あなたのアカウントは一時的にロックされています。はAppleIDを盗むための詐欺メール。

ネタ

とうとう私にもAppleを名乗った詐欺メールが届いた。

件名:あなたのアカウントは一時的にロックされています。
From:AppleID(japan.appleid.notification@robots-newsletterce.com)
発信元:robots-newsletterce.com
Apple Inc.

親愛な,

お客様のアカウント情報の一部が不足しているか、または間違っていると通知されました。あなたのアカウントにいくつか問題がありました。

使用するには、Apple IDアカウントを確認してください。次のリンクをクリックしてすぐに確認してください :

サインイン:アカウントにサインインする
あなたの情報を確認する:あなたがApple IDアカウントの所有者であることを確認するために、事前に情報を入力してください
送信して有効にする:データを正しく確認した場合、システムによって自動的にアカウントが有効になります

サインイン(ボタン)

24時間以上の情報が届かない場合は、お客様のアカウントが自動的に無効になります。
Apple、をお買い上げいただきありがとうございます,
Apple Care

あなたは、Apple Inc製品またはアカウントの重要な変更をお知らせするため、このメール・サービスの告知を受けました。
© 2017 Apple Inc., 1 Infinite Loop. Cupertino, CA 95014. USA

なぜ、偽メールとわかったのか?

色々とおかしい所があるのにお気付きだろうか?

発信元がAppleじゃない

FromはAppleIDと表示されているが、発信元はrobots-newsletterce.com(japan.appleid.notification@robots-newsletterce.com)となっている。どうみてもAppleではないのが解る。

ちなみにAppleからのメールは「@apple.com」や「@email.apple.com」など、@の後に必ず「apple.com」が付くはずだ。「apple.com」が付いていない物は全て偽物だと思って良いでしょう。

※上記メールアドレスに興味本位でメールを送ったりしないように。

なぜBCCで送っている?

通常、直接私にメールを送るなら「To(宛先)」になるはずですが、このメールを見ると「BCC」になっている。

To(宛先)とは、直接送信したい相手のメールアドレス。
BCCとは、BCCに指定されたメールアドレスは、他の受信者にアドレスが見えないようする。

なので、BCCに大量のメールアドレスを入力して送信するとパット見、貴方だけに送っているような形になるのです。これは一斉送信メールなどに使われる手法ですね。

今回のメールはその手法なので、「あぁ、同じメールを同時に・大量に送信したんだな」って事が解ります。

親愛な, ってなんだよ!

親愛な・・・、親愛な何なんだよ!「親愛なる友よ」なのか?という冗談はさておき、通常このような始まりはありえないですよね。アジア系から来るメールの特徴ですね。わけわからない日本語になってるのは。

Appleからの本当のメールなら、「親愛な」ではなく「○○様」となり、○○はAppleIDかAppleIDで登録した名前になるかと思います。ただ、これも既に情報が漏れていた場合は「○○様」となっているかもしれません。今回に関しては「親愛な」となっている時点でAppleじゃないと解ります。

サインインボタンのリンクが怪しい!

サインインのボタンにマウスをのせるとリンク先が見えるのですが、そのリンク先が
https://login.aspx-jp.○○-direct.email/?account=##EMAIL##
※誤ってリンクへ飛ばないように一部伏せています。

となっている。見ての通り「apple.com」の文字すら無くなっている。確実に詐欺だと解ります。Appleからのメールなら、リンク先も必ず「apple.com」が入っています。

本当にロックかけたなら、機器がロックされているはず!

メールの件名の通り、「一時的にロックしました」と言っているなら、使用しているAppleIDは現時点でロックされているはずです。

例えば、iPhone。貴方のiPhoneは「アカウントがロックされています」と画面上に警告が出ていますか?出ているなら、本当にロックされてれいますので、本物のAppleからのメールを探しましょう。

「アカウントがロックされています」と画面上に警告が出ていないなら、ロックされていない証拠です。ということは、このメールはおかしい = 偽メールだと解ります。

これで、このメールが偽物だということが解りましたでしょうか?偽メールだと知らずにリンクに飛んで、AppleIDを入れてログインすると、相手先に貴方のAppleID情報が送信されてしまいます。そうすると、貴方のAppleIDを利用して色々と悪さをします。そんな被害に合わないよう、このようなメールは無視して削除しましょう。

各ブラウザでリンク先に飛んでみたらどうなるか

ここで私は思った。もし、サインインのボタンを押したらどうなるか?と。
さらに私は思った。普通なら警告してくれるはずだが、ブラウザによって挙動は変わるのだろうか?と。

そして私は警告を出してくれるかの検証をすることにしました!
今回検証をするブラウザは「Google Chrome」「Firefox」「Safari」「Edge」「Internet Explorer11」以下の通り。※すべてパソコン上でのブラウザとなります。

順を追って検証開始!

Google Chrome

まずはGoogle Chromeから検証を開始。サインインボタンをクリックした所・・・

真っ赤な警告文が表示されました!

「偽のサイトにアクセスしようとしています」と言ってますね。更に「悪意のあるユーザーによって、ソフトウェアのインストールや個人情報(パスワード、電話番号、クレジットカードなど)の入力といった危険な操作を行うよう誘導される可能性があります。」と言ってくれてます。

Google Chromeなら、もし知らずにサインインをクリックしても危ないよ!と警告してくれるので、AppleIDを盗まれずに済みそうですね。

Firefox

次はFirefoxで検証を開始。サインインボタンをクリックした所・・・

真っ赤な警告文が表示されました!

「詐欺サイトとして報告されています!」と言ってますね。Firefoxでは既に対処している形です。素晴らしい。警告の内容はほぼGoogle Chromeと一緒ですね。

Firefoxも、もし知らずにサインインをクリックしても危ないよ!と警告してくれるので、AppleIDを盗まれずに済みそうですね。

Safari

次はMacのデフォルトブラウザ、Safariで検証を開始。Apple社だから上記2つのブラウザと同じで対策済みでしょう。
サインインボタンをクリックした所・・・

なん・・・だと・・・・っ!?

普通にアクセス出来てしまった。そして中身はまるでAppleのホームページをそのままコピーした作り。ここまで来てしまうと「あ、本当にAppleからのメールなんだ」と信じてしまうかもしれない。URLは物凄く怪しいのに。Safariの設定でも「詐欺Webサイトを閲覧しようとしたときに警告」にチェックを入れるのに、まだこのサイトが詐欺サイトだと認識してないのでしょうか・・・。

Safariだと、タイミングによっては騙されてAppleIDを盗まれるかもしれませんね。

Edge

次はWindowsのデフォルトブラウザ、Edgeで検証を開始。こう言ってはなんですが、正直期待していません!
サインインボタンをクリックした所・・・

でしょうね!警告もなく普通にアクセス出来てしまいました。

解ってたことですが、やはりWindowsのデフォルトブラウザを使うのは危険ですね。もっと、詐欺サイト等の対策に力を入れるべきですね。Edgeでは、普通に騙されてAppleIDを盗まれるかもしれませんね。

Internet Explorer11

次はWindowsで以前のデフォルトブラウザ、Internet Explorerで検証を開始。Versionは11です。こちらも正直期待していません!
サインインボタンをクリックした所・・・

解ってたよ!警告もなく普通にアクセス出来てしまいました。

Internet Explorerは既に昔のブラウザ。詐欺サイト対策に力を入れることは無いでしょうね。こちらも普通に騙されてAppleIDを盗まれるかもしれませんね。

検証結果

警告を出してユーザーを守ってくれたのは「Google Chrome」と「Firefox」だけでした。まさかSafariが対応できてなかったのは驚きです。何れ対応してくれるでしょう。

問題なのは「Edge」と「Internet Explorer」この2つを使用している人は、ご自身で詐欺サイト等の対策ができそうにないなら、Google ChromeかFirefoxにすると良いでしょう。

Google Chromeのダウンロードはこちら
https://www.google.co.jp/chrome/browser/desktop/index.html
Firefoxのダウンロードはこちら
https://www.mozilla.org/ja/firefox/

因みに、Android端末のGoogle Chromeで検証した所、普通にアクセス出来てしまいます。しかし、ウイルス駆除ソフト「ESET Mobile Security」を入れていたため、ESET側で警告を出してくれました。

[amazonjs asin=”B072HC288M” locale=”JP” title=”ESET パーソナル セキュリティ 1年1ライセンス(カードタイプ) シリアルキーのみ CITS-ES10-001-D01 ESET Internet Security V10″] [amazonjs asin=”B01MTQ8JL5″ locale=”JP” title=”ESET パーソナル セキュリティ (最新版) | 1台3年版 | オンラインコード版 | Win/Mac/Android対応”]

最後に

偽メールかどうかを見極めるのは昔と比べて難しくなっているのは確かです。しかも巧妙です。だからこそ自分自身、詐欺サイトなどの知識を高め、パスワードや個人情報をしっかりと守る必要があります。まずは、ウイルス駆除ソフトを入れてみる。メールのURLは安易に押さない。身近な人に聞いてみる。など、出来ることから初めましょう。そうすれば、どうすれば良いかの対処が身に付くはずです。