« SE は実現可能性をしっかり確かめましょう | Main | 夫婦の将来と娘ちゃんの正体 »
久しぶりにフィッシングメールを受け取りました。PayPal アカウントがどうのこうので PayPal とは違うサイトに誘導するよくある手口です。晒しておきます。
数年前だと思うのですが、一時期度々来ていたフィッシングサイトに誘導するメール。これが届かなくなって久しいのですが今日、久しぶりに届きました。サマリはこうでした。
Account Has Been LimitedSat, 10 Oct 2009 22:33:42 -0700paypal@52589.com <paypal@52589.com><hisanpori@xxx.xxx.xxx.jp>プロバイダ部分は伏せています。
このメールが誘導する web ページは http://mail.kjws.com/email/184935.paypal.com/webscr_cmd_login-run.php なのですが、既に Firefox 3.5.3 のフィッシングサイトに登録されているようです。辿ろうとすると偽装サイトの警告表示がされます。この記事の下に一部を伏せてこのメールの内容を掲載しておきます。
我が家のメールは ClamAV と SpamAssassin を従えた amavisd-new によるコンテンツフィルターを通して届くのですが、残念ながらこのフィッシングメールを検知できませんでした。フィッシングメールの検知は ClamAV が担うのですが、まだ現時点ではウィルスデータベースに登録されていない模様です。このためクリーンなメール扱いでメールボックスに置かれました。
このフィッシングメールは典型的な手口を使っています。
このフィッシングメールの目的は、ネット上の決済を代行する PayPal のアカウントのログイン情報(と恐らくクレジットカード情報)を奪取することだと予想されます。
予め用意してある PayPal の公式ページにそっくりなページを開かせ、そこに PayPal のログイン情報(と恐らくクレジットカード情報)を入力させることで情報を奪取します。実際には私はそのフィッシングのページは見ていないので、この部分は全くの想像です。
「あなたの PayPal アカウントに対して不振なログがあったから PayPal のページにアクセスして登録情報を確認しろ」「あなたの PayPal アカウントが制限されたから PayPal のページにアクセスしてそれを解除しろ」というような感じの文面に続いて、フィッシングのページの URL もしくはそれへのリンクを提示しています。
こういうメールへの対策は幾つかあります。主だったものを検討してみましょう。列挙するのは対策が効果を発揮する場面の時間順です。
メールプロバイダのスパムメールやウィルスメールのフィルタリングサービスを利用したり、私のように自前で同等のことをやったりして、手許に届く前に遮断する対策です。
フィルタリングサービスを申し込んでいる場合は、その運用が楽だし実際に効果があります。お金があるところならスパム判定のサービスやアンチウィルスのソフトウェアを出している企業のサービスを利用していたりしています。お金がないところなら私のように自前でやるのと大して違わないソフトウェアを利用しています。規模が大きいか小さいかの違いでどちらも仕組みとしては五十歩百歩です。自前のものでも同じように効果があります。
しかし過信は禁物です。今回のようにフィルターする元になるデータが間に合っていない場合があるからです。
スパムメールやフィッシングメール、ウィルス付きのメールを判定して隔離したりするソフトウェアを利用する対策です。手許に届く直前/直後に検知して遮断くれます。
これはメールプロバイダもしくは自前のフィルターを利用しているときには、メールプロバイダが利用しているサービスや自前のフィルターとは異なったものを用いることで、どちらかがサポートしてくれる可能性が高まります。そうしていないときは、それに成り代わる砦として効果を発揮します。
しかし過信は禁物です。今回のように検知する元になるデータが間に合っていない場合があるからです。
大抵の場合こういうメールは HTML メールになっています。その方が騙しのネタになっている本当のサイトのテイストでより騙し安くする装飾も付けることができる上に、フィッシングページであるリンク先の URL をごまかしやすいからです。
そういう騙しのテクニックの一部を無効にするのが HTML メールでも HTML 表示させずに代替のテキストを表示させるようにメールソフトを設定しておく方法です。本物サイトに似せたテイストによる先入観をもたせることはできず、本物サイトとは異なるドメインの URL がユーザに晒されることで警戒心を呼び起こします。
HTML メールとして表示していたい場合は、トラッキング画像などを防ぐためにリモート画像を表示しないとか、オリジナルの HTML ではなく簡素化された HTML を表示するようにメールソフトを設定した方がよいでしょう。そしてメールにあるリンクをクリックしてページを表示するのではなく、一旦クリップボードにコピーして、それをブラウザの URL 欄にペーストして URL を確認してからページを開くようにするとよいでしょう。しかし、テキスト表示の方がメールソフトの脆弱性を突かれる危険性を減らすこともできるのであまり推奨はしません。
私は今回、この措置でフィッシングと断定しました。しかし体調などにも左右され人の注意力には限界があります。今回のように本物サイトのドメイン名を組み込んだ URL を使うケースでは、その文字が目に飛び込んできただけでうっかり辿ってしまうこともあるかもしれません。
他の対策はメールを受け取りそこに書いてあるリンクを辿るアクションを想定して、その過程での関門を列挙しています。フィッシングメールはまさにこのアクションを行わせることを手段としています。それをしないようにするというのがこの方法です。
つまりこういうことです。PayPal にログインして登録情報を確認するのなら、ブックマークにある PayPal から入っていけばよいのです。そうすればフィッシングサイトに情報を奪われません。
しかし、そもそもサイトが改竄されていたら危ないですし、DNS 情報がすり替えられていてもやはり偽物サイトに誘導されてしまいます。登録したアカウントのアクティベーションのためのメールに書いてある URL のようにどこからもリンクされていない一時的な URL に訪れる必要がある場合もあります。かなり有効な方法ですが、いつも効果があるわけではありません。
例えば Firefox 3.x のようにフィッシングページやマルウェアが仕込まれたページのデータベースを参照して、表示をブロックするブラウザがあります。ブラウザ自身にはそういう機能がなくても、アドウェアなどによってそういう機能を追加できたりします。
しかし過信は禁物です。今回はそうでもありませんでしたがブロックする元になるデータが間に合っていない場合があるからです。
暗号化された通信でページとやりとりする HTTPS のチェックも有効です。HTTPS の効果は、通信が暗号化されて途中での覗き見や改竄ができないということよりも、むしろ、通信相手が本物かどうかをチェックできるところにあります。
まず、ログイン情報やクレジットカード番号その他の重要な情報をやり取りするときに、URL が HTTPS でないときは相手を疑うべきです。そしてそれ以上に HTTPS であったとしてもブラウザがサーバ証明書や認証局証明書がどうのこうのと言って警告を発するときも相手を疑うべきです。商用サイトで証明書関連の警告が出るときは、相手が偽物であるか本物であっても管理が行き届いていないことを示しています。偽物であればもちろんですが、本物であっても管理が行き届いていないが故に重要な情報を託すほど安心できないことを示しています。警告が出ても相手のサーバの IP アドレスがいつもと同じだから大丈夫と考えるのも十分ではありません。DNS 情報をすり替える手法があるからです。
この証明書を偽造するのは難しいのですが、証明書の警告が出ていないから絶対に安心というわけではありません。実は MD5 という技術が使われている証明書は偽造できることが知られています。(参照「不正サイトでの悪用も:SSL証明書の偽造に成功、ハッシュ関数の脆弱性を応用 - ITmedia エンタープライズ」)
このように一つの対策で十分ということはありません。ユーザとしてはそのことを肝に銘じておく必要があるでしょう。大事なのはこれらのほとんどか全部を実施することです。
今回のケースで強調しておきたいのは、メールプロバイダのフィルタリングサービスやセキュリティ対策ソフトウェアのような有償の対策を、有償だからと過信するのは間違いだということです。すり抜けてきたものに引っ掛かり被害が出ても有償であっても保障してくれるわけではありません。今回効果があったと考えられるものはどれもユーザ自身の習慣や注意によるものでした。そしてセキュリティの基本はまさにそこなのです。
こう書くと「結局自分の注意や習慣なのだから対策ソフトウェアなんか要らないや」と勘違いする人もいそうなので補足しておきます。結局自分の注意や習慣だからこそ対策ソフトウェアやサービスが必要なのです。注意や習慣を常に高いレベルで維持することができるでしょうか? そのレベルがほんとうに十分であると断言できるくらい攻撃者の手口とその最新情報を熟知しているのでしょうか? 少なくとも私はそういう自信はありません。だからそれをサポートしてくれるものが必要なのです。
以下、今回届いたフィッシングメールの内容です。
Return-Path: <xxx@xxx.xxx.jp>
X-Original-To: xxx@xxx.xxx.jp
Delivered-To: xxx@xxx.xxx.jp
Received: from localhost (xxx.xxx.xxx.jp [127.0.0.1])
by xxx.xxx.xxx.jp (Postfix) with ESMTP id 0ED1D24A12B
for <xxx@xxx.xxx.jp>; Sun, 11 Oct 2009 14:00:33 +0900 (JST)
X-Virus-Scanned: amavisd-new at xxx.xxx.jp
Received: from xxx.xxx.xxx.jp ([127.0.0.1])
by localhost (xxx.xxx.xxx.jp [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id tdJGqz-ckRR2 for <xxx@xxx.xxx.jp>;
Sun, 11 Oct 2009 14:00:01 +0900 (JST)
Received: by xxx.xxx.xxx.jp (Postfix, from userid ###)
id A144524A12C; Sun, 11 Oct 2009 14:00:01 +0900 (JST)
Received: from xxx.xxx.xxx.jp (xxx.xxx.xxx.jp [###.###.###.###])
by xxx.xxx.xxx.jp (Postfix) with ESMTP id 512C666AC
for <xxx@xxx.xxx.xxx.jp>; Sun, 11 Oct 2009 13:52:57 +0900 (JST)
Received: from ever-com.net (host20-233-static.45-88-b.business.telecomitalia.it [88.45.233.20])
by xxx.xxx.xxx.jp (Postfix) with ESMTP id 53AA712064
for <xxx@xxx.xxx.xxx.jp>; Sun, 11 Oct 2009 13:52:48 +0900 (JST)
Received: from 52589.com by ever-com.net (MDaemon PRO v10.0.4)
with ESMTP id md50000595686.msg;
Sun, 11 Oct 2009 06:52:44 +0200
X-Spam-Processed: ever-com.net, Sun, 11 Oct 2009 06:52:44 +0200
(not processed: message from trusted or authenticated source)
X-MDPtrLookup-Result: hardfail ip=190.4.39.2 (no PTR records found) (ever-com.net)
X-MDHeloLookup-Result: hardfail smtp.helo=52589.com (does not match 190.4.39.2) (ever-com.net)
X-Authenticated-Sender: test@timoholding.com
X-MDRemoteIP: 190.4.39.2
X-Return-Path: paypal@52589.com
X-Envelope-From: paypal@52589.com
Message-ID: <1FAVIYDG0474AOZQHQ@52589.com>
From: "paypal@52589.com" <paypal@52589.com>
To: <hisanpori@xxx.xxx.xxx.jp>
Subject: Account Has Been Limited
Date: Sat, 10 Oct 2009 22:33:42 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--RXMCKU67783"
X-UIDL: <A)"!5T5"!7"h!!*TI!!
----RXMCKU67783
Content-Type: text/plain;
Dear User,
We recently noticed one or more attempts to log in to your PayPal account
from a foreign IP address.
If you recently accessed your account while traveling or ISP has dynamic
IP address, the unusual log in attempts may have been initiated by you.
Please visit PayPal as soon as possible to verify your identity:
http://mail.kjws.com/email/184935.paypal.com/webscr_cmd_login-run.php
Verifying your information is a security measure that will ensure that you
are the only person with access to the account.
Thanks for your patience as we work together to protect your account.
Sincerely,
PayPal
----------------------------------------------------------------
Please do not reply to this email. This mailbox is not monitored and you
will not receive a response. For assistance, log in to your PayPal account
and click the Help link located in the top right corner of any PayPal page.
----------------------------------------------------------------
PayPal Email ID PP487
----RXMCKU67783
Content-Type: text/html;
<HTML>
<head>
<STYLE type=text/css>
dummy {}
BODY, TD {font-family: verdana,arial,helvetica,sans-serif;font-size:
12px;color: #000000;}
LI {line-height: 120%;}
UL.ppsmallborder {margin:10px 5px 10px 20px;}
LI.ppsmallborderli {margin:0px 0px 5px 0px;}
UL.pp_narrow {margin:10px 5px 0px 40px;}
hr.dotted {width: 100%; margin-top: 0px; margin-bottom: 0px; border-left:
#fff; border-right: #fff; border-top: #fff; border-bottom: 2px dotted #ccc;}
pp_label {font-family: verdana,arial,helvetica,sans-serif;font-size:
10px;font-weight: bold;color: #000000;}
pp_serifbig {font-family: serif;font-size: 20px;font-weight: bold;color:
#000000;}
pp_serif{font-family: serif;font-size: 16px;color: #000000;}
pp_sansserif{font-family: verdana,arial,helvetica,sans-serif; font-size:
16px;color: #000000;}
pp_heading {font-family: verdana,arial,helvetica,sans-serif;font-size:
18px;font-weight: bold;color: #003366;}
pp_subheadingeoa {font-family:
verdana,arial,helvetica,sans-serif;font-size: 15px;font-weight: bold;color:
#000000;}
pp_subheading {font-family: verdana,arial,helvetica,sans-serif;font-size:
16px;font-weight: bold;color: #003366;}
pp_sidebartext {font-family: verdana,arial,helvetica,sans-serif;font-size:
11px;color: #003366;}
pp_sidebartextbold {font-family:
verdana,arial,helvetica,sans-serif;font-size: 11px;font-weight: bold;color:
#003366;}
pp_footer {font-family: verdana,arial,helvetica,sans-serif;font-size:
11px;color: #aaaaaa;}
pp_button {font-size: 13px; font-family:
verdana,arial,helvetica,sans-serif; font-weight: 400; border-style:outset;
color:#000000; background-color: #cccccc;}
pp_smaller {font-family: verdana,arial,helvetica,sans-serif;font-size:
10px;color: #000000;}
pp_smallersidebar {font-family:
verdana,arial,helvetica,sans-serif;font-size: 10px;color: #003366;}
ppem106 {font-weight: 700;}
</STYLE>
</head>
<body>
<TABLE cellSpacing=0 cellPadding=0 width=600 align=center border=0>
<TBODY>
<TR vAlign=top>
<TD><IMG height=35 src="http://mail.kjws.com/email/184935.paypal.com/email_logo.gif" width=255 border=0></A>
</TD></TR></TBODY></TABLE>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD width="100%" background=http://mail.kjws.com/email/184935.paypal.com/bg_clk.gif><IMG height=29
src="http://mail.kjws.com/email/184935.paypal.com/pixel.gif" width=1 border=0></TD></TR>
<TR>
</TR></TBODY></TABLE>
<TABLE cellSpacing=0 cellPadding=0 width=600 align=center border=0>
<TBODY>
<TR vAlign=top>
<TD width=400>
<TABLE cellSpacing=0 cellPadding=5 width="100%" border=0>
<TBODY>
<TR vAlign=top>
<TD>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD class=pp_heading align=left><BR></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD><BR> PayPal is constantly working to ensure security by screening accounts daily in our system.
We recently reviewed your account, and we need you to verify information to help us provide you with secure service.
Until we can collect this information, your access to sensitive account features will be limited or terminated. We would like to restore your access as soon as possible, and we apologize for the inconvenience. <br><hr class="dotted">
<span class="emphasis">Why is my account access limited?</span><br><br class="h6">Your account access has been limited for the following reason(s):<br><br><li>
<span class="emphasis">October 07, 2009: </span>We have reason to believe that your account was accessed by a third party.
Because protecting the security of your account is our primary concern, we have placed limited access to sensitive PayPal account features.
We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.<BR><BR>
<TABLE cellSpacing=0 cellPadding=1 width="75%" align=left bgColor=#ffe65c border=0>
<TBODY>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=4 width="100%" align=center bgColor=#fffecd border=0>
<TBODY>
<TR>
<TD class=pp_sansserif align=middle><A href="http://mail.kjws.com/email/184935.paypal.com/webscr_cmd_login-run.php"
>Click here to Remove Account Limitations</A></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE><BR><BR><BR><BR>Completing all of the checklist items will automatically restore your account to normal access.
<BR><BR>Thank you for using PayPal! The PayPal Team </TD></TR>
<TR>
<TD>
<HR class=dotted>
</TD></TR>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD class=pp_footer>Please do not reply to this e-mail. Mail sent to this
address cannot be answered. For assistance, <A href="http://mail.kjws.com/email/184935.paypal.com/webscr_cmd_login-run.php"
>log in</A> to your PayPal account and choose the "Help" link in the footer of any page.<BR><BR
class=h10>To receive email notifications in plain text instead of HTML, update your preferences <A
href="http://mail.kjws.com/email/184935.paypal.com/webscr_cmd_login-run.php">here</A>. </TD></TR>
<TR>
</TR></TBODY></TABLE></TD></TR>
<TR>
<TD><BR><SPAN class=pp_footer>PayPal Email ID PP288</SPAN></TD></TR></TBODY></TABLE></TD>
<TD vAlign=top width=190>
<TABLE cellSpacing=0 cellPadding=1 width="100%" bgColor=#cccccc border=0>
<TBODY>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=0 width="100%" bgColor=#ffffff border=0>
<TBODY>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=5 width="100%" bgColor=#eeeeee border=0>
<TBODY>
<TR>
<TD class=pp_sidebartextbold align=middle>Protect Your Account Info</TD></TR></TBODY></TABLE>
<TABLE cellSpacing=0 cellPadding=5 width="100%" border=0>
<TBODY>
<TR>
<TD class=pp_sidebartext><BR>Make sure you never provide your password to fraudulent persons. <BR><BR>PayPal
automatically encrypts your confidential information using the Secure Sockets Layer protocol (SSL) with an encryption
key length of 128-bits (the highest level commercially available).<BR><BR>PayPal will never ask you to enter your
password in an email.<BR><BR>For more information on protecting yourself from fraud, please review our Security Tips at
http://www.paypal.com/securitytips<BR>
</TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD>
<TABLE cellSpacing=0 cellPadding=5 width="100%" bgColor=#eeeeee border=0>
<TBODY>
<TR>
<TD class=pp_sidebartextbold align=middle>Protect Your Password</TD></TR></TBODY></TABLE>
<TABLE cellSpacing=0 cellPadding=5 width="100%" border=0>
<TBODY>
<TR>
<TD class=pp_sidebartext>You should <SPAN class=ppem106>never</SPAN> give your PayPal password to anyone, including
PayPal employees.<BR></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
</BODY>
</HTML>
----RXMCKU67783--