いつもと同じルーティンでメールチェック。
10件ほどのメールが来ていた。
ほとんどのメールを受信させて、スルーする。
重複してるメルマガと宣伝だから。
そのメールの中に普段見かけないマイクロソフトからのメールが来ていた。
何も考えないで、メールを受信させて、開いてみると、
「セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。
攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。
という文章とリンクが貼ってある。
寝ぼけ頭のまま何も考えずにリンクをクリックすると、
ブラウザが起動。
同時にブラウザのセキュリティが働いて、危険なサイトだと警告が表示された。
その段階で
「あっ!やっちまった!」と気が付き、目が覚めた。
よくよく見るとメールソフトのセキュリティでも“SPAM”の可能性を表示していたのに。
冷静に考えてみると、マイクロソフトのメールが仕事用のアドレスに来ている。
マイクロソフトに登録しているはずのメールはそれではないはず。
ということは、フィッシングメールなのではないか?という考えが浮かんできた。
以前怪しげな英文メールが来るようになったので、仕事用メールはまず表題部だけ受信、間違いないメールだけを全受信させていたのだが。
ブラウザには24時間以内に検証しないとオフィスを使えないようにするという警告文が出ていたが、一旦、ブラウザを閉じた。
メールの文章をよく読むと、署名がないことに気づく。
この手のメールであるなら、会社名、担当部署、担当者、電話番号とメールアドレスが書かれているものだ。
さらにメールアドレスをチェック。
support@microsoft-securityprotection-support.com一見、マイクロソフトのメールっぽいが、こんなドメインあるのか?と疑問が出て来る。
そこでドメイン検索をしてみた。
Domain name: MICROSOFT-SECURITYPROTECTION-SUPPORT.COM日本マイクロソフトがロシアのサーバー使ってるの?
Domain idn name: microsoft-securityprotection-support.com
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Registry Domain ID:
Registrar WHOIS Server: whois.reg.com
Registrar URL: https://www.reg.com/
Registrar URL: https://www.reg.ru/
Registrar URL: https://www.reg.ua/
Updated Date: 2016-12-06
Creation Date: 2016-12-08T11:22:06Z
Registrar Registration Expiration Date: 2017-12-08
Registrar: Registrar of domain names REG.RU LLC
Registrar IANA ID: 1606
Registrar Abuse Contact Email: abuse@reg.ru
Registrar Abuse Contact Phone: +7.4955801111
Registry Registrant ID:
Registrant Name: Lev Aleksandr
Registrant Organization: Private Person
Registrant Street: Shankhai-roud 1 d
Registrant City: Shankhai ploshchad
Registrant State/Province: ShankhShankhai
Registrant Postal Code: 120000
Registrant Country: CN
Registrant Phone: +8615574267093
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: rippertheworld@gmail.com
Registry Admin ID:
Admin Name: Lev Aleksandr
Admin Organization: Private Person
Admin Street: Shankhai-roud 1 d
Admin City: Shankhai ploshchad
Admin State/Province: ShankhShankhai
Admin Postal Code: 120000
Admin Country: CN
Admin Phone: +8615574267093
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: rippertheworld@gmail.com
Registry Tech ID:
Tech Name: Lev Aleksandr
Tech Organization: Private Person
Tech Street: Shankhai-roud 1 d
Tech City: Shankhai ploshchad
Tech State/Province: ShankhShankhai
Tech Postal Code: 120000
Tech Country: CN
Tech Phone: +8615574267093
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: rippertheworld@gmail.com
Name Server: ns1.reg.ru
Name Server: ns2.reg.ru
DNSSEC: Unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2017.01.12T04:39:42Z <<<
2016年12月8日に作られたドメインなの?
登録者は中国で、メアドにGmail使ってる。
これで詐欺メールだったことを確信して、メールは削除した。
フィッシングに引っかかってサイトを開けてしまったので、一応、セキュリティソフトのスキャンをして、ウィルス等に感染していないことを確認した。
今回はやられた。
寝起きだったこともあるが、メールの文章が日本語の文法的な違和感を感じさせなかったので、ぼくの危機センサーに引っかからなかった。
よく読めばプロダクトキーが違法コピーされたからといって、それはそのソフトが使えないというだけで、マイクロソフトがどうのこうのいう話にはならないし、僕とは関係ない話だ。
そのためのプロダクトキーなのだし。
メールの最初の部分でオフィスが使えなくなるという脅しが有効に効いてしまったので、ちゃんと読まなかった。
条件反射的にリンクを開いてしまったのだ。
ちなみにマイクロソフトから正式に詐欺メールであることが広報されている。
それから検証作業まで実行した強者の報告があって、どうやらクレジットカード番号を集めるサイトだったらしい。
報告によると、最初にマイクロソフトアカウント入力画面が出てくるそうだ。テキトーな文字を入力しても、クレジットカード番号を入力する画面になったそうだ。
そういう意味では古典的なフィッシングサイトだった。
こういう古典的なやり口にも注意しないと。