tondemo

久しぶりに偽メールが届いた。

今回はスクエアエニックス名義で、タイトルはこれまでDQ10名義で送られてきた「常確認のお願い‏」で、内容はこれまでの同タイトルのものと同じだ。ただし、少々改良されてテキスト表示にしても偽装サイトのドメイン名は表示されないようになっている。

と言っても、ドメイン名をポイントするとメールソフトの下に本来のドメイン名「http://hirobadqxjp.seuy.cu.cc/account」が表示されるので、注意していれば分かる。どうやら新しいドメインをオーストラリア領のココス島で獲得できたようだ。

本文；
いつもお世話になっております。

お客様のアカウントは何らかの取引に利用されている恐れがありますので、お手数ですが、システムにログインして、異常がないかご確認いただきますようお願いします。 :

http://secure.square-enix.com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856

株式会社スクウェア·エニックス

2014年8月7日

サーバーのアドレスの部分には
「http://hirobadqxjp.seuy.cu.cc/account /app/svc/login.html?app=wam&ref=http://secure.square-enix.com/account/& eor=0&app=bam/」
の文が隠されているが、ref=以下の部分のみが加工されて表示されているようだ。

追記（2014/08/08）；
ふと思いついてメールの送信元サーバー「ma.org」を調べてみると、これは米国のカリフォルニアにある「Marin Academy」という男女共学のハイスクールのドメインだった。恐らく乗っ取られた生徒のアカウントだろう。

日本でも、生徒にメールアカウントを配布している学校は、アカウントを乗っ取られて悪用されないよう、使用状況を厳格に監視する必要がありそうだ。

追記（2014/08/11）；
今日再び同じ偽メールが到着。今度の偽サーバーのドメインはmor.pwでパラオのもの。ココスのサーバーはもう潰されたのかもしれない。

メールの送信元は「crks.org」でこれは「The Copper River Knowledge System」と言う アラスカの地域情報組織のもので、これも前期のハイスクール同様に乗っ取られたアカウントである可能性が高い。