今日の未明に次のようなメールが届きました。
別になにか問題があるわけでないときでも、新しい端末やOSアップグレード後の端末やPCでアクセスすれば、このような警告が出るときがあります。中には、メールソフトがアクセスした経路が通常と違っていた、なんてこともありました。
なので、あまり深く考えずにAppleIDでログインしようと、リンクをクリックした瞬間に、嫌な予感がして、すぐにブラウザを閉じました。そして、このメールを再度チェックしてみたら…やはりおかしい。
まず、差出人、Service@iCloud.com となっていますが、実際のメアドは別のものが設定されています。
Noreplys.Dear-Customers-infossecuredsacco4412untslimitedverificationssecuresddqwdspayps.info@monitore24.paha-dada-ayam.com
長いですよね。もう、これがおかしい。”paha-dada-ayam.com”というドメイン名は実在するものの、DNSに未登録。つまり、このメールに送信してもエラーになります。
ちなみに”paha dada ayam”はインドネシア語で「胸、モモ、鶏肉」という意味です。”paha ayam”で「鶏むね肉」、”dada ayam”で「鶏もも肉」です。ふざけたドメイン名です。
で、この”Login To AppleID”のリンクをクリックすると、次のような画面が表示されました。
一見、アップルのサイトに見えますが、ドメインを見てください。
new-verifications.com
“icloud-service”という文字も見えますが、ドメイン名は上記です。このドメインをwhoisで調べると、結果は次のとおりです。
Domain Name: NEW-VERIFICATIONS.COM
Registrar: TUCOWS DOMAINS INC.
Sponsoring Registrar IANA ID: 69
Whois Server: whois.tucows.com
Referral URL: http://www.tucowsdomains.com
Name Server: DNS1.P02.NSONE.NET
Name Server: DNS2.P02.NSONE.NET
Name Server: DNS3.P02.NSONE.NET
Name Server: DNS4.P02.NSONE.NET
Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Updated Date: 15-jul-2017
Creation Date: 15-jul-2017
Expiration Date: 15-jul-2018
下線部分を見てください。このドメインが登録されたのは、昨日の7月15日。完全にフィッシングサイトです。このサイトにAppleIDとパスワードを入力してしまうと、AppleIDを乗っ取られてしまいます。
Appleの領収書を装ったり、いろんな方法でフィッシングサイトに誘導しようとするメールが来ますが、そういうメールは疑ってかからないと、やられてしまいます。
Apple社からのメールは、日本人には基本的に日本語で届きますから、英語のメールには要注意です。
50年ほど生きていれば、いろんな経験をするものだ。さほど破天荒な生き様だとは思わないのだが、あまり他人が知らないことを見知ってきたらしい。そんな私の人生の切れ端でも誰かの役に立つかもしれないなら、記録として残す価値はあるかもしれないなどと考えながらブログを更新している。(詳しく読む…)