久しぶりに、迷惑メールフィルターをすり抜けたフィッシングメールを受け取りました。
今回は、メールのタイトルが 見覚えある文字列だったので、一瞬マイクロソフトからのメールかと思いましたけど、差出人をじっくり見てみれば、Microsoft からではないとすぐにわかります。(アドレスだけじゃなく、日本語文章としても相当おかしい。)
当然、詐欺メールの中身をコピーして公開しますよ。(リンクのURLは害のないアドレスに書き替えています。)私はリンクをクリックしていませんので、該当のURLがどんなページかは知りませんけど。
差出人: マイクロソフトセキュリティチーム <fukawa_noboru@athp.jp>
件名: 警告!!マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。
日時: 2017年2月26日 17:36:14JST
宛先: Me
セキュリティに関する警告!!
あなたのオフィスソフトの授権が間もなく終わってしまう可能性があります。
マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクトキーが何者かにコピーされている不審の動きがあります。
何者かがあなたのオフィスソフトのプロダクトキーを使って、他のソフトを起動しようとしています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をするようお願いします。
検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態がまもなく終わりますので、ご注意ください。
今すぐ認証 ← http://taste-gotravel.com/
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを防止する技術で、手続きは簡単に実行できます。 また、この手続きは匿名で行われるので、お客様のプライベートな情報は保護されています。ご安心ください。
OSインストール直後のソフトのバージョンやサービスのOn/Off 具合を知りたくてテストマシンにWindowsを一時的にインストールする場合、認証を行わず、すぐにHDD初期化してしまうのですが、予定以上に確認作業に時間が掛かる場合、「不正にコピーされている恐れがあります」という このメッセージを見かけることがあります。
知っているメッセージだからとリンクを慌ててクリックしてしまうとひどい目に遭っていたかも。
慌てなきゃ、すぐにおかしいと気づきますけどね。
このメモを書いた後、迷惑メールフォルダーをチェックしてみると、別々のアドレスから同じ内容のメールが3数届いていました。含まれているURLは、
- 上記 taste-gotravel.com の他、
- popular-food168.com
- dudupizza.com (2017/02/27 のメール)
- safemic.gq (2017/03/02 のメール)
- wolaile.ru (2017/03/17 のメール)
でした。(増殖中?)
これらのサイトに、あらかじめブラウザーの脆弱性を狙うコードを仕掛けてあるのかな?ただの情報入力誘導サイト?
さて、taste-gotravel.com というドメインを whois で確認してみると、次のようにロシアで登録されたドメインだとわかります。
Domain Name: TASTE-GOTRAVEL.COM Registry Domain ID: 2100183392_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.regtime.net Registrar URL: http://www.webnames.ru Updated Date: 2017-02-24T20:05:04Z Creation Date: 2017-02-24T00:00:00Z Registrar Registration Expiration Date: 2018-02-24T04:00:00Z 中略 Registry Registrant ID: Registrant Name: Maksim Yulenka Registrant Organization: Maksim Yulenka Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao Registrant City: Higasi-Ku Registrant State/Province: Nagoya-Shi Registrant Postal Code: 4610014 Registrant Country: JP Registrant Phone: +81.8077354567 Registrant Email: benessaye@mail.ru
しかも、2017/02/24 に新規登録して、有効期間が1年間の、詐欺目的でドメインと容易に推測できます。
面白いのは、登録者が名古屋に住んでいる Maksim Yulenka という(恐らく外国)人になっていること。本人だろうか?存在する住所なんだろうか?電話番号まで書いてあるけど、34567 なので、多分この情報は全部ウソ。
もう一つの popular-food168.com というドメインも whois で確認してみると、
Domain Name: POPULAR-FOOD168.COM Registry Domain ID: 2100150342_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.regtime.net Registrar URL: http://www.webnames.ru Updated Date: 2017-02-24T13:41:05Z Creation Date: 2017-02-24T00:00:00Z Registrar Registration Expiration Date: 2018-02-24T04:00:00Z Registrar: REGTIME LTD. Registrar IANA ID: 1362 Registrar Abuse Contact Email: abuse@regtime.net Registrar Abuse Contact Phone: +7.8463733047 Domain Status: OK Registry Registrant ID: Registrant Name: Aleksandr Ivanovich Registrant Organization: Aleksandr Ivanovich Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao Registrant City: Higasi-K Registrant State/Province: Nagoya-Shi Registrant Postal Code: 4610014 Registrant Country: JP Registrant Phone: +81.8013399030 Registrant Fax: +81.8013399030 Registrant Email: benessage@mail.ru Registry Admin ID:
となっていて多少文字と登録者の違いはあるものの、同一人物か同一組織としか思えない。
2017/02/27 に届いた同様メールのクリック先 dudupizza.com についても、類似情報。これは、昨日取得したドメイン。
Domain Name: DUDUPIZZA.COM
Registry Domain ID: 2100561478_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.regtime.net
Registrar URL: http://www.webnames.ru
Updated Date: 2017-02-26T03:45:04Z
Creation Date: 2017-02-26T00:00:00Z
Registrar Registration Expiration Date: 2018-02-26T04:00:00Z
Registrar: REGTIME LTD.
Registrar IANA ID: 1362
Registrar Abuse Contact Email: abuse@regtime.net
Registrar Abuse Contact Phone: +7.8463733047
Domain Status: OK
Registry Registrant ID:
Registrant Name: lina ivanova
Registrant Organization: lina ivanova
Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao
Registrant City: Higasi-Ku
Registrant State/Province: Nagoya-Shi
Registrant Postal Code: 4610014
Registrant Country: JP
Registrant Phone: +81.8077354567
Registrant Email: cxasdada2@mail.ru
それがわかったから何?とは思うものの、詐欺目的のドメイン取得ってこうやってやるんだと、よくわかる事件でした。
有用な情報ありがとうございます。
popular-food168.comは,リダイレクト先が生きていました。
マイクロソフトサイトを語っており,表示されている「今すぐ認証」をクリックすると,
http://support-securityprotection-office.com/verify.php
(クリックできないよう一部全角にしました)
を実行するようになっていました。
コメント公開が遅くなりましてごめんなさい。含まれているURLがやばそうなURLだったため、スパム扱いされていました。
私はリンク先をクリックしていなかったので、その先がどういうところか知らなかったのですが、ふむふむ。やっぱりそうなっていましたか。
情報ありがとうございます。
URL解除しておこうかと思いましたけど、出来ませんでしたのでそのままです。