そう、こんなメールが毎日のように届いているので、警戒しつつ静観していたんですが・・・。

どうやら、このメール自体は本当にAppleから送られてきている気がします。ウチが見る限りはリンクなどにも細工はありませんでしたし、、、

一体何なんでしょうねえ。

• Apple IDを狙うリストアタックが多発、サイトが攻撃を回避する手段とは＠ItMedia
• 【ガチ注意】Appleを装ったフィッシングメールが大流行中です＠iPhoneMania

ITMediaの記事の方がおそらく正確だと思うんですが、iPhoneManiaの記事はちょっと怪しいと思いますねｗ

昨日あたりからTwitterなどでも話題となっており、無視していても一日に何度も何度も送付されているようです。また、このメールはApple製品を持っていない人にも送られています。非常に恐ろしいのがデザインが一緒な上に差出人がAppleで、宛先が本名の個人名で送られて来ています。フィッシングの差出人メールアドレスは「appleid@id.apple.com」です。

なんて言ってますけど、本物の再設定メールも同じアドレスから来ます。適当な記事書くなｗ（あと、Apple製品を持っていなくても、iTunesに登録している可能性もありますよ。）

とまぁ、iPhoneManiaの記事は色々ツッコミどころが多いので、少々書いてあることは難しいですがITMediaのほうを参照されたし。

MyAppleIDのページ（https://appleid.apple.com/jp/）では、3回ログインに失敗すると、登録されたメールアドレスに対してパスワード再設定メールを送付するページに飛ばされます。何者かがアタックした結果送付されたメールであるなら、上記ページからすぐにパスワード変更を行うべきです。

とは言っても、こんな事があるたびにパスワード変更していたらそのうち覚えられなくなってしまいますよね・・・ｗ

※余談

管理が行き届いたWebサイトでは、通常登録ユーザーのパスワードが盗み出されても、パスワード自体は元の形がわからないように保管されています。（ハッシュ関数を使用して、元のパスワードに戻せないようにした形で保管されています。通常は。）もし、盗み出したパスワードを調べるならばハッシュテーブルの逆引きが必要になるので、それ相応の時間は稼げます。（ハッシュ化の強度によってはすぐ破られる場合もあります。膨大な逆引きデータを収録したデータベースなども存在します。）

ユーザーIDとパスワードを管理しているWebサイトでは、たとえ盗まれたとしてもすぐに判読されないようにSalt＆Stretching、または同等以上の強度を得られる方法で対策を講じておく必要があるとおもいます。

※下記の件、スクエニの公式に注意書きが出ていますので、アカウントを持っている方はそちらも熟読してくださいね。

『http://www.jp.square-enix.com/info/130708_phishing.html』

最近ウチのところにこんな感じのメールがよく届きます。

一見すると、不正アクセスの確認メールがスクウェアエニックスから来ているように見えます。パスワード変更をするために、慌ててURLをクリックしてしまいそうですが、ちょっと待ってください。

アドレスは一見するとスクウェア・エニックスのモノですが、後ろに『ffjp.asia』なんていう変なものがついています。これ、URLが似ていても全然別のサーバーなのです。スクウェア・エニックスとはなんの関わりもありません。

このメールの狙いは、スクウェア・エニックスのサイトに偽装したページでアカウントとパスワードを入力させ、アカウントを乗っ取ることにあります。

こういったメールが来たとき、安易にリンクをクリックしてパスワードを入力してはいけません。

詐欺メールとの簡単な見分け方としては以下の2点です。

差出人を確認する。

上記メールの差出人は『tianxin424@yahoo.com.cn』となっていますが、当然スクウェアエニックスがyahooのメールアドレスから送ってくることはありません。これは明らかな偽物と判断できますね。

ただし、この見分け方は万能ではありません。実は差出人アドレスは簡単に偽装することができます。

※インターネット電子メールの規格上、From（差出人）アドレスはチェックされていません。今回届いたメールは偽装どころかモロにYahooアドレスなのでかなり低次元な詐欺メールと言えます。

引っかかっちゃダメですよ？

リンクのアドレスを確認する。

差出人アドレスは偽装することができますが、こちらは完全な偽装をすることはできません。たとえばこういうメール。

すでにThunderbirdによって検知されていますがｗ

こちらは、差出人アドレスはスクウェア・エニックスになっているし、本文中のリンクも一見スクウェアエニックスのサイトで間違いなさそうです。

しかしよく見てください。

リンクにカーソルを合わせると、リンク先アドレスがステータスバー（画面下側）に表示されますが、『.account.zuzx.pw』なんていう変な文字列が後ろについています。

ある意味巧妙な手口ですが、リンク先をごまかすことはできません。

必ずカーソルを合わせて、リンク先をステータスバーで確認しましょう。

っていうか、こんなあからさまなメール、引っかかっちゃダメですよ？

簡単に確認できるのは上記2つですが、それでも安心してはいけません。アドレスが一字違いで見分けがつかなかったりする可能性もあります。

たとえば、『square-enix』と『square-enjx』とか。[i]（アイ）と[j]（ジェイ）、[o]（オー）と[0]（ゼロ）など、フォントによっては見分けのつきにくい文字も存在します。

メール本文に書かれているリンクには頼らずに、必ずブックマークなどからたどるようにしましょう。

※

ちなみに、↑の本当の送信元はメールのソースを見るとある程度はわかります。

X-Originating-IP: [60.249.29.142] Received-SPF: none (tf.org: domain of ywhxehm@tf.org does not designate permitted sender hosts)

送信元のサーバーはおそらく『60.249.29.142』であることがわかります。

また、Whois『http://whois.ansi.co.jp/60.249.29.142』によると台湾のIPアドレスであることがわかります。

inetnum: 60.249.0.0 - 60.249.255.255 netname: HINET-NET country: TW descr: CHTD, Chunghwa Telecom Co.,Ltd. descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd. descr: Taipei Taiwan 100 admin-c: HN27-AP tech-c: HN28-AP status: ALLOCATED PORTABLE mnt-by: MAINT-TW-TWNIC mnt-lower: MAINT-TW-TWNIC mnt-routes: MAINT-TW-TWNIC changed: hm-changed@apnic.net source: APNIC

とまぁ、ここまでは簡単に調べることができます。上のヤツは台湾のインターネット・サービス・プロバイダのサーバーだと思います。

実際に誰がこのサーバーから送信したかは、サーバーのログを見るしかないでしょう。

（IPアドレス自体も偽装することができますが、スクエニがここから送ることは無いでしょうｗ）