treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

巧妙ななりすましメール(たぶん)

ちょっと変わったメールを携帯キャリアメールアドレスで受け取ったため、ご報告です。
おそらくなりすましメールですが、目的が不明。

そのメール

そのメールは気づいたら着信していました。
最近はほとんどキャリアメールアドレスは使っていないので、珍しいなと思いながら受信トレイを開くと、そのメールが表示されました。

f:id:treedown:20200810225357p:plain

誰か間違ってメールしてきたのかな?

と、最初は思いました。「アドレス、間違ってますよ。」ってメールを返してあげたくなりました。

しかし、待てよ…、落ち着いて、ゆっくりと、考えてみたら、なんか変だぞ、と思ってきました。

不振に思った、その理由

携帯キャリアメールアドレスは迷惑メールの多さに辟易して、ある時期から迷惑メールフィルタをある程度複雑に組み合わせて対策をしている状況(とはいえ、携帯メールアドレスからは原則拒否しない設定)なので、発信元が携帯キャリア発信のメールアドレスはフィルタをくぐり抜けてきます。
確認すると、ドメイン部はdocomo.ne.jpと記載があるので、迷惑メールフィルタには引っ掛からない発信元のようでした。

また、携帯キャリアメールアドレスには「メールヘッダ情報受信設定」という設定を有効化しており、

f:id:treedown:20200810225443p:plain
インターネット経由で発信されたメールにはヘッダ情報がメールの末尾に付加されて受信するのですが、そのメールヘッダ情報が付加されていない点からも、キャリア網内(おそらくdocomo.ne.jp)から送信されたメールであることは間違いないようです。

メールの発信元は、ひとまずキャリア網内から出てきた、という結論でいいのですが、このメールはなんだか変。

そもそも、自分のアドレスは小文字と数字と記号を織り交ぜた最大文字数である32文字に限りなく近づけたアドレス。
そんな長ったらしいメールアドレスに対して、打ち間違いや送信間違いなどは考えにくい、ということが不審に思えました。

とっても昔にアドレス交換した人が登録していたアドレス帳から選択し間違えた、という可能性もなくはないのですが、それなら送信元アドレスがこんなランダム文字列になっているというのはちと不自然だなと思いました。

探すと…

試しに探してみたら、同じ文面を受け取ったという記録を見つけました。

「p93khpgms04h5sxudx49@docomo.ne.jp」の詳細 - 迷惑メールチェッカー

「迷惑メールチェッカー」というサイトの中に、全く同じアドレスで全く同じ文面のメールを受信した人がいることが分りました。
これで、受信したメールが何か目的があって不特定多数に送信しているメールだということが断定的になりました。

目的はなんだろう。

そうなると、目的はなんだろうという感じがしてきます。不気味。

1) このアドレスが生存しているかどうかを確認している
返信が来たらアドレスは使われているという判断をしている、というよくある話です。
しかし、こういうのって、一気に送信して返送エラーで判断しているような…。わざわざ携帯キャリアメールアドレスから発信しているのはあまり聞かない手法です。

2) 一通目のメールが導入部となって、やり取りをしようとしている
先のURL<「p93khpgms04h5sxudx49@docomo.ne.jp」の詳細 - 迷惑メールチェッカー>によれば、宛先間違いを指摘する返信メールを送信すると、もう一回返信が返ってきた記録があります。と、いうことは、最初は間違いメールを装っており、以降さらにメールのやり取りを何回か繰り返す内に何かに引っ掛けようという狙いがあるのかもしれません。

どちらにしろ、今までの迷惑メールって「日本語が変(or日本人じゃないでしょ?)」とか、「送信元(ドメインやメールアドレス)がどう見ても怪しい」とか、何かしら特徴があったものでした。

しかし、このメールはパッと見、日本語は普通だし、日本人が送信しているように見えます。しかも、ちゃんとキャリアメールを使って送信しており、送信自体は正規の送信ルートを使っているため、迷惑メールフィルタには引っ掛からない手法でメールを送信しています。いうなら、無差別に標的型攻撃をやっている、みたいな。

今後、こういう「一見すると不審じゃない不審なメール」ってのが増えてくるのかなぁと思いました。いままではパッと見で不審なメールって"なにかしらの違和感"を感じさせていたのですが、今後はそういう違和感を抱かせない不審なメールが増えてきそうな予感。

そうなる前に心構えをしておかないといけないなぁとも思いました。

20-08-17追記

後日、似たようなメールが再び。

f:id:treedown:20200817150328p:plain

注意が必要ですね。