今回は、スクウェア・エニックスやハンゲームを騙る
アカウントハッキングを目的としたメールについての解説です。
はじめに
このドメインは Google Apps for Business を利用してますので、
メールは Gmail ベースのシステムとなっています。
届いたメールは、Android スマートフォンでほぼリアルタイムに通知されて確認出来ます。
ただ、「迷惑メール」のラベルが付けられたメールは通知されないため、
時々確認する必要があります(誤って迷惑メールのラベルが設定される事があるため)。
普段はそこで確認して終了となるところですが、
今回は似たようなフィッシングのメールが複数届いており、
ネットで検索したところ、ほぼ同じ内容のメールが届いている事を投稿しているブログや、
実際に被害に遭われたといった投稿がありましたので、
手元に届いたメールをもとに、怪しい点などを解説してみたいと思います。
フィッシングメールの内容(外見)
まずは、迷惑メールラベルを開いたときの状態を。
普段は迷惑メールなどほぼ来ない辺境の地のようなドメインですが、
7月22日以降頻繁に来ているようです。
その中から3つをピックアップしたのが、これらの画像です。
件名 や 差出人 / 宛先 などが異なる程度で、本文はほぼ同一です。
ドラゴンクエストX 版
ハンゲーム 版
スクウェア・エニックス 版
文字化けしていない最新のメールは以下のようになっていました。
件名 :【ドラゴンクエストX 目覚めし五つの種族 オンライン】認証
差出人:DQ10 <biyuwendong@yahoo.com.cn>
日付 :2013年8月13日 11:54
宛先 :septobox@seznam.cz
本文 :お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
ログイン地点 ログインIP ログイン時間 大阪 61.204.255.255 2013-08-12 02:06
ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。
https://secure.square-enix.com/account/app/svc/Login?cont=account(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください)
もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。
ご意見やご要望
スクウェア·エニックス会社
2013年08月13日
不審箇所の解説(外見)
まずは、見える部分からの怪しい事項を。
差出人:DQ10 <biyuwendong@yahoo.com.cn>
差出人の名前は「DQ10」となっているのが既に怪しいですが、
メールアドレスが「@yahoo.com.cn」と中国版Yahoo!(中国雅虎首页)のアドレスです。
こんなアドレスから、スクウェア·エニックスがメールを送ってくる理由がありません。
宛先 :septobox@seznam.cz
勿論、私はこのようなメールアドレスは持ってません。
多分、BCCで大量に送信しているのでしょうが、自分の宛先でない時点で信用できません。
件名 :【ドラゴンクエストX 目覚めし五つの種族 オンライン】認証
ただゲーム名に「認証」だけ付けられても意味が分かりません。
お客様
これはフィーリングの問題なのかもしれませんが、
セキュリティアラートの場合、ユーザのIDなどが設定されているか、
前置きなしで本題に入るかが多いように思えます。
株式会社营团社サービスシステム
そもそも「营」と「团」は日本で使用される漢字ではありません。
そしてスクウェア·エニックスの影も形もありません。
異常にログインされたことを感知 → ご本人様によるログインであるかどうかご確認
前半では異常ログインだと断言している割に、
本人のログインか確認してくれと云っています。
異常か正常か判断が付かないほど判定がおおざっぱか、無駄に柔軟なのか、
どちらにせよ非常に残念なシステムなのでしょう。
ログイン地点 ログインIP ログイン時間 大阪 61.204.255.255 2013-08-12 02:06
確認したところ、255.CH35149.cyberhome.ne.jp として実在する IP アドレスです。
IP アドレスに地域情報が設定されていることもありますが、
この IP アドレスには、設定されていないようです。
また、ログイン日時が 2013/08/12 02:06 となってますが、
メールが送られてきたのが 2013/08/13 11:54 なので、
ログインが行われてから、実に1日以上遅れて届いていることになります。
これだけ遅れると、手遅れなようにも思えます。
https://secure.square-enix.com/account/app/svc/Login?cont=account
このメールはHTML形式なので、
表示されているアドレスとは異なり、
実際は似たような違うアドレスに接続されるようになっています。
ご意見やご要望
意見や要望をどこに送れば良いのでしょう?
さっぱり書かれてません。
スクウェア·エニックス会社
正式な社名は「株式会社スクウェア・エニックス」です。
間違えて親会社の名前になったとしても、
「株式会社スクウェア・エニックス・ホールディングス」となるはずです。
フィッシングメールの内容(ヘッダ)
続いて先ほどのメールのヘッダを見てみましょう。
Delivered-To: 私のメールアドレス
Received: by 10.76.113.179 with SMTP id iz19csp124781oab;
Mon, 12 Aug 2013 19:54:22 -0700 (PDT)
X-Received: by 10.66.170.208 with SMTP id ao16mr2175021pac.24.1376362462378;
Mon, 12 Aug 2013 19:54:22 -0700 (PDT)
Return-Path: <biyuwendong@yahoo.com.cn>
Received: from nm27-vm8.bullet.mail.sg3.yahoo.com (nm27-vm8.bullet.mail.sg3.yahoo.com. [106.10.151.135])
by mx.google.com with ESMTPS id os4si24549876pac.323.2013.08.12.19.54.20
for <私のメールアドレス>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 12 Aug 2013 19:54:22 -0700 (PDT)
Received-SPF: neutral (google.com: 106.10.151.135 is neither permitted nor denied by best guess record for domain of biyuwendong@yahoo.com.cn) client-ip=106.10.151.135;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 106.10.151.135 is neither permitted nor denied by best guess record for domain of biyuwendong@yahoo.com.cn) smtp.mail=biyuwendong@yahoo.com.cn;
dkim=pass header.i=@yahoo.com.cn
Received: from [106.10.166.126] by nm27.bullet.mail.sg3.yahoo.com with NNFMP; 13 Aug 2013 02:54:19 -0000
Received: from [106.10.167.162] by tm15.bullet.mail.sg3.yahoo.com with NNFMP; 13 Aug 2013 02:54:19 -0000
Received: from [127.0.0.1] by smtp135.mail.sg3.yahoo.com with NNFMP; 13 Aug 2013 02:54:19 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com.cn; s=s1024; t=1376362459; bh=qakLQ77mR3Rku5O90BZbdwNogzEOyD4siZIOSRH2+jo=; h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:X-Rocket-Received:Message-ID:From:To:Subject:Date:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE; b=A+o/btpjfXA5zbsXWqpWaerD1RvCnc4GhXJfqRAPitX3H9p5ar7/1eiUhjeTDCh78GDyuKv7vH7GMzyabg4z5BLFdmT2z3RdQU4R65Xw7ixjWGg0h65umwBVhseV8cvupwAhLazMR7sdQd16oO53cYIsHnqXx274S00fyq7lBVQ=
X-Yahoo-Newman-Id: 180308.56339.bm@smtp135.mail.sg3.yahoo.com
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: Oeo2bo4VM1lCPL37p6ilwIcH471sYGDqCYyb6ijn0m.UTMg
zsiblouJ8QXXoRHfniY_BPaJxWuXGqq6lZ6n9B_SFlebtbHxTBde1J70xzHh
XaDGe7tCfx7UARveK16LrSdRS7RR.y22BRxS_5lV2N0Y6manBda3mXA3cugJ
wqaRfcD9N9Cm.CDoja03hKNnbO.RClY.gb8iNRKD62iM1CIZuMsOVuMCP1d6
DDy3NwD4S93aBbBoFLOYVrFAr2Jn.prF_YTOYu_xAR712qAz1EJPpMZIfIX.
W6n6U8en6tChIvagazEYZGK39h13j_kBREuXS3mqKv3jtqf.bKeQ7AkFPC36
7nd7vAK.XmSgGZWikgY5o2Nwnbk3cmOE8AbO_Y3F3VTl2FUl92MzWnE8wF_8
ePYuT_yN8b_jBRJblSBL0LxlM.UQT653SJzHMcgSKWuqj92XHVgAvsY3r7X2
s8GR0ya5mnBl9Ibd_.SsiQZLEpVmnWTJpdg6g8AsbIl2RGgbMk3cRiOa_xgd
sDrYg5J6rmKljTvMnoUTdP0JD1P38YjVxtlWKmfgMTUv7LPBFS9k_PCjnt3Z
kcThd.1Wo4jhts79AE8I3hRs0WPt10DkmvwUsU4MXcI1Kemmcq2m6Kn1QQSb
O2odRBmK0WYzxY3d15jLB7IMdHbW3MD1.B6L_FTeuQIWGznUF.dkRH6iI9.V
R_VIfwwsobdq2IeV2cOgHa0CckgxuyLMx8151ZZ_wA926lyjmYg–
X-Yahoo-SMTP: ark_DV.swBBowNzYoXmiqxmy_Q3_MOjv
X-Rocket-Received: from qsoqqz (biyuwendong@119.114.104.92 with )
by smtp135.mail.sg3.yahoo.com with SMTP; 12 Aug 2013 19:54:19 -0700 PDT
Message-ID: <B126E2BA07ED5ABB3C1CC637E0E83C7D@qsoqqz>
From: “DQ10″ <biyuwendong@yahoo.com.cn>
To: <septobox@seznam.cz>
Subject: =?utf-8?B?44CQ44OJ44Op44K044Oz44Kv44Ko44K544OIWOOAgOebruimmuOCgeOBl+S6lOOBpOOBrueoruaXjw==?=
=?utf-8?B?44CA44Kq44Oz44Op44Kk44Oz44CR6KqN6Ki8?=
Date: Tue, 13 Aug 2013 10:54:13 +0800
MIME-Version: 1.0
Content-Type: text/html;
charset=”utf-8”
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
不審箇所の解説(ヘッダ)
ここでの不審点は、以下のとおり。
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
この類いのメールは、サーバのメール送信プログラムが処理しますが、
クライアントのメールソフトで送信されています。
さすがに手作業で1通1通送ることはありません。
X-Yahoo-SMTP: ark_DV.swBBowNzYoXmiqxmy_Q3_MOjv
ヘッダのあらゆるところに Yahoo のメールサーバの痕跡が残っています。
Outlook Express で作成したメールを、
Yahoo のメールサーバから送信していることが分かります。
Date: Tue, 13 Aug 2013 10:54:13 +0800
日付の最後に付いている「+0800」ですが、
送信元のタイムゾーン(UTC+8)を示しています。
このタイムゾーンには、中国も含まれています。
日本標準時(UTC+9)は「+0900」になります。
まとめ
このように細かく見ていくと不審点が色々出てきますが、
ぱっと見では本物のようになっているところもあり、
焦っていると騙されてしまうこともあると思います。
おわりに
アカウントなどのログインページは、
あらかじめブックマークなどをしておき、それを利用する、
大手検索サイトからアクセスするなどの自衛手段が必要です。
