暗号化しろよ。
そうすれば「平文のメールは全てフィッシングメール」と簡単に識別できるのに。

NTTドコモからdポイントアカウント制限のお知らせ…って例によって中華フィッシングなんだけどだんだん手口が洗練されてきている

メールに飛んできたNTTドコモからのdポイントで不審な取引があったためにアカウントに制限をかけたというお知らせメール…よく見ると差出人が中華ドメインでフィッシングメールとすぐわかったんだけど、これがスマホだったらちょっとドキッとしていたかもしれない。

この手のフィッシングサイトにうい移動する詐欺メールはもうずっと前から盛んに飛んでいて、それこそAppleや、Amazon、楽天、ヤフーオークションから三井住友銀行、UFJ、VISAやJCBカードあらゆるお金支払いが伴う取引をする可能性があるアカウント向けのニセメールが飛び交っている。

これがなくならないということは結構な人が引っかかっているということなんだろうな。

不審な取引がありアカウントが制限されているというNTTドコモdポイントからのお知らせメール…
確認のリンク先のドメインもちゃんとdocomo.net.jpドメインになっている
が、よく見ると差出人が.cnの中華ドメイン

しかしこの差出人のドメイン名はiPhoneなどのスマホで見ると
隠されてしまうのでちょっとドキッとするかもしれない

それにしても「アカウントによっては…利用できない場合があります」とか
こういう銀行や通信系が使いそうな曖昧な日本語を
よく研究しているのでちょっと騙されそうになった
cdocomo.net.jpドメインのリンクにマウスオーバーしてみると
実際のリンク先は.topという多目的なドメイン
リンク先表示詐称をしている

差出人は中国ドメインでどうせレンタルサーバーかホットメール様のドメインなので追えない
しかし中国人、だんだん日本語うまくなってリンク詐称もできるようになってきたから
最近dポイントの操作をした人なら騙されてしまうかもしれない

例によってフィッシングメールが来たんだけどリンクをマウスオーバーしても何も出てこない…x-webdocってなんじゃ？

ほぼ毎日のように来る「お支払いができなくなりました…確認ください」「あなたのアカウントに不正なアクセスがありました」「パスワードが変更されました」の類のフィッシングメールが今日も何本かきた。

いつものことなので驚きもしないが、今日きたアメリカンエクスプレスの確認メールはちょっと変わっていた。

例によってAMERICANEXPRESS.COMの正規のURLをhtmlで偽装したリンクをクリックさせるという手口なんだけど、メールでマウスオーバーしても本当のリンク先が出てこない。

アメリカンエクスプレスのカードを使っていないので、フィッシングメールなのは間違いないのだがなぜ本当のURLが出てこないのか、ひょっとして誰かにアメックスカードを偽造されたか？…なんて不安になってきた。

「アメックスカードを利用したのが本人かどうかリンク先で確認する」という内容のメール
リンクにマウスオーバーしたら大抵.cnとかの中華ドメインの
リンクが出て来るいつものhtml偽装手口かと思ったら何も出てこない
ひょっとして本当にアメックスの警告メール？

こちらはアマゾンの偽装メール
大抵はこんな感じでマウスオーバーしたら中華ドメインや露西亞ドメインが
表示されるのだが今回のアメックスはこれが出てこない

このリンクを右クリックで「リンクをコピー」でテキストエディターに貼り付ける
iTextのようなクリッカブルエディターだとアメックスのURLになるが
CotEditorのようなエディターなら本当のリンクが表示される
ここで初めて見たのが「x-webdoc」というスキーム…なんじゃこれ？新手のひっかけ？

調べたところMacのメールとかだとURLとして非正規なリンクは反応しないのだとか。

こういうメールのリンクでWebサイトを表示させたいときは「http://…」とか「https://…」のようなスキームで始まるリンクでないといけない。

この「x-webdoc://…」とかで始まるスキームは正規のhttpではなく、例えばメールに添付されたダウンローダーのようなエクスプロイトを起動させ、そこからWebを通じてウイルスやランサムウエア本体をダウンロードさせるようなURIリンクらしい。

これ自体が必ず悪ではないが、そういう怪しいものを掴まされるのに悪用される可能性があるので、Macのメールではリンクとして解釈しないということになっているようだ。

だからマウスオーバーしても反応しなかったんだね。

フィッシングはフィッシングだったんだけど、一つ賢くなった。

三井住友銀行からきたセキュリティ確認メール〜アフォですか？こんなことするからフィッシングがなくならないんでしょ

三井住友銀行から口座の確認メールが来た。

「メールのリンクを踏んでそこでキャッシュカードの番号と暗証番号を入力して、口座を使用していることを確認せよ
さもないとあんたの口座はマネロンに使用されているとみなして凍結する」
というような恫喝に近い文章で本人確認を迫っている。

ああ、いつもの住銀になりすましたフィッシングメールかなとやり過ごそうとしたが、どうもリンクにマウスオーバーしたURLが本物っぽいので様子が違う感じ。

リンクを踏んでその暗証番号入力ページを見たらURLの認証から本物であることが判明した。

しかし、三井住友銀行のセキュリティ担当は真性のアフォですか？

三井住友銀行の担当はアフォですか？

あまりにも頭にきたので２回言いました。

文面といいメールのリンクを踏ませてパスワードや暗証番号を入力させるスタイルといいまるっきりフィッシングメールの手口とそっくりじゃないですか。

こんなことするからフィッシングメールがなくならないんですよ。

先日住銀から来た口座確認のメール
リンクを踏んで口座番号と暗証番号を入力せよという内容

ちょっと様子が違うのでいつもならメールのリンクは踏まないのだが今回のぞいてみると
リンク先の口座番号と暗証番号入力フォームのページは本物であることがわかった
しかしこれ相応に心得のある人でないと本物と偽物の区別はつかないと思う
これで本当に口座を凍結されたら住銀に厳重抗議をするとしてシカトすることにした
もう一度言う…三井住友担当者は真性のクルクルパーですか？