最近やたら迷惑メールが届くので、少し調査してみました。

今回調査したメールはこちら。

20170423231101.png

一見 LINEアカウントに異常ログインがあった通知のように見えますが、
LINE株式会社からのメールを装った詐欺・なりすましメールであり、
リンクにアクセスすると本物に似せて作った偽サイトが出てきます(フィッシング詐欺)。

メールの情報を見てみる

ソフトバンクのiphone用アドレス宛て(@i.softbank.jp)にメールが届いていたので、
解析のためまずはPCからメールを見れるようにします。
Macのメーラーの場合、メッセージからソースを表示します。

20170423234409.png

メールヘッダを見る

Receivedの値を見るとfaq.netというサーバからメールが送られたようです。 アクセスしてみると外国のドメイン売買サイトでした。 whoisで調べるとGRAND CAYMAN City(イギリス)と出てきました。

やはりlineとは関係なさそうです。

また送信者の送信時間がUTC+0800となっていました。
日本の場合UTC+0900が普通ですが、送信者は経度120度にある国にいる可能性がわかります。

それ以外にも以下のようなパラメータがヘッダに記載されていました。

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

上記の値は送信者がメーラ「OutlookExpress」を使用した場合に自動で付与されるようです。

本文を見る

ソースを見るまで知らなかったのですが、 受信した相手がテキストでメールを見るか、htmlでメールを見るかで メールに表示させる本文を変えれるようです。

This is a multi-part message in MIME format.

テキストメールの場合

一つ目はテキストで見ている人用。

Content-Type: text/plain;
	charset="gb2312"
Content-Transfer-Encoding: base64

pKq/zZiUpM5MSU5FpaKlq6WmpfOlyKTLrpCzo6XtpbClpKXzpLWk7KS/pLOkyKSspKKk6qTepLek
v6GjpKq/zZiUpM6loqWrpaal86XIpM6wssirpM6kv6ThpMuhoqWmpael1qXaqWCluKTHl8rUXqS3
pMakqu6KpKSkt6TepLmhow0KDQoNCqSzpMGk6aTOVVJMpPKlr6XqpcOlr6S3pMakr6TApLWkpKGj
sLLIq9VK1F4gDQoNCnd3dy5saW5lLm1lDQoNCg0KDQqh+VVSTKTOsLLIq9VK1F7T0IS/xtrP3qTP
mrDI1TmVcqSrpOkyMJVypN6kx6THpLmhow0KDQpMSU5FDQpMSU5FIENvcnBvcmF0aW9u

ここで注目すべきは「charset=“gb2312”」です。
gb2321は中国語の簡体字文字コードを表す文字コードです。
下の暗号のような部分は本文をBASE64でエンコードされているのでデコードします。

デコードは https://base64encode.uic.jp/
などいろんなサイトで簡単にデコードできます。 このとき入力文字コードを簡体字中国語GB2321でデコードしてみます。
すると当たり前ですが綺麗にデコードされて本文が出てきました。
以下の文がテキストメールで受け取った場合の本文になります。
この内容では特に害はありません。

お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。
こちらのURLをクリックしてください。安全認証 
www.line.me
※URLの安全認証有効期限は毎日9時から20時までです。
LINE
LINE Corporation

htmlメールの場合

二つ目はhtmlの場合です。

Content-Type: text/html;
	charset="gb2312"
Content-Transfer-Encoding: base64
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一つ目と同じくデコードして見ます。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>お客様のLINEアカウントに異常ログインされたことがありました</TITLE>
<META content="text/html; charset=gb2312" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 9.00.8112.16440"></HEAD>
<BODY>
<P>お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。<BR><BR><BR>こちらのURLをクリックしてください。安全認証 
</P>
<P><BR><A 
href="http://www.なりすましサイト.cn">www.line.me</A><BR><BR><BR><BR>※URLの安全認証有効期限は毎日9時から20時までです。<BR><BR>LINE<BR>LINE 
Corporation</P></BODY></HTML>

上記のようにhtml形式のメール本文が見えてきました。 この本文で注意したいのが

<A href="http://www.なりすましサイト.cn">www.line.me</A>

でメール本文ではwww.line.meと公式サイトのURLに飛びそうな感じですが、
実際は「なりすましサイト.cn」にアクセスさせようとしています。
※念のため本記事に直接なりすましサイトのURLを記載するのは控えています

また、.cnは中国ドメインです。 文字コードgb2321や.cnドメインのサイトからなりすましの相手は中国人の可能性が高くなってきました。

「なりすましサイト.cn」を同じようにwhois検索すると中国のIT会社の名前が出てきましたがここでの言及は控えます。

なりすましサイトを見てみる

一応Chromeのシークレットモードでアクセスしてみます。 メール下部のURLにアクセスすると以下のような警告画面が出ます。

20170423231302.png

なりすましの報告がされたサイトはブラウザ側でブロックされるようです。 今回は調査のため次に進みます。

すると以下のようなサイトが表示されました。 本物のサイトと比較すると若干雑ですが、似ています。
調査後この記事を書いている間にサイトにアクセスできなくなりました。 スクリーンショットを先に撮っておけばよかった・・・。
接続元IPでブロックをかけられたようです。

偽サイトにアドレスを入れてみる

ログイン画面から存在しないメールアドレスとパスワードと入力してみました。 もちろんLineの偽サイトなのでログインできるわけないですが、
こうしてアカウント情報を奪取しているようです。

htmlのソース内コメントにも中国語を発見しました。

収穫

  • 今回のメール送信者・サイトの運営者・作成者は中国人の可能性が高い。
  • 今回のメールの送信者はWindowsを使っており、OutlookExpressからメールを送信している可能性が高い。
  • 中国全土の時刻はどこでもUTC+0800で統一しているので、経度から住んでいる位置は把握できなかった。
  • 一度アクセスしてきたIPアドレスは2回目以降のアクセスをブロックしている可能性がある。

その他

ブラウザ側が怪しいサイトだよと教えてくれていますが、
サイトによっては警告が出ない場合もあります。
本記事を真似て不用意に怪しいサイトにアクセスするのは危険です。
仮にアクセスする場合は自己責任で行い、当方は義務/責任を何ら負いません。

追記

2017/04/24 記事を書いていたときはIPアドレスでブロックされていますという内容のページが出ていましたが、
本日ページにアクセスするとサイトごとなくなっていました。