SPAMメールのこと

前回は国際的ハッカー。前々回はnikeiresearch。前々回は……もはや忘れました。
で、今回ですよ。
かの有名なpaypalです。

これまでのような雑なテキストメールではなく、ご丁寧にロゴまで使ったHTML形式メールです。
フッター部分もちゃんと本物から拝借して、それっぽい文章になってます。
惜しむらくはリンク先の設定でしょうか。

内容は………………まあ。

Paypal お客様
お客さまはパスワードを変更しました。
日時：10/30/2018 7:26:15 AM PST
ログインIP：xx.xx.xx.xx
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Paypal 情報を確認する必要があります。今アカウントを確認できます。
<押したらどうなるか試す気になれないログインボタン>
なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。
パスワードを変更した覚えがない場合は、至急(03)-xxxx-xxxxまでお電話ください。

どこからツッコミを入れていいのか分からないのですが。
一部片言なのは既にお約束なのですが、乗っ取り被害者に対してアカウントロック警告ってどんなクズ企業だ、とか。
電話番号調べたら、実際かけても「現在使われておりません」ってアナウンス流れるって言われるらしいんですが、とか。
このブログを書いているのが10月30日10時なのですが、メールの送信日時は10月30日7時26分、ただしPST。
PSTとJSTって時差17時間で、PSTは現在10月29日17時のはずなのですが、これは未来から届いたメールなのですか？とか。

当然のごとく、リンク先は

モザイクがかかりまくっているのは、恐らくリダイレクト先は無関係のニュースサイトだからです。
それともそこにも何か擬態して、フィッシングサイトを仕込んでいるのでしょうか？
とりあえずアラビア語でした。

Twitterで検索したら、結構最近の手口で、クオリティも高いらしいですね。
詐欺の手口をブラッシュアップする時間と気力があるなら、何か地球のためになることを考えればいいのに。
今朝の朝礼で、パソコンやスマートフォンの基盤から金メダルを作る話を聞いたばかりなので、心の底からそう思いました。

【ハートブレーン】http://heartbrain.net

朝、ニュースを見ながら
母「仮想通貨って結局何なのか分からんわー」
私「私も分からんし、分かろうとも思わん」
という会話をしていたのですが

会社に着いて朝一番にメールチェックをしたら、Bitcoinウォレット（ってのがあるんですか？）に800ドル転送しろ、というメールが届いていました。
件名は「Your Account Was Hacked!」
差出人は、国際的なハッカーグループだそうです。IPアドレスを検索するとベトナムからでした。遠い異国からご苦労様です。

本文がこちら。

Google翻訳様にお願いした和訳がこちら。

何が悲しくて私が会社のパソコンで特殊性癖ポルノを閲覧しなきゃならないのかは分かりませんが。
これって盗撮の上に脅迫ですか？
警察と弁護士に掛け合ったら勝てるかなぁ。

言うまでもなく、SPAMメールですが。
しかし上記の色文字の部分で、一瞬動揺した人も多いと思います。私もです。

こちらに詳細が書かれています。

【詐欺】ビットコイン1000ドル要求の迷惑メール AVアラート緊急対応すぐにお読みください？（無題な濃いログ様　より）
どっかで ID と PW が漏れたことをスパムメールで知った（ぶっちろぐ様　より）

こちらの記事で紹介されている通り、過去に流出したらしいメールアドレスとパスワードを利用しているそうです。
Have I Been Pwnedというサイトで、自分のメールアドレスを入力して確認してみてください。（英語ですが）
能登の場合はAdobeでした。
しかし管理が面倒という理由でパスワードを共通にしておくと、こういった弊害が生じる可能性があります。

手を変え品を変え、ありとあらゆる方法で人の財産を回収しようと頑張っている詐欺グループですが、基本的にメールや電話で金銭を要求された場合は、まずは怪しんでください。
例え身内の名前や公的機関を名乗っていたり、自分の個人情報の一部を握られていたとしても、です。
というか、最近はそんなケースばかりです。
とにかく少しでも早く仕事を終えたい業者は、ありとあらゆる方法で危機感を煽り、やたらと短い時間制限をかけて財布から金銭を抜こうとしています。

怪しいと思ったら、まずはネットで検索してみてください。
同じような手口で引っかかった人の被害体験、同じような手口を逆に利用して戦った武勇伝など、情報に溢れていますから。

【ハートブレーン】http://heartbrain.net

今日で8月も終わりですね。
今年は雨が多かったせいか、いつも短い夏がより一層短く感じられました。
海水浴場は大打撃だったようです。
芝◯ワールドのパスポートに釣られて海をないがしろにした私がどうこう言える立場ではありませんが。

とにかく開放的な夏が終わり、この時期に増えてくるのは

食欲と

特殊な雰囲気のメールです。

長い長い休暇を終えた大企業の方々も本来の業務に戻った今、気が抜けているところに増えそうじゃないですか？迷惑メール。
いえ、悪気はないんです。嫉妬しかありません。
能登の体は食欲と嫉妬でできています。

しかしこのメール

問：間違いはどこでしょう

思わず間違い探しをしたくなるほど雑なのですが。
まず評価の高そうなドメインの本家本元（敢えて名前は出しませんが）が、アンケートだけ別ドメインに誘導なんて、絶対あり得ません。
しかもリンク先のURLが、amazoonnewです。
海女だらけのゾーンなんて、社長が喜ぶだけなので止めてほしいものです。

しかも他のnikeiresearchアンケートでは、panasonlcだのdocomonewsだの、違うドメインが表記されています。
節操なさすぎです。
とりあえず有名企業のドメインを出しておけば騙される、という思考をまずどうにかしてほしいものです。

ここ数日で4件届きました。
最近の流行なのか、ハートブレーンが数年遅れているだけなのかは分かりません。
しかし忙しい人でアンケートが好きな人は騙される可能性もありますので、お気をつけください。
今回の場合、ドメインのスペルに注意すると回避できます。

docomonewsだけはスペル自体は間違いではないのですが、そんなドメインは元々公式ではありません。
確認した限り、2004年くらいから存在するSPAM用ドメインらしいです。

ところでnikeiresearchからは「貴方の将来について」というお題でアンケートをいただいたので、とりあえず社長に懐石料理を食べに連れて行ってもらえる将来を期待しています。

【ハートブレーン】https://heartbrain.net

ネット犯罪は増加する一方ですね。

グーグル装い「ウイルス感染」＝対策名目で詐取容疑、男ら逮捕—警視庁（Biglobeニュース　より）

グーグル、とカタカナ表記なのがどこか新鮮なニュースなのですが、手口は少し古いかもしれません。
携帯の端末がウイルス感染した、というメールがGoogleから……来たら凄いですね。
パソコンでも携帯でも、ウイルスに感染したからといって、AppleやらNECやらがわざわざメールで通知してくれて、しかもウイルス対策ソフトまで紹介してくれた試しはないです。
しかし、Eメールだったら「いつものか」で終わりそうなのですが、ショートメールを使うという辺りが、不安をうまく煽っているのでしょうね。
携帯キャリアからの連絡がショートメールですから。

このニュースを見て、先日知人から受けた相談を思い出しました。

コンテンツ利用料について確認事項がございます。本日ご連絡無き場合、法的手続きに移行致します。グーグルサポートセンター

……Googleにサポートセンターなんてあったか……？
Google関連のサービスで困ったことは数多くあったものの、提供されているサポートといえば、小難しい文面で書かれたヘルプと、あとはユーザー同士で情報を交換するフォーラムしかなかったような。
サポートセンターが存在するのだとしたら、月に数回は絶対電話します。
Google+もタグマネージャーも全然使いこなせないし、アクセス地域が相変わらずおおい町（ハートブレーンより130kmほど南）に設定されてるし。

という文句を飲み込み、つい真面目に返してしまったのですが、これ、ネタになったなぁ。
何日か前にテレビで「わざと業者のメールに釣られてみた」って企画をやっていて、楽しんでいたものの、それを実行できるスキルと環境に軽く嫉妬していたのですが、そのチャンスをみすみす潰して………………

ごめんなさい、嘘つきました。
チャンスだと一瞬思ったとしても、きっと実行しません。
スパイウェアとか植え付けられたら、能登程度では対処できそうにないです。

とりあえずこの迷惑メールパターンの行く末を知りたい、と調べてみました。
しかしネット犯罪が増加するのに反比例し、引っかかる人が減少しているようで、なかなか事例が見つかりません。
ようやく見つけたのが、この記事です。

何のコンテンツ利用料？0359246868 03-5924-6868 グーグルサポートセンター（怪しい業者に要注意！様　より）

名前と年齢？クレジットカードの番号じゃないんだ……と思ったのですが、悪質業者が入れ替わり立ち替わり何らかの請求をしてくるようです。
こっちの方が怖いです。
名簿が出回ったら、逃れるためには苗字や住所を変えなきゃいけなさそうですから。

あの手この手で商売の幅を広げようとする（けどツッコミ所が多いのは昔から変わらず）悪徳業者ですが、未だに被害は1000件に上るようですね。
ウイルス感染やコンテンツ利用料の問題で企業がいきなりショートメールを送り付けることもなければ、早々と法的措置を取ることなんてもっとあり得ません。
企業の名前を出した変な請求メールで混乱させてお金や情報を吸い出そうというのが手だと思うので、受け取ったらまず深呼吸し、連絡先として指定されている電話番号やURL、もしくはメールの本文を、”（ダブルクォーテーション）で囲んだ上でGoogle検索しましょう。
他からの被害報告が見つかれば、最早悪徳業者で間違いないです。

【ハートブレーン】https://heartbrain.net

うちは人口が少ない田舎の、しかも田園地帯に位置する零細企業なのですが、定期的にりそな銀行からメールが届きます。

言うまでもなくフィッシングメールなのですが、これ、未だに続けて効果あるのでしょうか？
このブログでかなり昔に紹介させていただいた記事とほとんど同じ内容なのですが。
当たり前ですが、りそな銀行webサイトでも注意喚起されていますし、Yahoo知恵袋でもTwitterでもネタにされているくらいのメジャーさは、いっそ我が社としても見習いたいくらいです。

そんな釣る気があまりなさそうな有名フィッシングメールなのですが、徐々に形態が変わってきています。
まずは送信者の名前。
これまでは【りそな銀行】だったのですが

謎の言語です。
Google先生に問い合わせてみたらタイ語でした。
ついでに翻訳してみたのですが

Google翻訳→マルのC H yをAaの電力庁メルキゼデク

Google翻訳がすごくがんばってくれたのだけは伝わってきました。

そしてそのメールも、最終的にはこうなります。

やる気あんのか。

じゃあこれはタイ発のフィッシングメールなのかな？と思い、一応メールヘッダを確認してみたところ

GB 2312-80（あるいはGB 2312-1980）は、中華人民共和国の国家規格として定められた簡体字中国語の符号化文字集合（いわゆる文字コード）で、主に中国大陸などで使われる。（Wikipedia　より）

ちなみに、このメールに記載されているURLをクリックしても、飛ばされるのは別サイトです。
記載されている文字は間違いなくりそな銀行のものですが、aタグか何かで貼り付けられている本当のリンク先は違っていました。
URL調査をしてみたら404エラーが出るみたいなのですが、サイトは海外のものでした。
実験してみよう！とクリックするだけで、失敗と表現するにはあまりにも深い痛手を負う可能性もありますので、騒がず触らず、そっと迷惑メールとして処分してください。

【ハートブレーン】https://heartbrain.net

Google先生に聞くと、数件ほど検索結果に出てくるDr. E.N. Dan-Kano。
ダンカノ博士から、ありがたいことに、この度我が社にメールをいただきました。
長い上に英文なので、気合を入れて翻訳しました。

Excite先生が。

完全に人（？）の手柄なのですが、この長さの上に、翻訳した文章もかなり難解です。
結論は分かり切っているものの、せっかくの博士からの手紙です。
何とか読み解く努力をしてみました。

こんにちは、私はE.N.博士ダンカノである；
石油の指導者職の頭 およびパイプラインマーケティング（DPPM）、ナイジェリア。
DPPMはナイジェリア人のエージェンシーであるそれの国際貿易の排他的な監督を持つ政府Nigeria’s石油と製品。
これは、私達が永久的も維持する理由であるロンドン国際石油取引所（IPE）のここの存在。

まず、随分多様な肩書をお持ちのようです。さすが博士。
とりあえず、石油の指導者職筆頭兼DPPM。
DPPMとは、ナイジェリア人の代理人として、ナイジェリアの石油製品を監督し、国際貿易を排他しようとしている政府組織。
ナイジェリアが国際的な汚名を着せられた瞬間です。
で、その博士は、ロンドン国際石油取引所のために、DPPMを維持している、と。
国際貿易は排他しても、イギリスはいいのか……。

私は2380万米ドルを持ち、theにそれを再配置するために、私にはあなたの補助が必要であるあなたのアカウントの安全。
私は、もっと供給してお金を蓄積した買手への石油の量-記録されて、するために報告したものより政府。
供給品は送り状を下で送られた。
全体の支払いすべては全国によって私達のアカウントにまっすぐに入った金融機関。
しかし、私が署名人であるので、それは問題ではない そして、それのディレクターとしての私のポジションによるアカウントの管理人DPPM。

ダンカノ博士は2380万ドルを所有しているが、theという人？団体？に、それをあげなきゃいけないようです。
theって？と思ってGoogle先生に聞いてみたら、前置詞としてのthe以外に出てきたのは、何やら物騒なダンスユニットの企画名でした。
この企画も、説明文がダンカノ博士並に難解でした。中二すぎて。
とりあえずtheの正体は不明ですが、そのtheに渡すために、安全なアカウントである私に補助してほしいそうです。
そりゃ博士よりは安全ですよ……。
で、人にそんな面倒そうな大金を押し付けた博士ご自身は、更に石油を供給し、更なる大金持ちに売り付け、政府の報告する予定だそうです。
送り状は下で送られたらしいんですが、下って、海？地下？これだけの巨大な組織なら、どっちもあり得ます。
支払は博士たちのアカウントに真っ直ぐ入った金融機関で、それは博士が署名人であるので問題ないそうです。
……これは、博士たちのアカウントに不正でなくまともにアクセスしてきた金融機関、という意味で良いのでしょうか。
むしろ不正にアクセスしてきたのは博士ハッカーではないので不正アクセス手段はないです、博士。
しかし、もし不正であっても、博士が署名人でバックにDPPMがいるから大丈夫、だそうです。
署名さえあれば、不正アクセスOKなのか……博士の利用しているザルすぎる金融機関と、不正アクセスもみ消しを公言する政府組織に興味があります。

私がまさにそれとしての私のポジションを除去しようとしているので、私は今日あなたに連絡している私達の政治的なリーダーシップの変化によるDPPMディレクター国。
私は、遅延なしで私達のアカウントの外のこのお金を転送する必要がある。
私は、aとしてのあなたのアカウントに処理されて、転送された資金を持っている法律および契約仕事を予定している契約支払い あなたは DPPMの代わりをした前の少しの年。
あなたの職業または職業は重要ではない。
私は、するために待機状態にある私達の官庁に信頼すべき筋を持っているそれの間に質問が全然されないことを保証するために、必要なバックアップの文書を出しなさいあなたのアカウントへのこの資金の処理および転送 theのどこでも 世界。

しかしDPPMがリーダー交代したので、博士は自○しようとしているから、その前に私に連絡をくれた、と。
早まっちゃ駄目、博士ぇぇぇ！！！
数年前に私のアカウントが博士をaとして処理して、既に法律に乗っ取って契約しているので、さっさと私に2380万ドルを渡したいそうです。
アカウントって、メールを送受信するだけじゃなくて、人間を処理した挙句、勝手に大金を受け取る機能もあるのか。
なんて怖いインターネットなんだ！
あなたのアカウントや資金の行き先を政府に追求されないように、アカウントのバックアップの文書を出しなさい、だそうです。
いきなり態度がでかくなりました、さすが博士。
そもそもDPPMという政府組織が、博士の味方なのか敵なのか、文章からは少しも読み取れません。

文書すべてはそれのためのgovernment’sレコードとアーカイブに反射する真正性およびすべての可能な精査を通過するために。
theの処理資金およびその転送は、すべての国際標準と規則と会う。
転送の結論には、あなたはあなたとしての資金の15%を保有する委員会。
また私があなたに投資したいことに注意するその肝腎あなたの案内と後見の下の国。
私は、10内のこのプロジェクトの成功し、適時の完成を保証している
私は、 日付からの日 theによってフォーマルな前検定済の借方（パッド）注文をファイルする転送を処理する銀行。
詳細については、私にメールしなさい

バックアップの文書は、政府の記録に真正性を持たせ、精査を通過するために出しなさい、だそうです。
政府に追求されたくないのか、政府の精査を通過させたいのか、はっきりしてください。
theに譲渡された2380万ドルは、国際基準にも合うらしいですが、そもそも国際貿易を排他するんじゃなかったですか？
そして謎の委員会が、私の資金の15％を所有しているそうです。
そして私を後見する国……と私の肝臓と腎臓が、博士からの私への投資を注意しているそうです。
ここがメール全文で一番信憑性が高い部分ですね。
10日以内に終わらせる予定だそうです。
ここで博士の真の姿が判明します。
なんと博士は、theによって借方注文ファイルを転送を処理する銀行だそうです。
人ですらなかったのか……。

読み解く限り、報酬は期待できなさそうです。
2380万ドル横取りしたら、1時間以内には政府組織に消されそうですし。

何の旨味もなさそうな内容だったので、とりあえず無視しておきます。

【ハートブレーン】https://heartbrain.net

以前にドラゴンクエスト（DQ）もファイナルファンタジー（FF）もたしなんだ私としては、一瞬ちょっと混乱しました。
私は最近、ゲームのグッズにでも手を出したのだろうか？と。

何せこのメール、N専用のメールアドレスに来ましたから。
共用のものだったら、前の人の仕業かな？と勝手にゲーマー認定していたところですが。
しかし、ここで重大な問題があります。

私、DQは5まで、FFは8までしかプレイしておりません。
DQ8を買ったはいいものの、三半規管がめまぐるしく弱体化していたので、15分でプレイ中断せざるを得なかった、という苦い思い出もあります。
そんな私が、3D方面に特化した合体後のスクエニに用事などあるはずもなく。

しかし、アカウントは紛れもなくスクエニ。
一応メールに記載されていたURLをクリックすると

気合いが足りない。

しかもGoogle先生の得意技「もしかして」で、本家スクエニに迷惑までかけてます。
アクセス解析で直帰率が劇的に上がっていたとしたら、間違いなくこいつのせいです。

同じ症例がないかと調べてみたところ、やはりフィッシング詐欺。
もっともらしいアカウントで釣り上げ、カードの暗証番号を入手する、という手口なのだそうです。
っていうか、性質が悪いと思ったのは、アカウントなのです。

HTML形式メールだから、多分実在するログイン用アドレスの文字列を a タグで囲み、違う所へ飛ばすという手口なんだろうな、と思ったのですが。
普通にメーラーからソースを見ても、半角英数文字だけでタグなんかどこにもなく。
仕方ないので、この方法を採用しました。

Gmailに届いたHTMLメールのタグを表示する2つの方法（GRAFFIRIA-BLOG様）

Gmailに転送し、右クリックしてソースを表示させたところ
このようなURLが a タグの中にありました。

そして、ヘッダー部分に表示されていたアドレスは、大文字英数の羅列で胡散臭かった上
海外のアカウントでした。

ここからはあくまでも予想ですが

GoogleのURLを使う詐欺サイトが見つかる、セキュリティ企業が問題提起（ITmedia エンタープライズより）

3年前の記事ではありますが、この問題が恐らく未だに解決していないのかな？と。
どちらにしろ、Googleにもスクエニにも迷惑な話ですね。

しかし、この予想は、他力本願が信条であるNが、ものすごく珍しく自分で考えた結果なので
中途半端な調査によるただの勘違いである可能性が高いです。
こういう道筋もあり得るかもしれないな〜程度の認識でとどめて下さい、お願いします。
そもそもこれ無理だよ？という方のツッコミをお待ちしております。

でも結構手の込んだ手口での詐欺が、主に海外発なのを考えると
外国人って知能高いな……と変な所で羨ましくなってしまいます。

【ハートブレーン】https://heartbrain.net

今日はハートブレーンにこんなお便りが届きました。

ちなみに、社内のN個人用アドレスです。
もちろん非公開です。

社長のカードで勝手にルンバ買ったのがバレ……

なんて、優良社員のNがそんなことをするはずがないので
どう考えても因縁つけてます。このカンダってやつ。

そう思ってぐぐってみたら、案の定出てくる出てくる被害報告……ならぬ
こんな詐欺メール届いちゃったよ〜という感じの鑑賞日記。
最早誰も引っかからない手を敢えて使う、その物持ちの良さだけは評価できます。

それだけでは目新しくないので
先達のように敢えてURLをクリックして人柱に

なる勇気など当然なく
代わりにURL調査してみました。

結果

文字が潰れて見にくいですが、アドレスの末尾は
請求書．src です。
srcとは、スクリーンセーバーなどの実行ファイルです。
これ、実行してたら、人柱どころの話では済まなくなっていたところかも。
正確には、柱になるのは人じゃなく、パソコン（ハードディスク丸ごとかも）。

サーバーの場所……ですが
なんか、気のせいでなければ、この場所、どう見ても島国には見えないんですが。
ジャパンじゃなかったのか、カンダ！

とりあえず、流出経路として考えられる唯一のツールについては
調査中だの「訴える前にサポートまで連絡してね」だの
明確な答えが得られないので、しばらく注視しておきます。

【ハートブレーン】https://heartbrain.net