どうもムリナクです。
迷惑メールの話。
かれこれ12年くらい使ってるYahoo!メールのアドレスがあるんですが、長年同じアドレス使ってると毎日山のようにフィッシングメールや儲かる系の勧誘メールが届きますよねー(たいていは迷惑メールフォルダに振り分けられてますが)。
多くの迷惑メールはドメインを良く見ると一文字だけ大文字になってたり変なスペースが入ってるものや、メッセージ本文の日本語が少しおかしかったりします。
そういうのは簡単に「迷惑メールだ」と判断できるからまだカワイイもんなのですが、
送信元を書き換えているような巧妙なメールはパッと見で判断できないから恐ろしい。
というわけで以下、
送信元を偽装した巧妙ななりすましメールについて情報共有していきます。
迷惑メールなのに差出人アドレス/ドメインが@amazon.co.jpに偽装されてるAmazonなりすましメールを観察する
迷惑メール業者の技術が上がってるのか迷惑メールフォルダの振り分け機能が最近ちょっとバグってる
最近ちょっとYahoo!メールの迷惑メールフォルダが振り分け精度悪くなってる気がしてます。
ガチのAmazonメール(発送お知らせとか)が迷惑メールフォルダに入ってたり、
逆に明らかニセモノの国税庁なりすましメールが迷惑メールフォルダじゃなく普通の受信ボックスに紛れ込んでたり。
前から多少は振り分けミスあったんですがここ数か月多くなってるように感じます。
迷惑メール業者側もあの手この手で技術向上しているのかもしれん(向上すな)。
そんなこともあってちょっとメール確認するときは慎重になってるんですが、
じつは前々から気になってたことがありまして。
差出人アドレスが偽装されてるなりすましメールは公式メール見分けがつかんからコワい
それが「差出人アドレス/ドメインが偽装されてるなりすましメール」です。
個人的に良く見かけるのがAmazonなりすましメール。
内容的に完全にフィッシングメールでAmazonサイト内の「メッセージセンター」ページにも存在しないメールなのに送信元のドメインが「@amazon.co.jp」になってるヤツ。
本文内容やメッセージセンターページで迷惑メールか否かの判別はできるっちゃできますが、何かモヤモヤしてたんですよね。
そこで今回、巧妙なりすましメールをじっくり観察してみました。
すると見分け方というか見極めの判断材料となりうる情報が2つ見つかりました。
差出人ドメイン偽装なりすましメール観察してわかったこと①:メール認証がエラーになってる(スマホ版Yahoo!メールで確認可能)
これまであんまり気にしてなかったんですが受信したメールを開封すると「認証(このメールの認証情報)」という項目がありまして。
認証情報を見ると公式から届いたメールはちゃんと認証済み(PASS)になってて、迷惑メールはドメインが偽装されている巧妙なものを含めエラーが発生してました。
ただ、
認証システムもSPFだのDMARCだのいくつかあるようで、迷惑メールのなかには一部認証システムは認証済み(PASS)になっている(認証システムを欺いている)ものもあったので「迷惑メールなら一切の認証がエラーになる」というわけでもなさそうです。
とはいえムリナクが使ってるYahoo!メールではスマホアプリ版でも認証情報はポチっとカンタンに確認できるので怪しいメールが届いたときにお手軽に確認する手段としては認証情報はめっちゃ有能ですね。
差出人ドメイン偽装なりすましメール観察してわかったこと②:PCブラウザ版のYahoo!メールで確認できる「詳細ヘッダー」情報では実際の送信元ドメイン/アドレスが確認できる可能性あり
PCブラウザ版のYahoo!メールでは認証情報以外にももう少し詳しい情報が確認できた。
それが「詳細ヘッダー」です。
クリックすると何やら英語や数字がてんこ盛り。
で上の画像よく見ると何やらドメインが「○○〇shop」となってるメールアドレスっぽいのがあります。
このアドレスが書かれているのは「Return-Path」という項目で、グーグル翻訳すると「復路」となります。メールが届かないときに差し戻されるアドレスって感じですかね。
つまりReturnPathアドレスが実際の送信元アドレスである可能性は大いにありますよね。
「Return-Path」に怪しげなドメインやアドレスが書いてあるメールはパッと見で送信元アドレスが正しそうなものでも要注意かもしれません。
まとめ
最後に
今回なりすましメールについて観察/調査するにあたって色々と情報収集したのですが、なりすましメール対策に関する細かい情報が他サイトで公開されてるのを発見しましたので2つほど共有しときます。
ムリナクには内容がちょっと難しすぎましたが気になる方は読んでみてください(^^)
なりすましメール対策—メールアドレスの「なりすまし」リスクと送信元の追跡方法 | クラウドサイン
なりすましメールをメールソースから見破る方法 | SendGridブログ
今回も最後まで読んでいただきありがとうございました。
また次の記事でお会いしましょう。
ムリナクでした!