2019/11/14

Netflix を偽装するフィッシングメール第 2 弾

2019 年 11 月 14 日 Emil Hozan 著

フィッシングメールを受け取った経緯とメールアドレスに関するヒント

Trevor Collins が先日、Netflix のフィッシングに騙されそうになった話をブログ記事で紹介しましたが、私がこの記事を書こうと思ったのは、Netflix からのフィッシングの疑いがあるメールを私も受け取り、このようなメールの見分けることの重要性をお知らせしたかったからです。今週の初めに、偽メールやフィッシングメールとその見分け方についての記事を書きましたが、私自身、全部とは言いませんが、ほとんどのメールに対して、これらの手順を実行しています。誰でも簡単に偽メールに騙されてしまうため、個人あるいは仕事のどちらのアカウントであっても、すべての受信メールを調べるよう習慣付けることをお勧めします。

すぐにできる方法としては、複数のメールアドレスを目的によって使い分けると、優れたフィルタリングシステムになります。たとえば、オンラインショッピングや Web フォーラムなどのサービスの登録には、スパムメール用のアドレスを使います。また、個人用のメールアドレスを別に用意して誰にも教えないようにし、特定のメールをそこに転送したり、個人的なやり取りに利用したりするといった方法も考えられます。もちろん、そのためには、メンテナンスやいくつかの追加の手順が必要です。このような使い分けのメリットとデメリットは、この記事をお読みになっている皆さん一人一人によって異なります。

送られてきたフィッシングメールの説明

前置きが長くなりましたが、本題に入ると、このフィッシングの疑いがある Netflix からのメールを変わった名前のドメインから受け取る直前に、偶然にも、Netflix から本物のメールも受け取っていました。そのため、直後に来たメールがフィッシングであると判断するのは簡単でしたが、以下に、図を示しながら説明したいと思います。フィッシングメールのリンクを誤ってクリックしてしまう可能性は誰にでもあります。その可能性を減らすため、すべてのモバイルユーザに、以下の手順を実行するようお勧めします。

最初に、図 1 の本物の Netflix メールをご覧ください。スパムをこれ以上増やしたくないので、この図では、私のメールアドレスあるいはその一部を塗りつぶしました(最初のセクションのスパムメールについての説明を参照してください)。このメールの件名は、Netflix からよく送られてくる、おすすめの映画やドラマを教えてくれるメールでよく使われているもので、受信者を表示すると、「From」フィールドと「info[@]mailer.netflix[.]com」というメールアドレスを確認でき、「To」には、私のアドレスが表示されました。

図 1:本物の Netflix からのメール

図 2 は、フィッシングメールの件名、図 3 は、フィッシングメールの概要、図 4 は、フィッシングメールの本文です。ここまでの情報で、件名が大きな手掛かりになるでしょう。異様に長く、複数の言語が使われています。さらに 2 つのことに気が付きます。1 つ目は、本物のメールとフィッシングメールの両方に表示されている紫色の「N」マークの隣の「Netflix Yersterday to…」というテキストで、本物のメールには「to me」と表示されますが、フィッシングメールには「to Netflix」と表示され、これが、怪しいと考えた 1 つの理由です。

もう 1 つは、気付きにくいかもしれませんが、図 2 には「Show pictures(画像を表示)」、図 3 には「Always show pictures from this sender(この送信者からの画像を常に表示)」と表示されています。ところが、図 1 には、そのようなメッセージはありません。その理由は、図 1 でもわかるように、本物の Netflix からのメールでは、「Always show pictures from this sender(この送信元からの画像を常に表示)」を私がすでに選択しているからです。このメッセージが表示されること自体が、もう 1 つの手掛かりになります。

図 2:フィッシングメールの件名

図 3:フィッシングメールの概要

図 4:フィッシングメールの本文

次に、図 5 のメールの受信者を見てみましょう。ここに表示されるドメインが、この段階で得られる決定的な手掛かりとなるはずです。この事実と前述の怪しい点の両方を考慮すると、これが本物のメールでないのは明白です。さらに詳しく調査すれば、Netflix がオンラインで何らかのアフィリエイトマーケティングをしているのか、サードパーティのサービスを利用してメッセージを送ってきたのかといったことがわかる可能性があります。ただし、そこまでする必要はおそらくなく、Netflix の URLである「https[:]//www.netflix[.]com/Login」にアクセスして、自分の Netflix アカウントでログインしてみることで、自分のアカウント情報を調べたり、フィッシングが疑われるメールの内容を確認したりできます。

図 5:フィッシングメールの受信者

次に、図 6 の挿入されたリンクのプレビューを見てみましょう。かなり不可解な URL で、リンクをクリックする気も起きませんでしたが、好奇心から、サンドボックス環境のマシンで開いてみることにしました。正確な URL は、「http[:]//dsfuidwsyfg98eryhgv9sieorhger09h-sdigh908ishdbnvgp9seor.acc0unts-movienetflix[.]info/Euwnmp2yb/kG5vUrbsagiSFNmiudu=CqxwGDVQtlj[@]hotmail.com」です。

図 6:メールに埋め込まれたリンク

図 7 では、サンドボックス環境の Chrome が動作するデバイスでリンクをクリックするとどうなるかを示しています。モバイルデバイスでこれを行ったわけではない点に注意してください。

図 7:Chrome でリンクを開くと表示される警告

まとめ

私の場合の最大の手掛かりは、このフィッシングの疑いがある Netflix からのメールを受け取る数時間前に本物の Netflix メールを受け取っていたことでした。本物のメールの調査と分析によって、不正メールであることを確信しました。本物のメールと比べると、最初に件名、次に受信者のアドレスに疑問を感じました。この 2 点だけでメールに信憑性がなくなり、自分の Netflix アカウントに関しても特に不安は生じず、リンクを開く気も起きなかったのは言うまでもありません。仮に、自分の Netflix アカウントに不安が感じたとしたら、オンラインで検索すると返される、おなじみのログイン画面を使っていたはずです。

セキュリティ調査の目的から、残りの調査も続行してみたところ、その結果は明らかで、フィッシング詐欺の疑いがあるメールが間違いなく不正メールであることがわかりました。具体的な調査の手順としては、挿入されたリンクを長押しして「URL をコピー」し、平文を表示するアプリケーションに貼り付けて、URL がどのようなものであるかを調べました。ドメイン名をさらに詳しく調べて、詐欺メールだと確定することもできますが、この記事の主旨から判断し、そこまでする必要はないと考えました。もちろん、将来的に別の記事で取り上げる可能性はあります。

いずれにしても、この記事とリンクで紹介する記事の内容が、お読みいだいた方の役に立つものであることを願っています。この記事で紹介した手順をすべて実行したとしても、数分もかからないはずです。メールを開き、件名を見て、受信者のアドレスを確認したら、埋め込まれているリンクをクリックして開くのではなく、長押しして URL をコピーします。このわずか数分の手順を実行するだけで、面倒な調査を行ったり、感染したネットワークや盗まれたログイン情報を回復したりするために時間を費やすような事態を回避できます。

常日頃の用心が何より重要です。

最新の脅威に対応するための Gateway AntiVirus エンジンの提供について