[Yahoo! JAPAN]ログインアラート を名乗る詐欺メールが来た。
ダマされないように手口と対策を公開しておきたい。
これに乗せられると、YahooのログインIDとパスワードが盗まれ、
やられ放題になる。
日本は日本らしく
我々は我々らしく
Yahoo! JAPAN Login Alert <loginalert-master@login.yahoo.co.jp>
という、おそらく正規のアドレスより、
次のような警告メールが送られてきました。
<追記> Yahooのカスタマーセンターによると正規のアドレスはloginalert-master@mail.yahoo.co.jpだそうだ。
いつもYahoo! JAPANをご利用くださいまして、誠にありがとうございます。
普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo!
JAPANへのログインがありました。
今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。
■「ログイン履歴」と「登録情報」に心当たりがない情報がないかご確認ください。
https:// hl.login.yahoo.co.jp/
■注意事項
・このメールはお客様のYahoo! JAPAN IDに関する情報が含まれていますのでお取り扱いには十分ご注意ください。
・メールに記載されたURLからページに遷移後、Yahoo! JAPANのページであることを念のためご確認のうえ、情報を入力してください。
・ほかのメールアドレスへの転送やサイトへの記載内容の投稿は絶対に行わないでください。Copyright (C) 2014 Yahoo Japan Corporation. All Rights Reserved.
自分のアカウントがアメリカで勝手にログインされたようなので、
チェックしろ、という一見善意のメールですねぇ。
ただ、よく見てみると
「普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo!JAPANへのログインがありました。今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。」
の日本語があやしい(笑)
お前は、Google翻訳か!、とツッコミを入れたくなるような
微妙な日本語。
さらに、ログインのURLにスペースが紛れておりまして
「https:// hl.login.yahoo.co.jp/」 (https://の後に半角スペース)
これでは、URLのクリックができません。
私はいつもメールの表示のデフォルトはテキスト表示で、
HTML表示は使いません。
あやしさに気づきにくくなるから。
念の為にこのメールをHTML表示してみますと
![イメージ]()
と表示され、URLの部分はスペースが入ってはいるものの、
クリックできる状態になっております。
念のため(笑)、ソースを表示してこの部分をみますと、
本当にリンクする先は、
の青色の部分です。
Yahooとは何の関係もないアドレスですね。
で、念のため(笑)、そこへジャンプすると、
良い子は真似しないで下さいね~
すると、なんということでしょう~
という、さも本物らしいサイトになっております。
おい、おい、いま話題のファミマかよ、ってツッコミはおいといて。
よくよく見ると、
などと文字化けしてるわけです(笑)
で、念のため(笑)、ログインしてみると・・・
良い子は真似しないで下さいね!
伏せ字のところは 「kue」 になってます(爆
すると、なんということでしょう~
すると、なんということでしょう~
画面は、正規のログイン履歴画面になるではありませんか!
鈍い人であれば、この画面をみて、
よかった♡ アメリカからのログインないお!
とかとかとか思うんでしょうか・・・。
もちろん、さっきのログイン画面は偽物で、
バカ正直に、IDとパスワードを入れていたら、
これで、さくっと、正規IDと正規パスワードを取られちゃった、
ということになるわけでして、
今頃相手は大爆笑、ということになるわけです。
元のメールがウソアメリカからログインされた、というのもウソログインへの誘導先URLがウソログイン画面もウソ
そして、この
ログイン履歴のみが本物
というフィッシング詐欺です。
Yahoo Japanのセキュリティの甘さで、
ログイン履歴をみる時に、正規の認証が必要なくても見れる、
というセキュリティ・ホールをついてるんだと思います。
<追記>
メールのヘッダーを見たところ、
IP: [202.238.84.153]
で、so-netの
dw237728@wj8.so-net.ne.jp
のアカウントを使って発信しているものと考えられる。
のアカウントを使って発信しているものと考えられる。
また
Received-SPF: pass (ms-omx03.so-net.ne.jp: domain of dw237728@wj8.so-net.ne.jp designates 202.238.84.153 as permitted sender) receiver=ms-omx03.so-net.ne.jp; client-ip=202.238.84.153; envelope-from=dw237728@wj8.so-net.ne.jp;
この部分は、送信に使われた dw237728@wj8.so-net.ne.jpが存在していて認証に成功したということを意味している。だから、送信者は、dw237728@wj8.so-net.ne.jpのパスワードを知っている者ということになる。
次に
Authentication-Results: mta546.mail.kks.yahoo.co.jp from=login.yahoo.co.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@login.yahoo.co.jp
の部分は、送信者が偽装した、メールの送信元のアドレスである loginalert-master@login.yahoo.co.jp を認証した部分だが、yahoo.co.jp の認証システムがザルで、「login.yahoo.co.jp」というドメインは不正だとはせず、「neutral送信元の認証ができたかどうか明らかにしていない」を返した記録である。
つまり、so-net はちゃんと仕事をしたが、yahoo はメール偽装に対して誠実な仕事をしていない、という証拠である。
●対策
対策ですが、
1.メールはHTML表示しない2.メールの中のURLはよくよくチェックする3.パスワードの使い回しはしない4.渡る世間は鬼ばかり、と達観する5.Yahooと縁を切れるひとは切りましょうね(笑)
をおすすめします。
ネット詐欺が流行っております。
くれぐれもご注意を。
<追記>
「海外、特に米国を中心として大きな被害を生んでいるフィッシング詐欺に関する事例情報、技術情報の収集及び提供を中心に行うことで、日本国内におけるフィッシング詐欺被害の抑制を目的として活動しております。」
さっそく、通報しておいた。
日本は日本らしく
我々は我々らしく