更新日:2022/2/15

詐欺メール防衛戦:詐欺メールの見分け方 中級編

個人的なメールアドレスにせよ、会社で使っているメールアドレスにせよ、どこから嗅ぎつけるのやらいつの間にか不審メールが届くようになるのはもはや日常風景。そしてそれは大企業も中小企業もあまり大きな差異はない。そして、こうした不審メールや詐欺メールと呼ばれるものが、攻撃の入り口となるケースが7割から8割に登ると言われており、決して甘く見てはいけないものとなっている。騙されてしまった時には然るべき対処を素早く行うことが何よりも大事である。

今回は中級編ということで、初級編においてメールの見た目で詐欺メールかどうか判断できる範囲で説明したものの、いかんせん最近の詐欺メールは巧妙化していており十分とは言えない。我々システム屋にとって請求書が送られてくることが珍しくても、営業担当の方であればそれが日々の業務である。コンシューマ向けのECサイト運営者であればもはや判断は困難である。以下ではあまり技術技術しない範囲で、URLやメールアドレスに着目してもう少し突っ込んだ見分けるポイントを説明する。

URLのドメインとは?

いま表示しているページは「https://ldlus.org/cyberwarfare/scam_email_identifying2.php」というURLになっている。この中で、ドメインと呼ばれる部分は「ldlus.org」になる。本物なのか偽物なのかをこのドメインで判断する方法を紹介する。

ちなみに、我々が契約しているのはldlus.orgというドメインなわけであるが、orgというドメインを取得できるかというと、これはできない。トップレベルドメインと呼ばれるもので公的なものである。一方で、www.ldlus.orgやviola.ldlus.orgというドメインを取得できるかというと、これはできる。取得できるというよりも、我々の設定次第の領域でサブドメインと呼ばれるものである。

それでは問題。以下のうち我々管理下のドメインはどれ?(いずれも架空のものですが、アクセスはしないでください)

  1. ldlus.xyz.org
  2. ldlus.shop
  3. ld1us.org
  4. xyz.s1.storage.ldlus.org

1つ目は、最近の詐欺メールでもよく見かける悪性URLのパターン。ldlusという文字が見えるものの、これはあくまでxyz.orgのドメインを契約している人の管理下であって、我々からしてみればそんなドメインが存在していることすら認識できない。

2つ目は、ldlusはldlusであるがorgではなく、shopのトップレベルドメインになっている。これもldlus.shopのドメインを契約している人の管理下であって、実際に契約している人がいるのかどうかすら我々は認識していない(後述するWhois情報で契約有無は分かるが、各トップレベルドメインごとに定期的に確認するのは現実的でない)。将来的に我々が契約する可能性もあるが、研究所なのでshopを選択する可能性は低いと思われる。

3つ目は、よく見て欲しい。3文字目がエルではなく数字の1になっている。こういったものを類似ドメインと呼ぶが、よく見ないと気付かないこともあり厄介な存在であったりする。特にAmazonの詐欺メールではこのような悪性URLがよく登場するが、さすがに長く続けているとネタが切れてきたのか、そうはならんやろ…というような類似ドメインを最近はよく目にする。

4つ目はサブドメインの一形態で、我々の管理下である。

ということで、答えは4番目のみ。まずはドメインがこのようなものであることを半分ぐらい理解していただければ十分である。以降はツールを使って確認していく。

Google検索でそのサイトが出てくるか、というのも悪性サイトかどうかを判断する上では非常に有用である。例えば以下のようにドメインを検索バーに入力して出てくれば、本物かどうかはさておきGoogleにインデックスされるぐらい長い間存在し続けているサイトであることは分かる。悪性サイトは単純に攻撃者自身がすぐに閉鎖したり、サイトのホスティングサービス会社が危険と判断してアクセスできなくさせているので、Googleで出てくる時点で信用性は高いと言える。

  • "ldlus.org"
  • site:ldlus.org

ただ、気を付けないといけないのが、サイトが乗っ取られているケース。URLからしてWordpressの脆弱性を突かれたのか、それとも弱いパスワードを設定していて侵入されたのか、攻撃者によってクレジットカード情報を入力するようなフォームが設置されたと思われるケースはよく目にする。

仮想ブラウザによる見分け方

お使いのブラウザで怪しいURLを直接開くのはNGであるが、そうは言っても開いてみないことには判断がつかないこともある。また、悪性サイトだったとして、すでに閉鎖されているのか、もしくはまだ稼働中のサイトなのかを確認することも判断材料として重要であったりもする。そんなときに便利なツールとして仮想ブラウザというものが存在する。かつてはaguseをよく使っていたが、ここ数年どうにも調子が悪いためSecURLANY.RUNを多用している。SecURLはリダイレクト先のURLまでコピペしやすいのが良いものの、InternetExplorerベースで動いているのか、表示できないページが徐々に増えている印象がある。ANY.RUNはファイルのサンドボックスのイメージが強いと思うが、URLのチェックもできる。ブラウザはChromeを選択することもできるため、確認できる範囲が広い。

こういったツールでURLを開くとどう見えるかを確認し、ログインフォームが表示されたり、クレジットカード情報を入力する画面が表示された場合は特にご注意いただきたい。

なかなか悩ましいところであるが、仮想ブラウザではエラーになるページでも、ウチの研究所でこしらえたサンドボックス(VirtualBoxにWindowsを乗せて、それをスナップショットですぐに前の状態に戻せるようにしているだけのもの)で悪性URLを開いてみると正常に開けてしまったりするケースもあったりする。攻撃者もさるもので、おそらく相手が仮想ブラウザかどうかを判断してレスポンスをどう返すか切り分けているのであろう。

レピュテーションツールによる見分け方

あえて後ろの方に配置したが、VirusTotalなどでURLのレピュテーションを確認することもできる。便利である一方、登場して間もない悪性サイトは情報が足りておらず悪性判定が出なかったり、フォームやサイトを作ることができる正規サービスでは、特定のページが悪用されたことでサービス全体に悪性判定が出てしまっていることもあるため、過信は禁物である。他の調査結果も含めて総合的にご判断いただきたい。

Whois情報による見分け方

ドメインの所有者が誰なのかという情報をWhois情報と呼ぶ。トップレベルドメインによってWhois情報を調べるサイトがバラバラなので各自調べていただきたいが、こちらのサイトを起点にすると調べやすいと思われる。以下はldlus.orgを調べた例(2021年12月12日時点)。最近はGDPRの関係でWhois情報の表示が制限されつつあるようで、システム管理者の情報等も表示されなくなってしまっているようである。ここから分かることはホスティングサービスがどこの会社なのか、ドメインが作成されたのはいつか、ぐらいか。悪性サイトであればドメインが作成された日付が最近であるなど、そういった判断に使えるかと思われる。

		Domain ID: D189513917-LROR
		Registrar WHOIS Server: whois.star-domain.jp
		Registrar URL: www.netowl.jp
		Updated Date: 2021-06-02T02:00:17Z
		Creation Date: 2016-08-04T13:48:41Z
		Registry Expiry Date: 2022-08-04T13:48:41Z
		Registrar Registration Expiration Date:
		Registrar: Netowl, Inc.
		Registrar IANA ID: 1557
		Registrar Abuse Contact Email: registrar-abuse@netowl.jp
		Registrar Abuse Contact Phone: +81.662928811
		Reseller:
		Domain Status: clientTransferProhibited
		https://icann.org/epp#clientTransferProhibited
		Registrant Organization: Netowl,Inc.
		Registrant State/Province: Kyoto
		Registrant Country: JP
		Name Server: NS1.STAR-DOMAIN.JP
		Name Server: NS2.STAR-DOMAIN.JP
		Name Server: NS3.STAR-DOMAIN.JP
		DNSSEC: unsigned
		URL of the ICANN Whois Inaccuracy Complaint Form
		https://www.icann.org/wicf/)
		>>> Last update of WHOIS database: 2021-12-12T07:47:31Z <<<

		For more information on Whois status codes, please visit
		https://icann.org/epp

		Access to Public Interest Registry WHOIS information is
		provided to assist persons in determining the contents of a
		domain name registration record in the Public Interest
		Registry registry database. The data in this record is
		provided by Public Interest Registry for informational
		purposes only, and Public Interest Registry does not
		guarantee its accuracy. This service is intended only for
		query-based access. You agree that you will use this data
		only for lawful purposes and that, under no circumstances
		will you use this data to (a) allow, enable, or otherwise
		support the transmission by e-mail, telephone, or facsimile
		of mass unsolicited, commercial advertising or solicitations
		to entities other than the data recipient's own existing
		customers; or (b) enable high volume, automated, electronic
		processes that send queries or data to the systems of
		Registry Operator, a Registrar, or Afilias except as
		reasonably necessary to register domain names or modify
		existing registrations. All rights reserved. Public Interest
		Registry reserves the right to modify these terms at any
		time. By submitting this query, you agree to abide by this
		policy.

		The Registrar of Record identified in this output may have
		an RDDS service that can be queried for additional
		information on how to contact the Registrant, Admin, or Tech
		contact of the queried domain name.
	

まとめ

以上のような調査結果から詐欺メールであると結論付けられれば、周知を出したり、悪性サイトへの通信をブロックできるようであれば設定したりと、対応できる範囲でアクションを起こしていただければと思う。また、詐欺メールに引っかかってしまったメンバーがいた際は、こちらを参考に必要な対処の実施をお願いする。

関連ページ

詐欺メール防衛戦一覧

# タイトル 概要 主な対象者
1 詐欺メールの見分け方 初級編 不審メールの種類、メールの外見で分かる範囲での見分け方 全員
2 詐欺メールの見分け方 中級編 ←イマココ ドメイン、Google検索、仮想ブラウザによる見分け方 中小企業のIT担当者
3 詐欺メールの見分け方 上級編 メールヘッダー、SPF、DMARCによる見分け方 SOCやCSIRTのメンバー、メールシステム担当者
4 詐欺メールに引っかかってしまった場合のリカバリ方法 パスワード変更やカード再発行などの案内 全員
- the end of this article -