筆者の元に届くフィッシングメールは主に海外から送信されたものが多く、最近はアルゴリズムで自動的に迷惑メールとして弾かれるのを避けるために文章を画像化して送信してくるタイプが多くなっていた。
フィッシングに用いられるメールの英文作成も自動化が進んでいて、分析していると一見同じような内容なのだが実はひとつひとつ言い回しや表現が違うなど文章のバリエーションが豊富になっている。それらは恐らくAIを使って書かれているのだが結構読みやすい英語なので感心する。
しかし今回、珍しく日本語のフィッシングメールが来ていたのでそれについてメモとして残しておくことにした。
サーバの管理者を狙ったフィッシングメール
レンタルサーバのメールボックスコントロールパネルから送信されたメールを偽装している手口。一件目は無視していたら日を置いて微妙に違う内容でもう一件来ていたため内容を確認。
メールの内容を具体的に言うと「さくら」のレンタルサーバのサポートから送信されたものとして偽装されていて、送信者情報に実在する団体のメールアドレスが二つ利用されている。一つは当然「sakura.ad.jp」だがもう一件は全く関係ないけれど実在する日本国内の会社や団体のメールアドレスが勝手に利用されている様子だった。なぜそこが選ばれたのかも不明。
メールの Subject は 「重要なメッセージ」となっていて、それしか書かれていないためどうしても本文を見ざるを得ないよううまく誘導されてしまう。テキストメールなので開いても問題は無い。
以下メール本文より引用
必要な処置:
ウェブメールアカウントを確認してください。
あなたがする必要があるのは下のボタンをクリックすることだけです(それはほんの数秒かかります)。
あなたはあなたの個人情報の確認を求められることはありません。私たちはあなたのさくらウェブメールアカウントの所有権を確認しているだけです。http://secured.webmail-sakura.co/ad.jp/rscontrol/webmail=login
今後ともさくらインターネットをよろしくお願いいたします。
ここまで引用
本文はシンプルでたったこれだけ。
ドメイン情報を元にして利用されているレンタルサーバを特定した上で、ピンポイントでサーバ管理者向けにメールを送っていると思われる。
二通来ていたメールに記載されていた URL を比較してみたら微妙に異なっていた。
- http://secure.webmail-sakura.co/jp/rscontrol/webmail=login
- http://secured.webmail-sakura.co/ad.jp/rscontrol/webmail=login
secure が secured で、co/jp が co/ad.jp 、それ以外は全く同じ。
とりあえず上記のうち一つにアクセスしてみることにした。するとそこから別のアドレスへ飛ぶように仕組まれていて
http://secured.webmail-sakura.co
にアクセスしていたはずなのに
http://www.aaaalimos.com
へアクセス。するとログイン画面が出てきた。画面のスクリーンショットが以下。
スクリーンショット
https ですら無い時点ですぐ分かる。典型的なフィッシングの手口。HTMLソースもかなり雑で稚拙。ただ今回はあまり凝ったものではなかったが、もっと洗練されて似たものが今後出てくるかもなのでメモっておいた。