ある日、僕のメールアドレスへ一通の迷惑メールが届きました。
普段なら開封せずにスルーしてゴミ箱へ捨ててしまうのですが、今回は少し変わった手口だったため記事にしてご紹介します。
偽装メール!Amazonの「今すぐあなたのアカウントを確認してください」はフィッシング
詐欺「[新しい更新するステートメント]: Apple ID アカウントの情報を更新しました!」
【メルカル】ご購入ありがとうございます。
届いていたメールはこのメールです。
人気のフリマアプリ、メルカリで商品を購入したときに送信される確認メールを装っています。
通常、【メルカリ】と表示されるところ、【メルカル】となっていますが、スマホなどの小さな画面で確認するとパッと見では気が付かずに開いてしまうかもしれません。
開封してみる
早速、迷惑メールを開封してみました。
とりあえず、メール開封だけでは何も起きないようです。開いただけでウイルスに感染してしまったり、怪しいファイルが勝手にダウンロードされるようなしくみではなさそうですね。
[メールアドレス] さん
メルカリをご利用いただきありがとうございます。[1**********]
下記の商品の購入が完了しました。[1**********]商品の詳細をご確認下さい。[1**********]
http://***
停止
http://***[1**********][2****]
[1**********]
[3****]
ここで[1**********]とした部分には、ひらがな10文字で暗号のような謎の文字列が書いてありました。同じ文字列はメール本文中に何度も登場します。
もしかすると、この文字列で個人のメールアドレスを識別しているのかもしれないため、当記事では公表を控えました。
実際、同じタイトルのメールを受信している他の方のメール本文を見てみると、別のひらがなが書かれていました。
また、メール末尾には、ひらがなの文字列とは別に[2****][3****]という4桁の数字が記載されています。こちらも意味は不明です。
追記2018/09
メールのタイトルが変わってました!
新たに届いたメールでは、メールタイトルが「【メルカル】からのお知らせ」に変わってました。
公式メルカリの購入確認メールとの比較
通常、メルカリで購入した場合には、次のような購入を確認するメールが配信されてきます。
メール本文にはニックネーム、購入した商品の詳細情報が記載されています。
本物と偽物の違いは明らかです。
普段からメルカリをよく利用されている方であればすぐ気がつくと思いますが、たまにしか利用しない方であれば、本物と勘違いしてしまう可能性もありそうですね。
なぜ迷惑メールが送られてきた?
今回のメールに限って言えば、メルカリ本体から情報が流出したわけではないと思います。メルカリを利用している人にも利用していない人へも無差別に迷惑メールを送信するバラマキ作戦のようです。以前にも迷惑メールを受け取ったことがある人であれば同系列の迷惑メール業者だと考えていいと思います。
仮に公式のメルカリに登録している情報が流出していたとすれば、メールアドレス以外にも氏名、住所、ニックネームなどの重要な登録情報が一緒に知られてしまっているはずです。迷惑メールを送る以外にもっと効率のよい悪行がたくさんあるはずです。メールを送るにしても本文に「○○様」と実名を含めることも可能なのにやっていないのは、メールアドレスしか知らないからです。
メルカリは利用者が多く、比較的若い世代の方に認知されているので、かんたんに騙される人が多いと思ってやっているのではないでしょうか。ワルいやつらです。
URLは絶対にクリックしないで!
メール本文中に記載されているURLは、絶対にクリックしないようご注意ください。
興味本位でも今回のURLは開かない方がよいです。URLでメールアドレスを識別しているからです。
今回のURLでは短縮URLが使用されています。目で見えているURLに直接アクセスするのではありません。実際の接続先がマスクされているため、URLの不用意なクリックやタップは危険です。
メールに記載されているURLはとても長くて意味不明な文字列で、どこが短縮なの? と思うかもしれません。
しかし、短縮URLの解析を行うと、「接続先のドメインURL+自分のメールアドレス」というURLとなっており、それを外見から隠す目的で短縮URLを利用していると考えられます。
メール配信相手ごとに別々の短縮URLを自動生成して送っているようで、誰のメールでクリックされたのか相手に判ってしまいます。
サイトへアクセスされた履歴から、メールアドレスの死活判断をしていて、生きているメールアドレスには更なる攻撃をしかけてきます。
ちなみに、クリックするとこうなっちゃいますので、絶対おすすめはしません。
詐欺URLへアクセスしてみると
メール中のURLからサイトへアクセスしてみました。
サイトは完全な詐欺サイトですね。
アクセスユーザーはこのサービスを利用した覚えがありませんので、不安になって連絡してくると期待して作成されているようです。
メールのリンクをクリックすると、メーラーが起動するようになっているようです。
メール送信へと誘導させる手口は巧妙ですが、僕の環境ではメーラーの起動までできませんでした。
詐欺サイト業者を批評しても仕方ありませんが、マルチデバイス全盛の時代にこのメール送信プログラムのコーディングは残念です。
詐欺サイトの検証後に接続先URLが変更された
記事作成のために何度かサイトへアクセスしていたところ、接続先のサイトが変更されてしまいました。
サイト管理者が僕の不審なアクセスに気がついて、サイトを変更したようです。
変更後のサイトはこのようなシンプルな感じです。
配信停止はこちらからお願い致します。
メールが届いているメールアドレスを本文内に記載するかもしくはメールが届いているメールアドレスから配信停止へのご連絡をお願い致します。
届いているメールアドレスがわからないとメールを止める事が出来ません。メールはこちらへ
上記『メールはこちらへ』を押してもメールが立ち上がらない方は下記メールアドレスをコピーして、メールが届いているアドレスから送るか、または本文にメールが来ているアドレスを記載して下さい。
mailjpstopping@アドレス.biz
大変お手数では御座いますが、宜しくお願い致します。
迷惑メールサイトのため、引用元は公表しません。
丁寧な文章ですが、メールアドレスを登録させる詐欺サイトですから絶対に連絡してはいけません。
接続先のURLはメール配信時期によって、都度変更されていきそうですね。
どんなサイトであっても、個人情報の登録はしないでくださいね。
追記2018/09
怪しい融資サービスの広告サイトになっていました。
入力する人はいなそうですが、個人情報をかなり多く盗まれるので注意。
さいごに
今回はメルカリからの通知メールを装ったフィッシングメールをご紹介しました。
ちなみに、この記事を書くためにメールのURLをクリックしたらこうなっちゃいました。クリックは絶対やめた方がいいですよ。
みなさまもご注意ください。
メルカリ関連の書籍
