迷惑メールの歩き方
2021年12月20日 月曜日
CONTENTS
【IIJ 2021 TECHアドベントカレンダー 12/20(月)の記事です】
こんにちは。naotです。
普段はIIJのセキュリティオペレーションセンター(SOC)で、ログ分析ルールの管理やスレットハンティングのお仕事をしています。
1年目から小ネタでエンジニアブログのアドベントカレンダーを書かせていただいていて、もう3年目です。
私の一番長く続いている趣味は迷惑メール観賞です。
だいたい小学生時代から受け取りたいメールとそうでないメールの分類や、怪しいメールの観賞をしていました。
怪しいメールは集めるとその中に関連性やストーリーを見いだせることがあり、鑑賞だけでなく収集にも興味を持つようになった結果、現在も続く趣味になっています。
古くは主人をオオアリクイに殺された未亡人のメールからチェーンメール、最近の巧妙なフィッシングメールまで、
見るものにあやしい魅力を感じさせてくれる迷惑メールです。
読者の皆さんも長くメールサービスを使っていらっしゃると、少なからず迷惑メールを受け取る機会はあると思います。
ここでは、私が個人的に収集している迷惑メールを紹介し、楽しみ方を共有できればと思います。
また、迷惑メールの中でも注意するべきフィッシングメールについての一例と、正規のメールとの見分け方を紹介します。
迷惑メールの集め方
まずは、迷惑メールの集め方について紹介したいと思います。
私が考えるに、迷惑メールを送ってもらうには4つのポイントがあります。
それぞれについて紹介していきます。
- 簡単なメールアドレスに設定する
- メールアドレスを登録したサービスから漏洩される
- 自らあやしいサービスにメールアドレスを登録しに行く
- 自らメールアドレスを公開する
1.簡単なメールアドレスに設定する
簡単なメールアドレスとは、存在することを推測されやすいメールアドレスです。
たとえば、
<単語1つ>@<メールアドレスのドメイン部>
などです。
このようなメールアドレスを設定すると大量の迷惑メールが来るため、普通は忌避されるものですが、迷惑メールを集めたい人間には好都合です。
私もこの方法で迷惑メールを集めています。
ドメインですが、できる限りよく知られているドメインが良いでしょう。
キャリアメールや、有名なメールサービスで、簡単なメールアドレスが使えるか探ってみてください。
うまくいけば、数日中に何らかのメールを受け取れます。
もし簡単なメールアドレスが既に利用されていて空いていないとなったら、文字の後ろに単純な数字を足したり、単語を足す・繰り返すなどしてみてください。
また、単語は英単語だけでなく日本語の単語をローマ字にしたものも有効です。(桜→sakura など)
2.メールアドレスを登録したサービスから漏洩される
意図的に漏洩されるのは難しいどころか無理だとは思います。
ですが、一番いいデータが取れるのはこの2番だと思います。
なるべくたくさんの正規のサービスにメールアドレスを登録して、漏洩するのを待ちます。
自分のメールアドレスがどこかのサービスから漏洩しているかを調べる方法として、Have I Been Pwned?というWebサービスが有名です。
Have I Been Pwned?の類似サービスは多数あります。
しかし、こういったサービスでメールアドレスを入力すると、このサービスの運用者にメールアドレスを知られることになるため、
サービスの運用者が本当に信頼できるのかを調べておく必要があると思います。
3.自らあやしいサービスにメールアドレスを登録しに行く
自らあやしいと思うWebサービスやメーリングリストに突撃する方法です。
ここでの「あやしいサービス」は、詐欺を行っていると思しきものなど、取り扱っているコンテンツがグレーで、かつサーバ証明書が切れている・ドメインがフリードメインなど運営者を信用する担保がないサービスと定義します。
こうしたあやしいサービスを見つけた際に会員登録などをして、メールアドレスを相手側に知らせます。
2番との違いは、あやしいと分かっているサービスに登録しに行くという点です。
この方法は詐欺サイトなどに自らアクセスするので、当然ながらそのサイト自体に仕掛けられたものに引っかかる可能性があります。
(マルウェア(悪意あるソフトウェア)をダウンロード・感染する、暗号資産マイニングに加担させられるなど)
後述の迷惑メールにあるURLリンクを踏む場合と同じように、注意が必要です。
4.自らメールアドレスを公開する
程度にもよりますが、自らメールアドレスを公開していくのも有効です。
連絡先として公開しておくだけでも良いですし、pastebin などのサービスにメールアドレスを置いておくのも良いでしょう。
ただし、公開しているだけだとどれほど価値のあるメールアドレスかは分からないため、
そもそも迷惑メールが来ない可能性があります。
※観測時に気を付けておくべきこと
観測用メールアドレスをつくる(本当に利用しているメールアドレスは使わない)
迷惑メールを見ているつもりが、本当に正規のメールだと自分が勘違いしてしまうと厄介です。
迷惑メールは日々進化しているため、今見抜けていてもいつか自分が騙されるようなものが送られてくるようになります。
できれば観測用のメールアドレスを用意しましょう。
また、観測用メールアドレスということは、当然迷惑メールの送信元にメールアドレスを知られています。
キャリアメールやフリーメールなどを使っていると、メールアドレスの管理画面へのログインページの場所を推測されます。
ログインページを攻撃者に知られてしまうと、ブルートフォースや辞書攻撃・パスワードリスト攻撃を受け、アカウント自体を窃取される可能性が出てきます。
簡易なパスワードや他サービスで使っているパスワードを利用しないことはもちろん、二要素認証が使える場合は設定しておいた方が良いでしょう。
迷惑メールにあるURLにアクセスする場合は、壊れてもいい端末や環境に自己責任でアクセスする
URLリンク先によっては、クリックするだけでマルウェアをダウンロードするものもあります。
あくまで自己責任で、どうなっても対処できる場合のみURLリンク先を調べることをお勧めします。
また、オンラインサンドボックスを使ってURLを調査することもできますが、
URLにあるクエリ文字列によってメールアドレスを識別されていることがあります。
URLリンク先のサイトで迷惑メールを受け取ったメールアドレスが表示されることがあるため、こちらも使用する際は注意が必要です。
オンラインサンドボックスを使う場合は、クエリ文字列などメールアドレスに紐づくかもしれない情報を削ることも有効です。
検索した情報が自分の管理外にあるデータベースに記録されるという点で、情報漏洩についてもご注意ください。
迷惑メールのリンク先で何か入力を求められても本物の情報は入力しない
当たり前といえば当たり前ですが、クレジットカード情報やパスワードの入力を求められても本物の情報は入力しないようにしましょう。
もし何か入力する場合は、ダミーの情報を用意しておくと良いでしょう。
観測している迷惑メール紹介
さて、ここからは私が観測した今年の迷惑メールをご紹介します。
返信を要する迷惑メール
メール例1
ここまで問い詰められると、ちょっと返信したほうがいいんじゃないかと罪悪感が沸いてきますね。。
この手のメールはたくさん来ます。
亜種で、芸能人を装ったメールが来ることもあります。
メール例2
莉乃さん(仮名)とは実は深い?付き合いで、2019年冬頃からずっとやり取りしています。
しかし、昨年の4月頃、ずっとメールを送ってきてくれていた莉乃さんからはメールが来なくなりました。
メール例3
これは昨年の4月に莉乃さんから受け取ったメールです。
「ほげ」という名前で呼ばれていますが、これは私が莉乃さんから名前を聞かれた際に「ほげ」と名乗ったため、ずっと「ほげ」という名前でやり取りされていました。
今年6月から始まったのは新しい莉乃さんとのやり取りで、同じメールアドレスに対して同じ芸能人を詐称して新しくやり取りを始めることもあるのだなと個人的には驚きました。
莉乃さんは連投タイプで、写真が送られてくることもあります。
メール例4
ちなみにこのメールのバックグラウンドの設定ですが、メールで直接やり取りして莉乃さんと仲良くなる→会員制サイトを通さないとこれからはやり取りができないと知らされる→会員制サイト(詐欺サイト)に登録させるというものです。
URLを踏ませる迷惑メール(フィッシングメールを含む)
次はメール本文内にURLがあるものを紹介します。
URLが本文に含まれると、明確にフィッシングメールと言えるものが多くなります。
URLを本物に見せる技術が伺えますが、私のところに届くものはまだ詐称元の正規のURLと判別可能なものが多いです。
メール例5
一番よくあるタイプのメールです。
これは短縮URLを使ってURLの正誤の判別を困難にさせています。
メール例6
こちらもよくあるタイプで、正規のURLと誤認させようとしています。
似ている数字や文字を並べることで、受信者の目を騙そうと試みているようです。
たとえばこの画像の例ですと、「r」と「n」を並べる(「rn」)ことで「m」という文字に見せかけています。
メール例7
こちらもまたよくあるタイプで、絶妙にURLを押させようとする文言を使ってきます。
メール例8
こちらは、URLがLINEのリンクです。
また、全文が以下のようになっています。
顧客満足度98%です。ご確認ください。 識別番号【********】 ご利用いただきまして ありがとうございます。 ご利用詳細ページ 6月28日 12時42分24秒 ゲストさんへの新着メッセージです。 hxxps://lin[.]ee/******** ■このメールは送信専用メールアドレスから配信されています。 ご返信いただいてもお答え出来ませんのでご了承下さい。 ご返信の際にはURL内の返信ページをご利用ください。 今日のおすすめ 香港の抵抗運動に思うー女神の静かな覚悟 ピンタレスト、クリスマスレポート2019を発表キーワードはパーソナライズ、セルフケア、サステナビリティ、ストレスフリービジュアルディスカバリーエンジンのPinterest(ピンタレスト)は、今年ユーザーの間で人気のクリスマスアイデアを発表しました。ユーザーはイベント毎にPinterestでアイデアを見つけ計画を立てますが、今年はクリスマスのアイデアが早くも6月から検索されていました。実際に、今年はクリスマスのアイデアの検索が世界的に220%上昇し、中でも目立つテーマはパーソナライズ、セ
一番最後にニュース記事のコピーのようなものがあります。
その他、メールの一番最後に記号のような文字列が含まれていることもあります。
最後にPCメールで来ている迷惑メールを取り上げます。
メール例9
一見正しいドコモのURLのように見えるのですが…
メール例9のURLにカーソルを合わせた結果
URLにカーソルを合わせてみると、レベルスクワッティングドメインのURLが出てきました。
レベルスクワッティングドメインとは、途中までは詐称元の正規のドメインがサブドメインとして含まれているようなドメインを指します。
例えば、
example.com
というドメインがあれば、最後に
example.com.evil
のように、トップレベルドメインに別のものを追加したドメインを取得し使用することで、
メール受信者に正規のドメインであると誤認させる手法です。
(筆者はThunderBirdを利用してURLを確認しました)
もし迷惑メールらしきものを受け取ったら?
今年もいかにして読者にURLを押させるかを考えられた文章が多く、その中には世相を反映させたような文字列も多く見えました。
まだまだ不自然な日本語やURLから迷惑メールだと見分けられるものも多いですが、
一瞬本物でないかと見間違えるものが増えてきました。
中でも、本格的なフィッシングメールは本物と見分けるのがかなり難しいです。
では、迷惑メールを集める中で、メールを受け取ったらどう行動しましょうか?
受け取ったメールがフィッシングメールの場合、どれくらい出回っているメールかは各種サイトで確認できる場合があります。
- 各キャリアやブランドの公式サイトで注意喚起が行われているので、公式サイトをチェックする。
- フィッシング対策協議会で行われているフィッシングメールの注意喚起をチェックする。 https://www.antiphishing.jp/
- 検索サイトやSNSなどでメールの一部分を検索して、同じメールを受け取っている人がどれくらいいるか確認する。(この際意図せずメール内のURLにアクセスしないよう注意する。)
リサーチをしている方が先にいる場合、メールの背後にいる送信元についての情報を入手できることもあります。
情報を得てから受け取ったメールを再度読むと、考えられるものが増えてより楽しめます。
最初は、送信元メールアドレスのドメインや、メール内のURLのドメインについてwhoisを使って調べてみるのがおすすめです。
whoisの情報から、ドメインがどのサービスを使って登録されているのか、登録者情報が非表示にされているかなどを確認することができます。
もし調べた結果、送信元メールアドレスが正規のサービスのメールアドレスに見えるのであれば、メールアドレスが偽装されていないかチェックしてみましょう。
メールアドレスが偽装されておらず、かつ正規のサービスのドメインを使用している場合は、攻撃者自身のアカウントからメールが送られているか、窃取された第三者のアカウントからメールを送られている可能性があります。
また、フィッシング対策協議会ではフィッシングメールやフィッシングサイトに関する情報提供を受け付けているため、受け取ったメールを報告することもできます。
https://www.antiphishing.jp/registration.html
簡単に報告できるフォームですので、ぜひご協力ください。
最後に
今回紹介させていただいた迷惑メールはほんの一部で、かつ直近のものが多くなっています。
季節感があるわけではないですが、一定時期を経過すると迷惑メールもジャンルが変わります。
今回紹介できなかった時期のものはアダルト系が多かったため、省かせていただきました。
やはり来るメールは基本的にお金儲けとアダルト系が多いです。
しかしその中でも細かく文面や特徴が変化するところが迷惑メールの面白いところです。
迷惑メールが届いたと思ったら、少し特徴を観察してみると面白いですよ。
読んでいただきありがとうございました。
【編集部注】
筆者は迷惑メール・マルウェアなどの扱いについての特殊な訓練を受けています。 迷惑メールを不用意に取り扱うとご利用者のパソコンやネットワークに被害が出る場合があります。 十分にご注意ください。
