« お客様の iTunes Store アカウントに関する重要なお知らせ という mail が届いた | トップページ | 更に iTunes の mail の件 »

2011/07/13

件のmailをちょっと調べてみた

フィッシングっぽいらしいので、ちょっと調べてみることにした。
ちなみに、フィッシングなのか、愉快犯なのか、それ以外なのかはよくわからないですね。
※理由は後述
※色々読みにくくてすみません

●その1:mail のヘッダ

※部分的に省略しています

Return-Path: <musicstore_mac_jp@apple.com>
Received: from [xxx.xxx.xxx.xxx]
(中略)
Received: from mail-out.apple.com (mail-out.apple.com [17.151.62.50])
 by imx18.ms.so-net.ne.jp 
 with ESMTP id p6BI5WeI022308 for <私のmail address>;
 Tue, 12 Jul 2011 03:05:32 +0900
MIME-version: 1.0
Content-type: multipart/alternative; boundary="Boundary_(ID_WFlPAM1Iv0xRj+wf7sL06w)"
Received: from relay16.apple.com ([17.128.113.55])
 by mail-out.apple.com (Oracle Communications Messaging Exchange Server 7u4-20.01 64bit (built Nov 21 2010))
 with ESMTP id <0LO600B6HKGI1061@mail-out.apple.com> for 私のmail address;
 Mon, 11 Jul 2011 11:05:16 -0700 (PDT)
X-AuditID: 11807137-b7c4bae0000013e5-2b-4e1b3bc32f0a
Received: from [17.227.37.28] (don.nguyen.apple.com [17.227.37.28])
 by relay16.apple.com (Apple SCV relay)
 with SMTP id 71.80.05093.3CB3B1E4;
 Mon, 11 Jul 2011 11:07:00 -0700 (PDT)

というわけで、わかることと言えば、17.227.37.28 が mail のスタート地点らしいという事。でも、この辺も改ざんしようと思えば改ざんできるのでどうしたもんだろうか。一応、この IP を調べると、Apple の IP と言うことがわかる。

とはいえ、ここが改ざんされている可能性もあるので、途中の経由ホストをすべて調べてみることにする。
17.227.37.28.......apple
17.128.113.55....apple
17.151.62.50.......apple
<この次 so-net>

ふと気になるのが、mail-out.apple.com の IP が17.151.62.50 と 17.128.113.55 の二つあることだけど、IP複数持っていることもあり得るので何ともなぁ。あと、偽装するにしても Apple 踏み台にしてるんじゃないの?という気がする。この辺は、詳しい人だったらもうちょっとわかるかなぁ。
あと、MIME-version と Content-type が Recieved の途中に挿入されているのが凄く気になる。ここに挿入されるフィールドじゃないと思うんだけどなぁ。もしかして、mail-out.apple.com を騙ったサーバーからあちこちに送りつけられたんじゃないだろうか。

続き。

Message-id: 
From: iTunes Store 
To: 私のmail address
Subject:  お客様の iTunes Store アカウントに関する重要なお知らせ
Date: Mon, 11 Jul 2011 11:05:15 -0700
X-Bounce-Tracking-Info:  <CQkJdG9rYWRhQGRhMi5zby1uZXQubmUuanAJ44GK5a6i5qeY44GuIGlUdW5lcyBTdG9yZSDjgqLjgqvjgqbjg7Pjg4jjgavplqLjgZnjgovph43opoHjgarjgYrnn6XjgonjgZsJNDEJCTM0NDkzCWJvdW5jZQlubwlubw==>
X-Brightmail-Tracker:  H4sIAAAAAAAAA+NgFupiluLIzCtJLcpLzFFi42IRfKwqo3vEWtrP4PEXaYuv218yOjB6bOvd xhjAGMVlk5Kak1mWWqRvl8CVsebmQ8aCmUoVczY+YGlgPCnfxcjBISFgIvHlZ3AXIyeQKSZx 4d56ti5GLg4hga2MEk8nXmEFSfAKuEgcmvORBaSeV0BQ4u8OYZAwm4CbxMHZe1lAbBEBaYlv e06zgdjCAsUScxb3M4HYLAKqEh0f57OCzJQQOMQo8WvWNEaQOcwCYRIXHhVPYOSehTB1FkJi FlAzs4CNxO1dfawQtrbEk3cXoGwdifnL5jIhiy9gZFvFKFiUmpNYaWiml1hQkJOql5yfu4kR FEINheY7GLf/lTvEKMDBqMTDyygn7SfEmlhWXJkLdBIHs5II7252oBBvSmJlVWpRfnxRaU5q 8SFGaQ4WJXHe1ZncfkIC6YklqdmpqQWpRTBZJg5OqQbGneFCU09Ltiyq+ak1rcurTHFzVsqr Nc92vHmcJvpvtlfOunuvDHwOWmU0cApc3NAyec5qKUudjvmyk1pe8zZKVa8/JsuWtdToZVlm bdsDi81bK33LGXs3PFVwnH0x/gjf4dNVWjaGVb9F445KB0uIrFblFsm+Z9N0fava2o3ihUx7 L110u7VTiaU4I9FQi7moOBEAmNm8jh0CAAA=
X-Sonet-Redirect: (ここは省略しました)

あとは、この辺に乗っている各種ヘッダが何かの役に立つと言えば役に立つかも知れない。
とはいえ、X- で始まるヘッダが何かの役に立つとも思えないし、わからんなぁ。

Message-id とか From とかは好きに書き換えられるしねぇ。

●本文
MIME のマルチパート mail なので、テキストとhtmlの二つに分かれます。

◎テキスト部

iTunes Store をご利用のお客様へ

iTunes Store をご利用いただき、まことにありがとうございます。

最近、お客様の iTunes アカウントが他者によって無断アクセスされた可能性があります。セキュリティ保護のため、ご利用のアカウントのパスワードをリセットさせていただきましたのでご連絡させていただきます。iTunes アカウントのログインページに表示される指示に従ってアカウントを再有効化してください。また、次のWebサイトからパスワードを変更いただけます。

http://iforgot.apple.com

パスワードを変更することにより、第三者が無断であなたの iTunes Store アカウントへアクセスすることを防ぎます。アカウントのセキュリティを強化するために、まだ誰にも知られていない、現在他のオンラインアカウントなどで使用されていないパスワードをお選びください。パスワードは英文字と数字の両方を含み、8文字以上である必要があります。
ご面倒をお掛けしますが、ご理解ご協力のほどよろしくお願いいたします。

iTunes Store カスタマーサポート
http://www.apple.com/jp/support/itunes/

文面的には、iTunes アカウントなんて物は存在しないし(Apple ID と書くべき)、宛先の固有名詞(私の名前)が書かれていないなど、冷静に見ればかなり怪しい。でもまぁ、ここはいいや。

◎html部
まず、さくっと引用。(文字コードの関係で化けているけどあえてそのまま)

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-2022-jp">
<title>HTML Message</title>
<meta name=generator content=Advanced HTML parser v2>
</head>
<body>
<table border="0" width="100%" cellspacing="0" cellpadding="0">
<tr>
<td>
<font face='Monaco' size='1'>iTunes Store </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B$r$4MxMQ$N$*5RMM$X(B</font>
<font face='Monaco' size='1'><br><br>iTunes Store </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B$r$4MxMQ$$$?$@$-!"$^$3$H$K$"$j$,$H$&$4$6$$$^$9!#(B</font>
<font face='Monaco' size='1'><br><br></font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B:G6a!"$*5RMM$N(B</font>
<font face='Monaco' size='1'> iTunes </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B%"%+%&%s%H$,B>
<T$K$h$C$FL5CG%"%/%;%9$5$l$?2DG=@-$,$"$j$^$9!#%;%-%e%j%F%#J]8n$N$?$a!"$4MxMQ$N%"%+%&%s%H$N%Q%9%o!<%I$r%j%;%C%H$5$;$F$$$?$@$-$^$7$?$N$G$4O"Mm$5$;$F$$$?$@$-$^$9!#(B</font>
<font face='Monaco' size='1'>iTunes </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>
$B%"%+%&%s%H$N%m%0%$%s%Z!<%8$KI=<($5$l$k;X<($K=>$C$F%"%+%&%s%H$r:FM-8z2=$7$F$/$@$5$$!#$^$?!"<!$N(B</font>
<font face='Monaco' size='1'>Web</font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B%5%$%H$+$i%Q%9%o!<%I$rJQ99$$$?$@$1$^$9!#(B</font>
<font face='Monaco' size='1'><br><br>
<a href="http://iforgot.apple.com">http://iforgot.apple.com</a> 
<br><br></font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B%Q%9%o!<%I$rJQ99$9$k$3$H$K$h$j!"Bh;0<T$,L5CG$G$"$J$?$N(B</font>
<font face='Monaco' size='1'> iTunes Store </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B%"%+%&%s%H$X%"%/%;%9$9$k$3$H$rKI$.$^$9!#%"%+%&%s%H$N%;%-%e%j%F%#$r6/2=$9$k$?$a$K!"$^$@C/$K$bCN$i$l$F$$$J$$!"8=:_B>$N%*%s%i%$%s%"%+%&%s%H$J$I$G;HMQ$5$l$F$$$J$$%Q%9%o!<%I$r$*A*$S$/$@$5$$!#%Q%9%o!<%I$O1QJ8;z$H?t;z$NN>J}$r4^$_!"(B</font>
<font face='Monaco' size='1'>8</font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$BJ8;z0J>e$G$"$kI,MW$,$"$j$^$9!#(B</font><font face='Monaco' size='1'><br></font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B$4LLE]$r$*3]$1$7$^$9$,!"$4M}2r$46(NO$N$[$I$h$m$7$/$*4j$$$$$?$7$^$9!#(B</font><font face='Monaco' size='1'><br><br>iTunes Store </font>
<font face='Hiragino Kaku Gothic ProN W3' size='1'>$B%+%9%?%^!<%5%]!<%H(B</font>
<font face='Monaco' size='1'><br><a href="http://www.apple.com/jp/support/itunes/">http://www.apple.com/jp/support/itunes/</a>
</font>
</td>
</tr>
</table>
</body>
</html>

※適当に改行追加してます

一番わかりやすいフィッシング的なのだと、アンカータグのテキストとリンク先が異なっていると言うのになる。だけど、存在するアンカータグ(2カ所)はテキストとリンク先は同じ。つまり、リンクを偽装しようとはしていない。

これはなんなんだろうね。フィッシングだったらどこかのフィッシングサイトへ誘導する記述があってしかるべきだけどそれが無い。なんか、やたらとあちこち読みにくいhtmlだけど、多分適当なツールで生成したんだろうな-と言うことぐらいしかわからない。meta タグに変な文字が見えるけど、Advanced HTML parser v2 というものがなんだかわからない。

というわけで、何らかのフィッシング詐欺の練習(あるいは失敗作)か、愉快犯かどっちかじゃないかなーと推測中。

こういうのはどう注意すれば良いのか、非常に悩ましいのですが…。
mail の URL リンクは基本的にさわらないというのがわかりやすい防衛策ですかねー。Becky! とかだとリンクさわると警告が出るようになっているので、うざいと思っても、警告 ON にしておくことがお薦め…ですかね。

|

« お客様の iTunes Store アカウントに関する重要なお知らせ という mail が届いた | トップページ | 更に iTunes の mail の件 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/50935/52199320

この記事へのトラックバック一覧です: 件のmailをちょっと調べてみた:

« お客様の iTunes Store アカウントに関する重要なお知らせ という mail が届いた | トップページ | 更に iTunes の mail の件 »