悪質なフィッシングメールの調査

忙しくてしばらく記事の間が空いてしまいました。久しぶりの投稿です。

つい最近、このような相談を受けました。あるメールアカウントに、「メールの同期エラー」を報告するメールが送られてきた、というものです。
文面は日本語で、タイトルは「返されたメッセージ2件」というものでした。
文面はこのようなものです。(一部内容は改変、ぼかしています)
午前7:38に、2つの受信メールが同期エラーのために送信者に返されました。
失敗したメッセージを回復するには、以下のリンクに従ってください。
https://www.●●●●●●●●.es/●●●●●●/SecureMail/?email=●●●●●●@●●●●●.●●.●●
これを見て、直感的にあちこち怪しいと感じたので、調査を開始しました。
  • まず日本語がなんだかこなれていない(失敗したメッセージを回復? 以下のリンクに従ってください?)
  • 日本人宛のメールなのに、リンクのトップレベルドメインが「es」(スペイン)のもの
  • URLの中に「SecureMail」とか書かれているのも怪しいし、その癖に、後にメールアドレスが直に書かれていて、ますますおかしい
  • そもそもバウンスメールなら普通全部英語で、エラーコードなども書かれているはず
怪しさ満載…
これはフィッシングサイト(ユーザーのアカウント情報などを盗み出すための偽サイト)への誘導メールの匂いを直感的にプンプン感じます。

怪しいリンクを調べる前に、調査のため添付されてきたメールのヘッダー情報を見てみます。
Macのメールでは、「表示」→「メッセージ」→「すべてのヘッダ」で見ることができます。


ぼかしばかり入っててごめんなさい(^^;;
これを見ると、Return-Pathは●●●@●●●.ne.jp なので日本のプロバイダさん。(メールアドレスを調べたら実在しました)
その下に、Recieved: from という行が2つ(場合によってはそれ以上)ありますが、そのいちばん下にある送り元ホストとIPアドレスを見ると…192.99.xxx.xxxってどこだ?
どこから送られているのか、IPアドレスからその国を割り出す「IP Location」というサービスがあるので、それで調べてみます。



このIPアドレス、カナダに割り当てられているものと判明。
メッセージは日本語ですが、カナダから送られている時点で更に不審度UP。

次に、メールの中のURLですね。
怪しいリンクを調査してくれる「urlscan.io」というサービスを利用してみます。


色々と出てきました。
スペインのトップレベルドメインを使用しているのに、サーバーのIPアドレスの所在地はブルガリアですか。
そして赤バックで「Potentially malicious content or behaviour on this page」、悪意のある内容または挙動をするページとのこと。
詳細ページを見たら、Google Safe Browsingでも悪意のあるページとして把握されていました。
なによりスクリーンショットが、Microsoftのログイン画面の猿真似。
これでIDやパスワードを盗み出そうとする、フィッシングサイトの動かぬ証拠ですね。

最後に、Google Safe Browsingで悪意のあるページとして把握されているとのことで、Google Chromeを信じてエイヤッとこのサイトのトップページのURLを打ち込んでみました(絶対マネしないでくださいね!!
すると、


やっぱりね(笑)
Google先生に助けられました。

今回はこのような流れで、悪意のあるフィッシングメールの調査を行いましたが、危険を伴う調査であるとは思います。

皆さんのところにも、リンクのついた怪しいメールが送られてくることがあるかと思いますが、くれぐれも安易にリンクをクリックしたりすることがありませんよう、どうぞよろしくお願いいたします。
特に最近は、GoogleやAmazonなど有名企業を騙ったメールで、身に覚えのない内容のメールが来ることも多いですので、PCのセキュリティ対策をしっかりなさった上で、身に覚えのないメールのリンクは絶対に開きませんよう。