【注意喚起】「新しいデバイスからiCloudにサインインするために使用〜」詐欺メールに要注意

「最近、あなたのアカウントは新しいデバイスからiCloudへのログインに使用されました」といった内容で不安を煽り、Apple IDや個人情報の抜き取りを目的とした、Appleを騙る悪質なフィッシングメール（詐欺メール）が横行しています。

【最近、あなたのアカウントは新しいデバイスからiCloudへのログインに使用されました】とうとう、うちのＰＣにも、Appleをよそおったフィッシングメール来たわ。ご丁寧にAppleのロゴ付き。ウザいわー。削除作業が邪魔くさい。

— 佳川鈴奈＠RENE (@rene_larme) 2017年10月11日

「最近、あなたのアカウントは新しいデバイスからiCloudへのログインに使用されました。」って自称アップルさんが言ってる。

— やまぐちだいすけ (@yamagu09) 2017年10月6日

しかし最近appleを語ったフィッシング多すぎ！

『最近、あなたのアカウントは新しいデバイスからiCloudへのログインに使用されました。』

こんな感じでくるんだけどこんなん考えれるなら働けるやろ！
働けやー！！！
働かざる者食うべからず！！！！！！

— 吉村昇治 (@drumershoji) 2017年9月4日

詐欺メールと本物のメールを比較

今回受信したフィッシングメール（詐欺メール）を見てみると、メール文中に個人の名前など、Apple IDに関する登録情報が一切表示されておらず、日本語も怪しい文面になっています。

またAppleからのメールは、送信用メールアドレス「noreply(at)email.apple.com」から届きますが、フィッシングメールは「security-service16(at)centers-mailes-noreplays.business」といった、Appleとは関係の無いメールアドレスから届いています。

もしメール内のリンクから偽サイトにアクセスしてしまうと、Appleの公式サイトに似せたフィッシングサイトに接続され、ここでApple IDやパスワードを入力すると、抜き取られてしまうので注意が必要です。

※ 怪しいリンクは絶対に開かないようにしてください。フィッシングメールによっては、リンクを踏むかどうかでメールアドレスの有効性を確認するケースもあります。

実際にAppleから届くログイン確認のメールを見てみると、メール文中にApple IDに登録してある本名が表示されており、ログインを行ったデバイスのiOSのバージョンまで表示されています。

ほとんどのフィッシングメールは、メール本文の内容、送信元メールアドレス、誘導リンク先のURL等で判断できますが、どうしても区別がつかない場合はメールのヘッダー情報を確認してみると良いです。

フィッシングメールのヘッダーで判断するコツ

メールには送信経路等の様々な情報が記載された「ヘッダー」が付加されています

まず実際にAppleから届くメールのヘッダーを確認してみると、メールの送信経路がわかるReceivedの値で、Appleのサーバーを起点としてメールが送信されていることがわかります。

Received：by 10.31.151.202 with SMTP id z193csp3224754vkd; Sun, 27 Aug 2017 05:29:58 -0700 (PDT)

Received：from mdn-txn-msbadger0704.apple.com (mdn-txn-msbadger0704.apple.com. [17.171.37.79]) by mx.google.com with ESMTPS id g34si8414524pld.801.2017.08.27.05.29.58 for <使用中のメールアドレス> (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Sun, 27 Aug 2017 05:29:58 -0700 (PDT)

メールヘッダーは偽装することもできるので、念のためIPアドレス[17.171.37.79]を逆引きしてみると、ホスト名が”mdn-txn-msbadger0704.apple.com”となり、ヘッダー情報と一致していることが確認できます。

またAppleのメールは送信ドメインの認証もされているので、全ての認証結果がpass（成功）となっているレコードも表示されます。
※ フィッシングメールには送信ドメインの認証レコードは一切ありません。

Arc-Authentication-Results：i=1; mx.google.com; dkim=pass [email protected] header.s=email0517 header.b=fwbHvITx; spf=pass (google.com: domain of [email protected] designates 17.171.37.79 as permitted sender) [email protected]; dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=email.apple.com

しかし、今回受信したフィッシングメールのヘッダーをみてみると、Appleのサーバーから送信されておらず、尚且つドメインの認証のレコードも一切ありません。

Receivedfrom ebmky108sc.i.softbank.jp ([172.25.19.171]) by dmttsb03sc.i.softbank.jp with ESMTP id <20171007231532467.HYKL.4222.dmttsb03sc.i.softbank.jp@dmttsb03sb.mailsv.softbank.jp> for <使用中のメールアドレス>; Sun, 8 Oct 2017 08:15:32 +0900

Receivedfrom mail-oi0-f52.google.com ([209.85.218.52]) by ebmky108sc.i.softbank.jp with ESMTP id <20171007231531863.NKYB.5871.ebmky108sc.i.softbank.jp@ebmky108sb.mailsv.softbank.jp> for <使用中のメールアドレス>; Sun, 8 Oct 2017 08:15:31 +0900

Receivedby mail-oi0-f52.google.com with SMTP id q4so17025504oic.7 for <使用中のメールアドレス>; Sat, 07 Oct 2017 16:15:31 -0700 (PDT)

Receivedby 10.157.62.19 with HTTP; Sat, 7 Oct 2017 16:15:29 -0700 (PDT)

※ 送信元は辿る時は下から順に読み解く。

少し上級者向けの確認方法ではありますが、メール本文でどうしても判断が出来ない場合は、これらのポイントを確認してみてください。

※ メールのヘッダーの表示方法は、メーラーによって異なるのでGoogle等で調べてください。

詐欺メールと本物のメールを比較

フィッシングメールのヘッダーで判断するコツ

コメントを投稿する（承認後に反映） CANCEL REPLY