狡猾に偽装した迷惑メールが来たぞ!【iパス講座】
面白い迷惑メールが来ました。
私は「VpassClub is 何?」状態で心当たり0なので、これがまともなメールでないことは一目瞭然なんですが、じっくり見ると興味深い部分がいくつもありました。
※ググったところ、Vpassは三井住友カードの会員向けサービスで、そのメルマガがVpassClubのようです。私宛のメールでないことは間違いないですね、そんなカード持ってないし…
見て下さい、ここを↓
メール本文に書かれているURLなんですが、見た感じフィッシング詐欺っぽいURLではないんですね。
vpass.ne.jp、いかにも本物っぽいドメインなんですよね。
ここで一旦ドメインの話…をするための事前知識としてIPアドレスの話をします
これから「いかにも本物っぽいドメインってなんだ?」の話をしたいんだがそのためには結構遠回りな説明がいるので心して読め!知ってる人はこの項は飛ばせ!すまんな!
・・・
インターネットを使ったデータのやりとりは、現実で言うと手紙や荷物の宅配のやりとりに近いです。
例えば私の家からあなたの家へ荷物を送るためにはあなたの家の住所が必要ですが、
インターネットも同じで、例えば私のPCからこのnoteというサイトへアクセスするためにも、このnoteの場所を示す住所(ちなみに住所は英語でアドレスと言いますよね)が必要です。
この住所をIPアドレスと言います。IPはInternet protocolの略。インターネットというものを構築するためのルールと言ってもいいでしょう。
IPアドレスは8ビットで表せる数字(0~255)をピリオドで4つくっつけたもので、例えばこのnote.comのIPアドレスは13.249.149.13みたいです(調べた)。
WebサイトのURLはあくまで一例で、実際にはインターネットを利用しているありとあらゆる端末にIPアドレスは必要です。インターネットのデータは自分と相手を何度も交互に行き来するのが普通なので、自分側にもIPアドレスが必要です。
ということで、ありとあらゆる端末にIPアドレスという名の住所が存在しているのでした。
そんな数字の羅列見たことないが?
ですよね?普通にインターネットしててIPアドレスそのものを目にする機会は滅多に無いはずです。
なんでって?そりゃあ、分かりにくいでしょう、番号だけだと。どこの誰のことなのか。
電話番号を思い浮かべてください。電話番号って昔は電話帳にメモしたり、時代が進むと電話機や携帯のアドレス帳に保存したりしました。そうじゃないと覚えられたもんじゃないからです。
電話番号だけ見てどこの誰かを即座に理解したり、かけたい相手の電話番号がすぐ頭に出てくる人はなかなかいません。
IPアドレスも、数字の羅列だけ見てこれはnote.comのことだな、なんて分かるわけがない。人間が住所として扱うには不便極まりないです。
せめて、電話帳のように番号と名前がワンセットになっていれば、名前の方で探してIPアドレスを引くことができるのですが…
ということで、IPアドレスに名前がつけられました。それがドメイン名です。
我々人間はIPアドレスだけ見ても分かんないのでドメイン名を使ってインターネットをやります。WebサイトのURLが分かりやすい例ですが、メールアドレスも@の後ろがドメイン名になっています。
一方、コンピューター君はIPアドレスでインターネットがしたいので、ここではDNSという仕組みでドメイン名とIPアドレスを相互変換しています(この辺の話は主題と関係ないので割愛!)
やっと本題の一つ手前、「いかにも本物っぽいドメイン」とは?
ドメイン名には名づけのルールがあります。
件の迷惑メールにあった、vpass.ne.jpというアドレスを例にすると…
まず、ピリオドで3つのパートに分けられていますね。これはccTLDという分類のドメインで、国ごとに管理されているものです。
.jpの部分。これはトップレベルドメインと言い、このドメインを管理している国を指します。jpなので日本を指します。
.neの部分。これはセカンドレベルドメインと言い、このドメインを管理している組織の種類を指します。neはネットワークサービスのことを指します。
vpassの部分。これはサードレベルドメインと言い、このドメインの所有者が自分で名付けた名前です。
重要なのは.ne.jpの部分です。これは日本でネットワークサービスを営んでいる組織でないと取得できないドメインです。しかも1組織1ドメインしか所有できず、値段も高く、審査に落ちて取得できない可能性もあります。
つまり、vpass.ne.jpは簡単に取得できるドメインではないのです。これが「いかにも本物っぽいドメイン」と称した理由です。
遂に本題、このメールのどこが面白いのか
さあ、事前知識のインプットが完了したところでもう一回見てみましょう。
一見普通のメールに見えるし、URLのドメイン名も本物っぽい。
どこがおかしいのかな?試しにURLをクリックしてみるか…?
と、URLにマウスカーソルを合わせたところで異変に気付く。PCのブラウザだと、リンクにマウスカーソルを合わせればリンク先のURLが左下に表示されますが…
待って、知らないURLだよ!? www1.wposs-imbox.c048xff0.cnってなに!?vpass.ne.jpはどこ行った!?
そう、このメール、見た目のURLと実際のリンク先が違うんです。
プレーンテキストに見せかけたHTMLテキスト
これがまた狡猾な仕組みなの。
メールの本文の仕組みには2種類あります。純粋に本文の文字がそのまま表示されるプレーンテキストと、
文字サイズとか色とかフォントを編集したり、画像入れたり、そういう編集を本文に施してあるHTMLテキストです。
で、件の迷惑メールはどう見てもプレーンテキストなんですね。文字しかなくて、装飾が何もされていない。
URLにリンクが貼られているのはメールソフト側の仕様で、プレーンテキストであっても本文内にURLがあれば自動的にリンクに変換してくれる仕組み、にしか見えないわけです。
でも実態は違う。
装飾が可能なHTMLメールにして、URLの部分だけあたかも自動的にリンクが生成されたかのような装いになるよう手動で別サイトへのリンクを設定し、後はプレーンテキスト同様全くの無装飾にしたメールを作成しているんです。
ひええ~~~、こんなん騙されない方が難しいよ~~~~
このメール、クレイジー!
もっと面白いことに、実はさっきから何度も表記しているvpass.ne.jpというドメイン、
なんと存在してません。
ウソでしょ!?私だって「いかにも本物っぽい」とかドヤ顔で言ってたのに!それっぽくするための架空のURL!そこまでするの!?
実際の、本物のvpassにログインするためのURLはこれでした。
https://www.smbc-card.com/mem/index.jsp
全く違うじゃん!!
(どうせリンク先偽装するなら見た目のURLは本物の方が良くないか?)
でも意外とザルな部分も
プレーンテキストに見せかけたHTMLテキストで、URLの見た目と実際のリンク先を変えるという狡猾な手法でフィッシング詐欺を狙うこのメールでしたが…
メールの送信者(From)が…
それはバレるやろ。メールアドレスがめちゃくちゃじゃねえか。mcbh1w.cnて。.cnは中国のドメインですよ……。
vpass-co-jpっていう、ドメイン名みたいな何かが@の前に入ってて、実際のドメイン名は.cnって、不自然にもほどがある……。
メール本文のURLはvpass.ne.jpだったのに、メールアドレスの前半はvpass-co-jpなのも中途半端に詰めが甘いという。
やろうと思えばこの部分もより本物っぽく改竄可能なはずなので、なぜかそういうところだけザルな迷惑メールなのでした。
で、これどうやって対策する?
ある意味肝心なのはここかもしれません。
このての迷惑メールによる被害に遭わないために、あなたはどうすればよいのか?
私の見解としては、正直なところ、もう「メールを見るな」としか…
いくら見分ける能力を高めても、紛らわしいメールが来ること自体は防げませんし、これからも手を変え品を変え新種の騙しの手口が登場することでしょう。
だからもう、可能な限りメールを使わないようにするしか…
幸い、今の皆さんの周りにはSNSなどのコミュニケーションツールがたくさんあり、ぶっちゃけメールってそんなに使ってないと思います。
Webサービスのアカウント登録などに必要なときだけ利用して、企業から来たメールは100%全て怪しいと最初から決めつけてかかるぐらいのスタンスで構えていた方が安全です。
今回みたいに、メール内のリンクが偽装されているケースもあるわけですから、少なくともリンクを開く行為は絶対にしちゃダメです。これは本物の正しいメールであっても極力やらない方がいいです。
(本物かスパムか見分けてからリンクを踏む、という段取りにしているといずれどこかで判断ミスをするリスクがあるので、ならば最初から絶対踏まないことにしておいた方がいい)
(それに、マウスカーソルを合わせてリンク先を確認する手法、スマホだとできないですよね)
以上!
ということで、面白い迷惑メールに絡めてIPアドレスやドメインの話をしました!(iパス講座ノルマ達成)
あと説明してなかったけど、このての迷惑メールで何らかの偽サイトに誘導して悪いことをする手法のことをフィッシング詐欺と言うよ!これも試験範囲なので覚えてね!
iパスに関する記事をまとめたマガジンはこちら↓