「【重要】NHKプラスアップグレードサービスお知らせ」という件名のメールが届きました。
しかし、自宅ではNHKプラスに加入済みですし、教室にはテレビを設置していません。
なんとなく不審に思って見ると、真っ赤な偽物。
気づかずに そのまま操作してしまうと、パスワードやクレジットカード情報などを入力する画面が出てきます。
間違って入力すると悪用されてしまうので、注意ください。
ふだん、Amazonや楽天カードなどの偽メールは多いけど、NHKプラスも偽装されることがあるんだね。
珍しいからか、迷惑メールフィルタリングをすり抜けていました。
偽サイトもどんどん巧妙になってはいますが、基本の対策はこれまでと一緒です。
1. 届いたメールの不審な点
届いたメールの内容はこちら。
【重要】NHKプラスアップグレードサービスお知らせ
日本放送協会<tglui@piecesofgrace.com>NHKのサービスをご利用いただきありがとうございます、
NHKがNHKプラスにアップグレードされましたNHKアップグレードの内容を以下に説明させていただきます
パソコンやスマートフォン、タブレットで、総合テレビやEテレの番組を放送と同時に視聴できます(中略)
以下のリンクをたどって、アカウントを登録またはアクティブ化してください
NHKのご利用手続きありがとうございます
以下のURLをクリックし、アップグレード操作を実行します※https://plus.nhk.jp/info/faq/#C0322-0171?cid=djap-dhwy2zp
(注記:https://www.plus.nhk.or.jp.id.smsjdxx.com/Access-Control.php?key=qxl9brrp9b2cwthredbyvnnpkunrlxcjqojx8d)このURLの有効期限は24時間です。24時間以内にアクセスし、入力まで終えてください
実は、このメールは偽メール。
NHKの公式サイトでも注意喚起されています。
まず、身に覚えがない登録についてのメールの場合は、一度 注意点がないか検索してみることがオススメです。
「nhk メール」で検索してみると、第一候補が公式サイトによる注意喚起でした。
「重要」とするメールが届いたら、まずは他の人にも届いていないか、インターネットで検索する
1-1. 差出人メールアドレスがおかしい
まず、すぐに確認できる点としては、メールアドレスが正しくないことです。
どうして、「あやしいメールアドレス」と言えるの?
メールアドレスをよく見てみます。
日本放送協会<tglui@piecesofgrace.com>
ユーザー名には無秩序なアルファベットが並んでいますし、
ドメイン名(@以降の部分)もNHKとは関係なさそうですね。
NHKからの正しいメールなら、たとえば「nhk_auto_reply_tokyo@nccmail.nhk.or.jp(問合せの自動返信用)」などのように、ドメインが「nhk.or.jp」内、ユーザー名も単語の意味がわかりやすいはずです。
この例なら、「NHKの自動返信(東京)@NCCメール.nhk.or.jp」のようにメールアドレスは意味を持っています。
差出人メールアドレスのドメインが、公式サイトのものと同じかチェックする。
ただし、差出人アドレスを見るだけでは、完全とは言えません。
今回の偽メールは あやしいメールアドレスそのままでしたが、偽装することも可能だからです。
パソコンのメールソフトなどで、「メールヘッダ」という通信履歴を確認するとより正確に送信元ドメインを特定できます。
1-2. リンク先がおかしい
次に気になるのが、リンク先です。
メール本文のリンクを押す必要があるときには、必ずリンク先のアドレス(URL)を確認しておきましょう。
偽サイトのドメインは、本物のドメインと違って、ランダムな文字列であったり、異様に長かったりします。
たいていのメールアプリでは、リンクを長押しするとURLを表示できます。
https://www.plus.nhk.or.jp.id.smsjdxx.com/Access-Control.php?key=qxl9brrp9b2cwthredbyvnnpkunrlxcjqojx8d
といっても、見るべきポイントはドメインのうちの最後の部分。
ドメイン:www.plus.nhk.or.jp.id.smsjdxx.com
重要な部分:smsjdxx.com
リンク先のウェブページは、「plus.nhk.or.jp」のページではなく、「smsjdxx.com」という別のドメイン内に紛らわしいサブドメイン名を作って、設置されていました。
リンク先にアクセスする前に、URLのドメインを見て、不審な点がないか確認する。
迷惑メールの対処の鉄則をおさえておけば、そこまで心配には及びません。
2. 偽サイトの目的は?
もし、偽サイトに行ってしまうとどうなるの?
メールだけで偽物だとわかるのでアクセスする必要はありませんが、検証用スマホから偽サイトにアクセスしてみました。
(稀ではありますが、ブラウザの脆弱性を悪用するようなサイトだと、知らずに情報を取られる可能性もあります。自分のスマホでアクセスするのはやめておきましょう)。
偽サイトなので、入力欄にでまかせを適当に入力していきます。
NHK ID・パスワード、連絡先情報の後に、クレジットカード情報の順に聞いてきました。
おそらく、メインの目的は、クレジットカード情報やパスワードを盗み出すことだと考えられます。
つまり、これらの情報を入力してはいけませんし、もし間違って入力してしまったなら、すぐに変更する必要があります。クレジットカードの再発行手続きやパスワードの登録し直しなど、大変な作業です。
2-1. 偽サイトの細かな画面(ID・パスワード)
偽サイトを細かく見ていきます。
まず、NHKプラスIDとパスワード、秘密の質問と回答を入力する画面です。
かなり本物そっくりです。
偽サイトはハリボテなので、ID・パスワードをチェックしているわけではありません。
適当なIDやパスワードでも進むことができました。
ただし、この入力情報は攻撃者のもとに送信されてしまいます。
ちなみに、Chromeブラウザからアクセスしたのですが、適当なパスワードを入力したのですが、「パスワードを変更してください」という警告メッセージが表示されました。
偽サイトだと監視対象になっていて、パスワード欄の入力データが送信されると、Googleパスワードマネージャーが警告を表示します。
入力する前に警告してくれれば良い気もするけど、ちょっと安心だね。
2-2. 名前や住所などの個人情報
次は、名前・年齢、住所、電話番号、メールアドレスの入力画面が表示されました。
これらも、重要な情報なので、悪用の危険があります。
2-3. クレジットカード情報の入力に注意
最後が一番の肝。
クレジットカード情報の入力です。
適当なクレジットカード番号(3541-00
と 123456789
と 7
(パリティ)を組合せた番号)を入力しました。
偽サイトなので適当なセキュリティコードで通ります。
クレジットカードのインターネットパスワードを入力する画面まであります。
本来、インターネットパスワードは、クレジットカード番号だけでは決済できないようにする、クレジット会社による本人確認です。
しかし、これも画面上のアドレスをみると、偽ドメインなので偽サイトの中の画面です。
すべて入力したところで、本物のNHKプラスのページに誘導されました。
フィッシング詐欺の特徴として、本物そっくりのメール・入力ページを表示し、個人情報を送信させたら、本物のページに誘導する、という構造があるわけです。
2-4. 偽サイトのセキュリティ証明(Let’s Encrypt)
偽サイトですか、画面左上には鍵マークがあり、「セキュリティ保護」があります。
このセキュリティ証明書は、「R3, Let’s Encrypt」によって発行されています。
Let’s Encryptは、本来「自由なインターネットでの情報発信」を保証するための枠組みです。
しかし、無料でセキュリティ証明書が発行できるため、悪用されるケースも少なくありません。
今回の偽サイトのセキュリティ証明書も、発行日が「2023年6月14日」とアクセス日の直前です。
いわば、「使い捨てサイト」の「使い捨て証明書」として使われてしまっているのです。
「セキュリティ保護」は、サイトまでの経路での情報傍受を防ぐためのものです。
送信先が偽サイトなら、まったく安全ではありません。
こちらもどうぞ。