2006年2月に、APC製UPSを購入した際に、特価COMに登録したアドレスに、フィッシングメールが届いた。
登録したメールアカウントは、xxxxx-tokka@example.jp といった感じで、登録先をすべて区別しており、ほぼ使い捨てというか、他には利用していない。
そのアドレスに、次のような、フィッシングメールが届いた。
すなわち、特価COMから、何かしらの理由で、このメールアドレスが流出したと考えられる。
特価COMにも問い合わせ及び、ABUSEを送信しちゃおう。
お客様 株式会社管団社サービスシステムをご利用いただき、ありがとうございます。 システムはお客様のアカウントが異常にログインされたことを感知しました。 下記のログイン時間を照らし合せてご本人様によるログインであるかどうか ご確認お願いします。 ログイン地点 ログインIP ログイン時間 大阪 61.204.255.255 2013-12-24 03:06 ご本人によるログインでなければ、アカウントの安全に問題があると考えら れます。 以下のURLをクリックし、画面の案内にそってパスワードの再設定を行って アカウントを保護してください。 <http:// secure.square-enix.com.b.f-cll.com/account/app/svc/Login.htm?cont=account> https://secure.square-enix.com/account/app/svc/Login?cont=account (上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用 のウェブブラウザーのアドレス入力欄に貼り付けてお試しください) もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願 いいたします。 ご意見やご要望 スクウェア・エニックス会社 2013年12月25日
株式会社管団社サービスシステムの管団は、旧字体?中国漢字?だったということで、置き換えているのと、URLのフィッシング側は、ドメインの'.'を全角に置き換えています。
メールのヘッダは下記の通り。
Received: from account.square-enix.com (unknown [175.146.66.70]) by mx0.example.jp (Postfix) with ESMTP id C09F57280ED for <xxxxx-tokka@example.jp>; Wed, 25 Dec 2013 11:53:40 +0900 (JST) From: "DQ10" <autoinfo_jp[at]account.square-enix.com> Subject: スクウェア・エニックスアカウントーー安全確認 ※ 自ドメインはexampleに置換しています
IPアドレスは下記の通り。
$ host secure.square-enix.com.b.f-cll.com secure.square-enix.com.b.f-cll.com has address 126.71.85.152 $ dig f-cll.com ns ;; QUESTION SECTION: ;f-cll.com. IN NS ;; ANSWER SECTION: f-cll.com. 533 IN NS ns7.cnmsn.net. f-cll.com. 533 IN NS ns8.cnmsn.net. ;; ADDITIONAL SECTION: ns7.cnmsn.net. 53 IN A 222.187.224.122 ns7.cnmsn.net. 53 IN A 218.85.136.43 ns8.cnmsn.net. 536 IN A 222.76.210.41 ns8.cnmsn.net. 536 IN A 222.187.224.123
126.71.85.152 は SoftbankBB配下のネットワークなので、abuseを出しちゃおう。
にしても、内容が良くできている。
大阪 61.204.255.255 2013-12-24 03:06
上記IPは、日本国内に割当がされており、パワードコムのサブアロケーション
株式会社ファミリーネット・ジャパンのIPアドレスのようだ。
Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 61.204.255.128/25 b. [ネットワーク名] FNJ-S00568-2 f. [組織名] 株式会社ファミリーネット・ジャパン g. [Organization] FAMILYNET.JAPAN CORPORATION
上記の本社は東京。おそらく、tracerouteの結果及びRTTから東京エリア。しかも、新宿あたりにあるのではないかと考えられる。
IPのひろばで調べてみると、光で、その他不明。
株式会社ファミリーネット・ジャパンのIPを勝手に悪用して名乗り、その上で、フィッシングに使用されているという被害者。ご愁傷様です。
ただ、知らない人からみると、ドメインがおかしいと気づかない限り、うっかりとクリックしそうだ。
ちなみに、メールの文字コードは、下記の通りだった。
Content-Type: text/html;charset="GB2312"
詰めが甘いね。
★ (追記):
どうやら、特価.COMからリリース情報が1月31日付けででたようです。
2014.01.31 お客様へのお詫びと重要なお知らせ [http://www.tokka.com/press/tk_press.pdf]
電凸して、そのときの反応はあったが、メールに対して一切反応もなく、調査しますの一言の反応もなく、完全に無視したずさんな対応。明らかにひどい状態で、しかも漏洩していて、1ヶ月以上だんまりしていたこの体質。しかも、その間ずっと、通常運転で、Webサイトはオープンしていたというこの対応について、いかがなモノだろうか?
やりとりの経緯はこんな感じ。
表の番号(WEBに掲載がある番号)に電話したら、全然繋がらなくて、自動音声でお急ぎの場合はメールでとアナウンス。
だが、メールでも反応がないので、裏番号を調べて電話をしたら、社名などを名乗らなかったので、
「特価.COMですか?」
ときいたら、
「ハイ、そうです。」
といわれ、
「そちらのサーバ、メールアドレスなど、流出していません?2006年にそちらに登録した専用のアドレスにフィッシングメールが届きました。この件について、詳細はメールでも送ってありますので、確認してください。」
といったら、
「確認します。」
との一言で、メールに対しても返事が一切ないという状況でした。