Yahooパスワードを盗むメール到来 ( ネットサービス ) - オノコロこころ定めて

[Yahoo! JAPAN]ログインアラート　を名乗る詐欺メールが来た。

ダマされないように手口と対策を公開しておきたい。

これに乗せられると、YahooのログインIDとパスワードが盗まれ、

やられ放題になる。

日本は日本らしく

我々は我々らしく

にほんブログ村　政治　 https://politics.blogmura.com/conservative/

Yahoo! JAPAN Login Alert <loginalert-master@login.yahoo.co.jp>

という、おそらく正規のアドレスより、

次のような警告メールが送られてきました。

＜追記＞　Yahooのカスタマーセンターによると

正規のアドレスは

　　loginalert-master@mail.yahoo.co.jp

だそうだ。

いつもYahoo! JAPANをご利用くださいまして、誠にありがとうございます。

普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo！

JAPANへのログインがありました。

今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。

■「ログイン履歴」と「登録情報」に心当たりがない情報がないかご確認ください。

https:// hl.login.yahoo.co.jp/

■注意事項

・このメールはお客様のYahoo! JAPAN IDに関する情報が含まれていますのでお取り扱いには十分ご注意ください。

・メールに記載されたURLからページに遷移後、Yahoo! JAPANのページであることを念のためご確認のうえ、情報を入力してください。

自分のアカウントがアメリカで勝手にログインされたようなので、

チェックしろ、という一見善意のメールですねぇ。

ただ、よく見てみると

「普段お客様がご利用になられていない環境で米国IP(198.13.102.209)によったYahoo！

JAPANへのログインがありました。

今度行為に対処してお客さんは自分のログイン情報を確かめるのが有益です。」

の日本語があやしい（笑）

お前は、Google翻訳か！、とツッコミを入れたくなるような

微妙な日本語。

さらに、ログインのURLにスペースが紛れておりまして

「https:// hl.login.yahoo.co.jp/」　（https://の後に半角スペース）

これでは、URLのクリックができません。

私はいつもメールの表示のデフォルトはテキスト表示で、

HTML表示は使いません。

あやしさに気づきにくくなるから。

念の為にこのメールをHTML表示してみますと

と表示され、URLの部分はスペースが入ってはいるものの、

クリックできる状態になっております。

念のため（笑）、ソースを表示してこの部分をみますと、

本当にリンクする先は、

の青色の部分です。

Yahooとは何の関係もないアドレスですね。

で、念のため（笑）、そこへジャンプすると、

良い子は真似しないで下さいね～

すると、なんということでしょう～

という、さも本物らしいサイトになっております。

おい、おい、いま話題のファミマかよ、ってツッコミはおいといて。

よくよく見ると、

　　　先着3,000名に現金1,000円プレ?ント

　　　プライバシー?リシー

などと文字化けしてるわけです（笑）

で、念のため（笑）、ログインしてみると・・・

良い子は真似しないで下さいね！

伏せ字のところは　「kue」　になってます（爆

すると、なんということでしょう～

画面は、正規のログイン履歴画面になるではありませんか！

鈍い人であれば、この画面をみて、

　　よかった♡　アメリカからのログインないお！

とかとかとか思うんでしょうか・・・。

もちろん、さっきのログイン画面は偽物で、

バカ正直に、IDとパスワードを入れていたら、

これで、さくっと、正規IDと正規パスワードを取られちゃった、

ということになるわけでして、

今頃相手は大爆笑、ということになるわけです。

元のメールがウソ

アメリカからログインされた、というのもウソ

ログインへの誘導先URLがウソ

ログイン画面もウソ

そして、この

ログイン履歴のみが本物

というフィッシング詐欺です。

Yahoo Japanのセキュリティの甘さで、

ログイン履歴をみる時に、正規の認証が必要なくても見れる、

というセキュリティ・ホールをついてるんだと思います。

＜追記＞

メールのヘッダーを見たところ、

発信源は

　　IP: [202.238.84.153]

で、so-netの

　　dw237728@wj8.so-net.ne.jp
のアカウントを使って発信しているものと考えられる。

また

Received-SPF: pass (ms-omx03.so-net.ne.jp: domain of dw237728@wj8.so-net.ne.jp designates 202.238.84.153 as permitted sender) receiver=ms-omx03.so-net.ne.jp; client-ip=202.238.84.153; envelope-from=dw237728@wj8.so-net.ne.jp;

この部分は、送信に使われた dw237728@wj8.so-net.ne.jp が存在していて認証に成功したということを意味している。だから、送信者は、dw237728@wj8.so-net.ne.jp のパスワードを知っている者ということになる。

次に

Authentication-Results: mta546.mail.kks.yahoo.co.jp from=login.yahoo.co.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@login.yahoo.co.jp

の部分は、送信者が偽装した、メールの送信元のアドレスである　loginalert-master@login.yahoo.co.jp　を認証した部分だが、yahoo.co.jp の認証システムがザルで、「login.yahoo.co.jp」というドメインは不正だとはせず、「neutral 送信元の認証ができたかどうか明らかにしていない」を返した記録である。

つまり、so-net はちゃんと仕事をしたが、yahoo はメール偽装に対して誠実な仕事をしていない、という証拠である。