SBAPP

【注意喚起】「新しいデバイスからiCloudにサインインするために使用〜」詐欺メールに要注意

「最近、あなたのアカウントは新しいデバイスからiCloudへのログインに使用されました」といった内容で不安を煽り、Apple IDや個人情報の抜き取りを目的とした、Appleを騙る悪質なフィッシングメール(詐欺メール)が横行しています。

詐欺メールと本物のメールを比較

今回受信したフィッシングメール(詐欺メール)を見てみると、メール文中に個人の名前など、Apple IDに関する登録情報が一切表示されておらず、日本語も怪しい文面になっています。

またAppleからのメールは、送信用メールアドレス「noreply(at)email.apple.com」から届きますが、フィッシングメールは「security-service16(at)centers-mailes-noreplays.business」といった、Appleとは関係の無いメールアドレスから届いています。

1_fishing_20171012_up

もしメール内のリンクから偽サイトにアクセスしてしまうと、Appleの公式サイトに似せたフィッシングサイトに接続され、ここでApple IDやパスワードを入力すると、抜き取られてしまうので注意が必要です。

※ 怪しいリンクは絶対に開かないようにしてください。フィッシングメールによっては、リンクを踏むかどうかでメールアドレスの有効性を確認するケースもあります。

3_fishing_20171012_up (1)

実際にAppleから届くログイン確認のメールを見てみると、メール文中にApple IDに登録してある本名が表示されており、ログインを行ったデバイスのiOSのバージョンまで表示されています。

2_fishing_20171012_up (1)

ほとんどのフィッシングメールは、メール本文の内容、送信元メールアドレス、誘導リンク先のURL等で判断できますが、どうしても区別がつかない場合はメールのヘッダー情報を確認してみると良いです。

フィッシングメールのヘッダーで判断するコツ

メールには送信経路等の様々な情報が記載された「ヘッダー」が付加されています

まず実際にAppleから届くメールのヘッダーを確認してみると、メールの送信経路がわかるReceivedの値で、Appleのサーバーを起点としてメールが送信されていることがわかります。

Received:by 10.31.151.202 with SMTP id z193csp3224754vkd; Sun, 27 Aug 2017 05:29:58 -0700 (PDT)

Received:from mdn-txn-msbadger0704.apple.com (mdn-txn-msbadger0704.apple.com. [17.171.37.79]) by mx.google.com with ESMTPS id g34si8414524pld.801.2017.08.27.05.29.58 for <使用中のメールアドレス> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Sun, 27 Aug 2017 05:29:58 -0700 (PDT)

メールヘッダーは偽装することもできるので、念のためIPアドレス[17.171.37.79]を逆引きしてみると、ホスト名が”mdn-txn-msbadger0704.apple.com”となり、ヘッダー情報と一致していることが確認できます。

またAppleのメールは送信ドメインの認証もされているので、全ての認証結果がpass(成功)となっているレコードも表示されます。
※ フィッシングメールには送信ドメインの認証レコードは一切ありません。

Arc-Authentication-Results:i=1; mx.google.com; dkim=pass [email protected] header.s=email0517 header.b=fwbHvITx; spf=pass (google.com: domain of [email protected] designates 17.171.37.79 as permitted sender) [email protected]; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=email.apple.com

しかし、今回受信したフィッシングメールのヘッダーをみてみると、Appleのサーバーから送信されておらず、尚且つドメインの認証のレコードも一切ありません。

Receivedfrom ebmky108sc.i.softbank.jp ([172.25.19.171]) by dmttsb03sc.i.softbank.jp with ESMTP id <20171007231532467.HYKL.4222.dmttsb03sc.i.softbank.jp@dmttsb03sb.mailsv.softbank.jp> for <使用中のメールアドレス>; Sun, 8 Oct 2017 08:15:32 +0900

Receivedfrom mail-oi0-f52.google.com ([209.85.218.52]) by ebmky108sc.i.softbank.jp with ESMTP id <20171007231531863.NKYB.5871.ebmky108sc.i.softbank.jp@ebmky108sb.mailsv.softbank.jp> for <使用中のメールアドレス>; Sun, 8 Oct 2017 08:15:31 +0900

Receivedby mail-oi0-f52.google.com with SMTP id q4so17025504oic.7 for <使用中のメールアドレス>; Sat, 07 Oct 2017 16:15:31 -0700 (PDT)

Receivedby 10.157.62.19 with HTTP; Sat, 7 Oct 2017 16:15:29 -0700 (PDT)

※ 送信元は辿る時は下から順に読み解く。

少し上級者向けの確認方法ではありますが、メール本文でどうしても判断が出来ない場合は、これらのポイントを確認してみてください。

※ メールのヘッダーの表示方法は、メーラーによって異なるのでGoogle等で調べてください。

著者情報

Ryo
こんにちは、「SBAPP」を運営しているRyoです。

Apple製品はiPhone 3GSから使い始め、国内でスマートフォンが急速に普及し始めた時期、iPhone 5が展開された頃から、主にiPhoneやiOSなどの使い方や不具合情報を10年以上にわたり発信しています。

現在はiPhoneやiOSの情報だけでは無く、SNSプラットフォームでの障害や不具合、フィッシング詐欺メール・SMSに関する注意喚起など、広範なテーマにわたる記事を書いています。

過去には「電気の見える化」に関するウェブアプリケーション開発、大規模システムの保守業務に従事していたことがあり、それらの経験を活かしてSBAPPを含むブログメディア等を運営しています。記事が少しでもお役に立てたら幸いです。

コメントを投稿する(承認後に反映されます)

*

Return Top