テクニカルノート:事例紹介
フィッシング詐欺
「メール容量不足を装った詐欺メール」
個人会員 新井全勝
フィッシング詐欺は今や古い問題であるが、相変わらずセキュリティの世界ではWebやメルマガ等を賑わしている。
2022年10月のある日、「電子メールの空き容量不足のメール(本文は下記)が届いた」というメールが、事務所から小生の受信ボックスに着信した。これは事務所のデスクトップ・パソコンの管理者になっているからと思われる。
メールを見たとき、事務所のメールアドレスについては容量対策をしているのになぜ発生したのだろうか、誰か設定を変更したのだろうか、という疑問が湧いた。しかし、情報セキュリティに詳しいTさんからのメールであったので、一つの処置を依頼した。
その後、自宅のパソコンからプロバイダのメールサーバを開き、保持されている受信メールを見たところ、下記のメールも確認できた。
そうこうしているうちに、不審感が募り、Web検索をしてみようという気持ちに傾いた。「電子メールの空き容量不足詐欺」と入力すると、本来の空き容量不足の対策記事のほかにフィッシング詐欺という記事が検出された。
納得できた。容量対策をしているのに……という疑問は解決した。Tさんに依頼した処置は本詐欺メールの対策としてはナンセンスであることも明らかになった。
詐欺メールの分析
改めて空き容量不足のメール本文を眺めてみると、いくつか不審な箇所が目に付く。
この詐欺メールから想定される容量不足のエラーメッセージは、メール受信者側のメールボックス容量不足のエラーメッセージであり、受信者側のメールサーバが検出して送信者側のメールサーバにエラーの報告を行う。さらに、送信者側のメールサーバは送信エラーとして送信者にエラー報告を行う、という仕組みになっている。
また、「エラー要因がメールボックスの容量不足であること」を示すために、「over quota」という文言が含まれている。
以上のことを念頭において詐欺メールについて分析する。
(1) エラーメッセージの報告先
前述のエラー報告の仕組みから、エラー報告は送信者側のメールサーバから送信者に報告されるものである。しかし、この詐欺メールは、受信者にエラー報告している。
これでは、送信者はエラーがなかったと誤認してしまう。
(2) メールボックスの空き容量不足のエラーメッセージ
メールサーバからのエラーメッセージには、メールの送信元(送信者)メールアドレス、送信先(受信者)メールアドレス、エラーメッセージ「over quota」などの情報が記載されている。
この詐欺メールは、形式上から見ても、メールサーバからのエラーメッセージと異なる。
(3) ログインボタン
メールサーバからのエラーメッセージにログインボタンがあるものを見たことがない。容量不足対策はメッセージの受信者が実施する対策であるが、Eメールソフトのメールアドレスの設定変更の一環で対応するものである。
従って、ログインボタンは不要である。フィッシングサイトへの誘導を目的としたものと推定される。確認はしていない。
(4) 会社名の表示
「GMO Gloabal Sign Holdings KK」の会社名が表示されている。エラーメッセージには通常、このような会社名は含まれない。この種のメッセージには会社名は不要である。
この会社はセキュリティサービスをしている実在の会社であるが、エラーメッセージを信用させるための箔付けに使ったのであろう。
(5) エラーメッセージの送信元メールアドレス
送信元メールアドレス(from)は、“WADAX NE.JP”<wadaxnejp@…….com>となっている。エラーメッセージの送信元は、前述の仕組みから送信者側のメールサーバであり、それがわかるようなメールアドレスであることが必要であるが、そうはなっていない。
詐欺メールの送信者のメールアドレスであろう。
この種の問題への対応について
- 最近のフィッシング詐欺は、このようなパソコンの管理不十分などに焦点を当てたものが増えているように感じます。今回のフィッシング詐欺メールには、前述の兆候があるので、覚えておいてください。忘れた場合、Web検索をしてみてください。怪しい事例紹介もあるので注意してください。
- エラーメッセージには、その異常に驚く前にメッセージの信憑性を確認してください。その上で、対策をしてください。
- エラーメッセージの形式などの要点を覚えておくと、信憑性の確認が容易になると思われます。
以上
