2017年1月13日

マイクロソフトを騙るスパムメール

セキュリティ 脅威

誰でも知っているような大手企業の名前でメールを送りつけ、不安を煽る文面で受け取った人を混乱させ、意図する情報を手に入れようとするのはフィッシング詐欺の常套手段です。そうした詐欺に使われるスパムメールは、英文だったり不自然な日本語だったりしていたものですが、近年は比較的自然に見える日本語が使われるようになってきました。

マイクロソフトを騙るスパムメールは、珍しいものではありません。先日から拡散し始めたと見られるスパムメールでは、件名に日本語で「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」とあり、マイクロソフト製品を使うユーザーの不安を煽っています。

メールの本文は、オフィス製品のプロダクトキーが違法コピーをされた可能性があるとして、ユーザーに検証を行うよう求めるものです。差出人のメールアドレスはマイクロソフトのサポートチームから送られたかのように装われており、メール本文は言葉の使い方に若干の違和感はあるものの、かなり正確な日本語で書かれています。

図 1 拡散しているスパムメール

※この先は、分析のためにリンクをクリック・サイトへアクセス等を行いますが、実際にスパムメールを受け取った際にはそうした操作を行わないでください。

このメールから誘導されるのは、フィッシングサイトです。メールの受信者が騙されてリンクをクリックし、フィッシングサイトにアクセスすると、ポップアップのメッセージが表示され、「検証作業を行わないなら、オフィス製品が使えなくなる」と畳み掛けてきます。

図 2 マイクロソフトを騙るフィッシングサイト

[今すぐ検証]をクリックすると、Microsoftアカウントの入力を求められる画面に移動しました。

図 3 偽のMicrosoft アカウントサインイン画面

ログイン後は個人情報とカード番号の入力を求められます。

図 4 個人情報とクレジットカード情報の入力を求める偽の画面

情報を入力し、画面の遷移を確認すると、「Officeライセンスを修復中」というメッセージの表示後、しばらくして「修復が完了しました」とプロセスを終了するメッセージが出てきました。

図 5 「Officeライセンスを修復中」メッセージ

図 6 「修復が完了しました」メッセージ

「Officeライセンスを修復中」「修復が完了しました」というメッセージは、もちろんユーザーを騙すための偽のメッセージです。

また、このドメインは最近作成されたもので、サーバーのIPアドレスはロシアにありました。ドメインの登録者名はロシア系の名前ですが、登録者の国名は中国と記載されており、またフィッシングサイトのコンテンツの一部には中国語が使用されています。(閉じるという意味の「关闭」、図6参照)

今回のフィッシングサイトがどういったものか確認していると、興味深いことがわかりました。同僚が英語版のWindows OSからこのWebサイトにアクセスしたところ、同じドメイン名にもかかわらず、全く異なるWebサイトが表示されたのです。これは、HTTPのリクエストヘッダーに含まれるAccept-LanguageをこのWebサーバーが確認しているためだと考えられます。日本語環境であればフィッシングサイトが見えますが、言語環境が他言語であるなど何らかの理由で”accept-language: ja-JP”がHTTPリクエストヘッダーに含まれていない場合は、ショッピングサイトが表示されます。

図 7 英語版OSからアクセスした場合に表示されたWebサイト

攻撃者はなぜこのようなことを行っているのでしょうか。理由は2つ考えられます。

1つ目は、日本のインターネット利用者をターゲットにしていること。2つ目としては、日本語以外の環境からアクセスした場合にフィッシングサイトには到底見えないWebサイトを表示することで、ISPによるフィッシングサイトの閉鎖を遅らせる目的があると推察されます。

いずれにせよ、攻撃者が日本を狙っていることは間違いないようです。大手企業や銀行などを名乗るもっともらしいメールが来ても、慌てずにしっかりと確認してください

カスペルスキー製品では、当該サイトをフィッシングサイトとして検知します。