仕事中に1通のメールが届いた。
日本語が微妙におかしいけど、スクエニいは登録した記憶ある
もしかしたら何か起きた?
送り主も
「autoinfo_jp@account.square-enix.com」
となっており、なんか釈然としないアドレスながらも、スクエニかも?
と思ってしまい、貼り付けてあるURLをクリック
すると以下の様なページに飛んだ
うーん、スクエアっぽい。ドラクエ昔登録した記憶あるし。
ここまで1分以内くらいの行動であるが、なんとも言えない違和感に気づく
そこで、このページに情報を入力するのではなく、
まずスクエニのページをGoogleで検索してみることにした
そしてトップヒットしたページがこちら
(スクエニのアカウントID管理ページ)
ぱっと見、ドラクエのタイトル画像が入っていないだけで、
さっきと雰囲気は似ている気がする
が、一応こちらでログインをしてみる
そしてアカウントの管理ページに最近の行動履歴を見る画面があったので
そちらをチェックしてみる
特に怪しい取引は何もない
うーん、
よくある違う端末とかでログインするとお知らせしてくるあのメールみたいなものかな?と思いつつも、抱いていた違和感が少し気になる
ここであることに気づく。
さっきログインしたときに使ったメールアドレスと、
さっき受信したメールアドレスが違うことに。
アカウント2つ持っていたっけ?と思いつつも、メールを受信した方のメールアドレスを、検索して訪れたページの方に入力してログインを試みてみる
。。。あれ?ログインできない?
何回か試みてみる
。。。やっぱりログインできない
パスワードを忘れてしまったのかな?
ひとまず「パスワードを忘れた方はこちら」からパスワードのリセットを申請しようとする
「そのメールアドレスはスクウェア・エニックス アカウントに登録されていません」
え?
もう一度入力するも、同じ結果。
サブのメールアドレスとして登録していたのかも?と思い最初にログインしたアカウントで再度ログインして調べてみるも、そんな項目は見当たらず
この時点で、迷惑メールかも?と漸く思い始めるも、
もしかしたら本当かもという気持ちも抑えきれず、少し調べてみることにする
詐欺サイトかも?と疑い出したら、まず最初にすることはサイトのURLを調べることだ
なぜなら企業の名前ならいくらでも詐称できるが、URLのドメイン部分は詐称できないから
(ドメイン部分は、http://www.google.com というURLがあったら「www.google.com」の部分)
そこでメールに添付されてきているURLを長押しして(メールはiPhoneで受信していた)、URLをコピーして、メモアプリに貼り付けてみる
(ドメイン部分だけカットしたかったので、こんな操作をした)
すると2点程気になる点が出てきた
1.スキームが「https」ではなく「http」であったこと
ドメインに「secure.square-enix.com」とあり、「secure」の文字が入っているにもかかわらず、添付されてるリンクのスキーム(httpとかの部分)が、「http」になっていること
セキュアとなっている以上、通信内容は暗号化してあることが普通だと覆うので「https」が適切に感じた。
そして何よりログインページを表示しているのに、「http」スキームで暗号化せずに情報を通信することは、このご時世考え難い。
特にスクエニのような大企業がそんなことをするとは考えられない。
2.メールに貼ってあるリンクと、コピーした時のリンクが違う
メールには
「http://secure.square-enix.com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856」
と表示されていて(スキームがhttpなことを除けば)スクエニのリンクっぽく見える。
だが、こいつを長押ししてコピーした時のリンクは
「http://hiroba.dqx.jp.se.deqpa.com/account/app/svc/login.html?app=wam&ref=http://secure.square-enix.com/account/&eor=0&app=bam/」
となっていて、明らかに違うドメインのページに飛ばそうとしている
この時点で詐称サイトである疑いの方がはるかに強くなっていたが、念のためにドメインの保有者を調べてみることにする
ドメインは性質上、Web上にユニークにしか存在することができないので、ドメインの管理を行っているレジストリが存在する
そんなレジストリに登録されている情報を、(ネット上で)トラブルが発生した際に互いに問い合わせができるように、登録情報の一部を提供するために仕様されるプロトコルが存在している。
それがWHOISというプロトコルだ。
更にWHOISプロトコルを、Webページとして参照できるようにしているWHOISサービスも存在している
そんなWHOISサービスの一つである
http://whois.ansi.co.jp
で今回のドメインを調べてみる
調べるドメインは上記に張っているリンクから、
「hiroba.dqx.jp.se.deqpa.com」
である
調べるとこんな画面が表示される
特に注目すべきはこの部分
Domain Name: DEQPA.COM Registrar: NETWORK SOLUTIONS, LLC.
「DEQPA.COM」というドメインを取得しているのは何やらよくわからない組織「NETWORK SOLUTIONS, LLC.」だった
ドメインは「deqpa.com」で取得すると、その前には任意の名前をつけることができ、それぞれに持っているipを振り分けることもできる。
今回の場合「hiroba.dqx.jp.se.」という部分を任意につけた「deqpa.com」ドメインをこの組織は使っていたのだ
一応、スクエニのページでも使われていた「hiroba.dqx.jp」の部分もwhoisサービスで調べてみる(この時点で、jpドメインに変わっていると気づくが)
[Domain Name] DQX.JP [登録者名] 株式会社スクウェア・エニックス・ホールディングス [Registrant] Square Enix Holdings Co., Ltd.
こちらは正真正銘、我らがスクエニが保有しているアカウントであることが証明された
ここまでくれば、メールを送ってきたところは明らかに悪意のあるフィッシングメールであると理解できるので、後は無視を決め込むだけだ
++++++++++++++++++++++++++++++++++++++++++++++++++++
まとめ
++++++++++++++++++++++++++++++++++++++++++++++++++++
今回は、入力する前に気づけたからよかったけれども、
これに気づかずにログインをしていたらきっとIDとパスワードを抜かれて、惨事になっていただろう。
自分でこんなことを体験し、しかもなんとも言えない違和感から危険回避できただけなので、次はもしかしたら引っかかってしまうかもしれない。
そこで今回起きたことと、抱いた違和感、それを元に調べた結果からフィッシングサイトに引っかからないためにやっておきたいことを簡単にだけどまとめておきたいと思う
1. パスワードを求められるページのURLは「https」になっていることを確認する
2. こういうメールを受信した際には、一度Googleなんかで検索して、普段見慣れているページからログインして、アカウントの状態を確かめるような癖付けをする(もちろんGoogle検索でフィッシングサイトを開いてしまったら元も子もないのだけれども)
3. URLのドメインがよくわからないリンクになっていないことを確かめてみる
特に国内のサイトであったりする場合は「○○○.jp.○○.com」とか言うように「jpドメイン」と「comドメイン」みたいな比較的安価に取得できるドメインが組み合わされて使われていないことを確認する
(怪しければWHOISで調べて見る癖をつける)
ちょっと煩わしいけれども、アクションをおこす前に、ちょっとドメインを見てみようかな。みたいな癖付けをするだけでも、今回みたいに、なんか変だぞ?という感覚が徐々に養われて行き、惨事を回避する力が自然に備わっていくと思う。
ネットがますます身近になり、呼吸をするようにネットに触れる時代に入っていく今だからこそ、こういう感覚を日々付けて行かなくてはいけないなとつくづく思った
なかなか難しいとは思うけれども、、、