Appleを装った迷惑メールを調査してみた

30代未経験ネットワークエンジニアのshinです。

今回は、yahooメールに届いていた迷惑メールについて簡単に調査してみましたので、その内容を簡単に説明します。

メールの内容

今回届いたメールは、Appleを装ったメールでした。
詳細は以下のような感じです。

ここから————————————————-

From:APPLE-ID@apple-customer.jp

件名:
****(全然違う名前) あなたのアカウントは危険にさらされています 05/04/2018 22:34:43

本文:
アカウントの有効性を確認できませんでした。
ファイルに関するお支払い情報。

親愛なるお客様: ****(全然違う名前)

いつも Apple-Store をご利用いただき、ありがとうございます。

私たちは、あなたのアカウント情報の一部が誤っていることをお知 らせしたいと思います。
私たちは、あなたのアカウントを維持するためにお使いのApp store ID情報を確認する必要があります。

今すぐアカウントを確認できます

私のApp store ID ← リンクになっている

私たちは24時間以内にあなたからの応答を受信しない場合は、
アカウントがロックされます。

————————————————ここまで

なぜ調査しようと思ったのかと調査する内容

このメールが怪しいのは文面を見ていただけばわかると思います。

そもそも迷惑メールフォルダに入っていたことと、宛名が違う段階で、迷惑メールだなと思ったので、放置しておこうかとも思ったのですが、最近セキュリティに興味があったので、以下について調査してみようと思いました。

1.送信元アドレスが正しいのか
2.リンクに貼られているURLはどのようなものなのか

送信元アドレスが正しいのか

まずは、送信元アドレスが正しいのかについて調査を行ってみました。

送信元アドレスをググってみましたが、該当するアドレスは出てこないようです。

次に、送信元アドレスへメールを送信してみました。
とりあえず、エラーで届かないというメールは返ってこない模様・・・

どこかに届いたのか??

10分程度待ってみましたが、何も応答がないのでこの件はいったん保留にします。
進展があったら追記したいと思います。

リンクに貼られているURLはどのようなものなのか

リンクに貼られていたURLを調査したみたところ、以下のアドレスへ行くようになってました。

https://apple-*****.jp ←このサイトから飛ばれても困りますので、伏字にします。

次にこのURLのドメイン名を「nslookup」で調べてみました。

そうすると、IPアドレスを確認することが出来たので、次はそのIPアドレスがどの地域のものなのかを調査してみます。

IPアドレス:137.59.**.**

どうやら、「Hong Kong」のIPアドレスっぽいことがわかりました。

リンクに貼られているアドレスへアクセスしてみましたが、すでに閉鎖されていました。

一応、パケットキャプチャでパケットを見ていましたが、こちらかの応答「SYN/ACK」が
全くなかったので、サーバからの応答はないようです。

まとめ

最後まとめです。

今回、初めて迷惑メールを調査して感じたことは、

  • 日本語が意外とまとも?(若干怪しい部分はある)
  • 送信元メールもドメインもAppleになっているため、間違えてURLクリックする人もいる?

みなさんも、お気をつけください。

セキュリティに関して、以下の本が面白かったので紹介です。

コメント

タイトルとURLをコピーしました