皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ここ最近、少々しつこい『フィッシングメール』が複数拡散されていますので、今日はそれをお伝えします。

AmazonやLINEを騙るフィッシングメール

ここ最近で多く見受けられる『フィッシングメール』の中でも、『Amazon』に関するものの大半は中国からのものでした。

しかも、日本の中堅どころのレンタルサーバを経由しているものも複数見られました。

それらのレンタルサーバには『お試し期間』が設けられているため、それを利用していると推察されます。

また、『Amazon』を騙るものは複数拡散されており、

・『「緊急の通知」Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています！』

・『アカウント情報検証を完成してください。』

・『これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。』

・『あなたの口座を24時間更新してください』

・『Amazon. co. jp にご登録のアカウント（名前、パスワード、その他個人情報）の確認』

・『Amazon Services Japan重要情報についての通知』

・『Amazon Services Japanアカウントを更新する最後の警告メール』

などの『件名』のものが見受けられます。

その他、『PayPal』、『ゆうちょ銀行』、『LINE』を騙る『フィッシングメール』は以下の『件名』のものがあります。

『PayPal』：『[大切] PayPal アカウントでの不審なログインアクティビティ-ケース』

『ゆうちょ銀行』：『ゆうちょ銀行からのご連絡』

『LINE』：『LINE【重要情報】』、『[LINE緊急問題] 』

どれも『フィッシングメール』ですので、間違ってもリンク部分をタップやクリックをしないようご注意ください。

＜緊急のお知らせ＞
！「三菱ＵＦＪニコス銀行」や「三菱ＵＦＪニコス」「ＭＵＦＧカード」をかたるメールを送り、お客さまの個人情報等を入力させる詐欺が発生しています。メール記載のＵＲＬをクリックせずにメールの削除をお願いいたします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた引用は『三菱UFJニコス』のトップページ上部に掲載されている『緊急のお知らせ』ですが、今、そのMUFGカードなどをかたるフィッシング（詐欺）メールが発生しており、セキュリティソフトウェアメーカーからも情報が提供されています。

MUFGをかたるフィッシングメール

現在、MUFGカードをかたるフィッシングメールが確認されており、フィッシングメール内のリンクURLをクリックすると、偽のサイトに誘導されてしまうようになっています。

内容としては以下のようになっている模様です。

＜メールの件名＞

通知
重要通知

＜差出人＞

◦◦◦@mufgcard.comなど、MUFGカードになりすましている可能性あり

＜メール内のURL＞

http://www.hclf.●●●●.tw/mufg.html
http://jw.●●●●.cn/mufg.html
http://lyk●●●●.cn/mufg.html
http://●●●●.co.za/mufg.html
など、MUFGカードWEBサービスのURLではないURL

＜転送先のURL＞
https://cr-mufg-ufj-jp.●●●●.com/

＜文末の連絡先＞
0120-●●●-●●●
など、MUFGカードではない電話番号

このようになっていますが、誤ってリンクを開いてしまうと偽画面が表示され、クレジットカード番号などの個人情報の入力が求められますので、間違っても入力してはいけません。

※　偽サイトのデザインは本物によく似ています。

このようなフィッシングの可能性があるメールにおいては、

１．メールをむやみに開かない
２．添付ファイルをむやみに開かない
３．リンクURLへむやみにアクセスしない
４．アカウント情報やクレジットカード情報などを入力しない
ことが重要です。

これにより、あらゆるところに偽のメールが送りつけられるなどし、フィッシング詐欺などが多発しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんもご存知の通り、送られてきたメールの差出人が『rakuten.co.jp』であったり、『apple.com』であったりし、件名や本文も本物にそっくりの状態で作られているために本物と勘違いしてしまう偽装メール。

こういったものを防ぐ手立てはないものでしょうか？

ドメイン偽装は防ぎようがないのか？

まず、ドメインを偽装するというのは簡単にできてしまいます。

そして、これを完全に防ぐことはできません。

そのため、大手企業はもちろんのこと、中小企業などにおいてもドメインの名前解決に用いられるDNSというものに対してそれなりのものが書かれていたりします。

それによって本物であることを認証させたりしているわけですが、正直なところ、メールを受け取る側においても意識をしない限り、実際のところは役に立たないことも多いです。

例えば、常日頃からIT系の業務に携わっている人であったりセキュリティ意識の高い人であれば、疑わしいメールが送られてきた瞬間にメールのヘッダ情報を確認したりします。

しかし、そうでない人はそこまでのことは行いませんし、ヘッダー情報を見てもわからないという人が大半です。

ではどうすれば良いのか？

１．業務上、メールのやりとりを行う相手先とは一定のルールを設ける

例えば、双方においてSPF認証は必須とし、メールサーバーにおいては認証していないものを隔離するか削除する措置を取るというのも1つの手でしょう。

２．社内においてマニュアルを作成し、全体に周知徹底を図る

３．一般の消費者に対して偽装メールが届いてしまった場合、ウェブ上で確認方法や注意喚起などのアナウンスを行う

ただし、３に関しては受信者からの問い合わせ連絡などがない限り大半の企業では把握していないことも多いかと思います。

それを早期に把握するため、DNSにDMARCというものを記述し、レポートが受け取れる状態にしておくことがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

頻繁に送られてくる『楽天市場』を装ったスパムメールですが、昨日と今日に渡り、執拗なまでに拡散しているように思われます。

楽天市場を装ったフィッシングメール

現時点においては、4月24日（火）、25日（水）と、連日に渡って何通もの『楽天市場』を装ったスパムメールが拡散しています。

このメール、パッと見た限りではわかりにくく、本文中に張られたリンク先をクリックさせるフィッシングメールと思われます。

件名：【楽天市場】注文内容ご確認（自動配信メール）

差出人：楽天市場

本文：本当の楽天市場から送られてくる自動配信メールに酷似したHTML形式のもので、ショップ名は複数あるため固定ではありません。

ただし、購入したことにされている商品が、3万数千円程度（34,800円であったり、38,800円であったり）の『40V型LEDフルハイビジョン液晶テレビ（微妙に書き方が違う場合あり）』であることは共通しているように見受けられます。

メールのヘッダー情報を見ると、SPF認証には成功していない『Received-SPF: softfail』、IPアドレスは本当の楽天市場では使われていない海外（ロシアやブルガリアあたり）のIPアドレスが多く見受けられます。

このスパムメールは添付ファイルもありませんので、リンクをクリックしなければ何も問題は起きません。

また、受け取ることすら拒否したい場合、メールサーバにてフィルタリングすることで対応は可能です。

ただし、送信元のドメインを拒否してしまうと本当の『楽天市場』からのメールがすべて届かなくなってしまいますので、『SPF: pass』を『含まない』や、IPアドレスを交えた条件を指定する必要があります。

それは、多くの人が日々利用しているサービスなどであったりします。

（注：モザイクはこちらで加工したものです。）

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、ここ数日の間に複数のフィッシング詐欺メールが拡散している件ですが、少なくとも2つのものが拡散されています。

偽装された詐欺メールが拡散中

私が確認している限りでは2つのフィッシング詐欺メールが拡散しています。

まず1つは、『Microsoft（マイクロソフト）アカウントチーム』を差出人とする、『不審なサインイン』を警告するものです。

内容的には、『オフィスソフトのプロダクトキーが何者かにコピーされている不審の動きがあります。』に加え、サインイン情報としてWindowsシステム、IPアドレス（地域）、日時、そして検証作業を促す『今すぐ認証』のリンクが貼られています。

このリンクをクリックした先に何らかの仕掛けがあるものと思われます。

このフィッシング詐欺メール本文の先頭には非常にフォントサイズの大きい『不審な動きがあります』という記載があり、真ん中あたりには、以前にも使われたサイイン情報の記載があることから、フィッシング詐欺であることに比較的気付きやすいものです。

もう1つは、『楽天市場』を装った、『注文内容ご確認（自動配信メール）』を件名にしているものです。

こちらの場合、本物の楽天市場から配信されるHTML形式のメールに似せたものになっており、随所にリンクが貼られています。

もちろん、リンク先は全く無関係のURLになっており、そのリンクをクリックした先に何らかの仕掛けがあるものと思われます。

ただし、注文日付が1月のものとなっているため、それを見れば明らかにおかしいということは直ぐにわかります。

身に覚えがない場合はもちろん、不安な場合においてはメール本文のリンクをクリックせず、ブラウザに直接URLを入力したり、インターネットの検索結果、スマートフォンの正規アプリなどから自身の購入履歴などを確認すれば問題は起きません。

これらのメールは数日間継続的に配信される可能性がありますが、間違っても本文中のリンクをクリックしてしまわないよう、十分ご注意ください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本においては銀行やクレジットカードの情報が主に狙われているとされるマルウェアが、昨年から横行するようになったようですが、それが先月から今月あたりにかけて再び活発化しているようです。

銀行情報を狙うマルウェア『Ursnif』

この『Ursnif』と呼ばれるマルウェアですが、攻撃手法としてはスパムメール、不正プログラムによるリモートサイトからダウンロード、リムーバブルドライブやネットワーク共有を介しての拡散などが確認されています。

スパムメールの場合、メールの件名としては『公共料金請求書データ送付の件』、『商品発送のお知らせ』といった件名でメールが送りつけられ、添付ファイルや本文中のリンクをクリックさせて感染させようとするものです。

日本においては、銀行やクレジットカードの情報が狙われているほか、Webメール、クラウドストレージ、仮想通貨プラットフォーム、電子商取引サイトのユーザー認証情報などを盗もうとする亜種も出回っているとの情報もあります。

これらの悪質なメールや不正プログラムなどがゼロになることはありません。

従って、自己防衛する以外にはないと考えなければいけません。

そのためには、セキュリティ（ウイルス）対策ソフトは当然必須ですし、メールが届いてしまった場合においては自身で注意を払い、怪しいサイトへのアクセスも絶対に行わないなど、普段からの注意と心掛けが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日々繰り返される迷惑なスパムメール、サーバ側にてフィルタリングしているところもあるかと思いますが、時にはそれをすり抜けてしまうということも発生します。

今日はそんな事例を1つご紹介します。

スパム送信者も手法を変えている

例えば、迷惑メールの件名に『sunglass』という文字列があったとします。

このメールのヘッダー情報を見た場合、そのままであれば『Subject: sunglass』というように見ることができます。

しかし、何らかの文字コードでエンコードされていた場合は違います。

例えば、Base64形式でUTF-8の文字コードでエンコードされていた場合は『c3VuZ2xhc3M=』となり、メールのヘッダー情報を見た時には『Subject: =?UTF-8?B?c3VuZ2xhc3M=?=』となります。

これは文字コードがUTF-8に限定された話しではなく、EUC-JPが使われていたり、ISO-2022-JPが使われていたりとさまざまであるため、日本語であった場合にはその文字コードによっても変化してしまいます。

（この場合はEUC-JP、ISO-2022-JPでも『c3VuZ2xhc3M=』）

このようなことから、スパム送信者が手法を変えてきた場合にはフィルタをすり抜けてくるということになります。

ただし、これは1つの事例です。

Base64でエンコードされたものを、それぞれの文字コードに応じて自動変換した後にフィルタリングをしてくれるものもありますので、すり抜けた場合に疑ってみて下さい。

追伸：この事例の場合は文字コードの自動変換に対応していなかったため、都度、文字コード別にフィルタリング設定ということになりました。