先日、ATOから私宛にこのようなメールが送られてきました。

ATOというのはオーストラリア国税庁(Australian Taxation Office)で、なかなかうるさい、厳しいことで有名です。そのATOからリファウンド(お金が返ってくる)というメールが来ており、偶然私も2週間ほど前にそのお金を取り戻すための手続きを行っていたので「いよいよ手続きが行われたか!」と思いました。

しかし、よく見るとこのメール変なんです。

1.差出人がおかしい。

差出人:ATO <ato.gov@email.ato.com>

それっぽい感じではありますが、ガバメントであれば、.gov.au で送ってくるはずです。

2.受取人もおかしい。

受取人は会社のinfo宛のアドレスでした。私個人ではありませんでした。

3.名前が書いてない。

この手のメールは、大量に配信して0.1%でもひっかかればというものなので、
ほとんどの場合、全員に同じ文面を送っています。なので一人一人の名前などは記入がない場合がほとんどです。
本物のメールの場合には、だいたい自分の名前が記載されていますし、担当者の名前、連絡先が記載されている場合がほとんどです。

というわけで、このメールはSPAM認定なのですが、どういう感じのページが開くか、ちょっと興味がありました。

クリックしてはいけないSPAMメールのリンク

以下の内容は最悪の場合、ウイルス感染などのリスクもありますので、絶対に興味本位ではやらないようにお願いします。
やる場合はあくまで自己責任となります。

やはり、私もアンチウイルスソフトなどは完備しているとはいえ、そのままリンクを開くのはちょっと気が引けるので、まずはLinuxの仮想環境で開いてみました。そうしたら、出てきたのがこの画面。これ、オーストラリアのオンラインサービスのmyGov というサイトをそのままコピーしているんです。

どれだけまんまかというと、

これが本家です。Webなんで、こういうコピーサイトが簡単にできてしまうのは便利である反面、恐ろしいです。

もうすこし詳しく見ていくことにしましょう。偽物が表示されているURLが気になります。

・WordPressの本来公開されていないwp-includeの下になっている。
・SSLの認証も取っている。
・URLの始めがblogになっている。

この3点から考えると、おそらくこのサイトはもともと一般のブログサイトで、外部から乗っ取りにあって「勝手に仕込まれた」可能性も高いと思います。弱いパスワード(桁数が少ない、推測されやすい、利用されやすい)を使っていてパスワード情報を破られた、あるいは公共Wi-Fiに似せた野良Wi-Fiを利用してログインしたことでパスワード情報を盗まれた、脆弱性があるプラグインをアップデートせずにそのままにしていて、それを悪用された。などの原因で管理権を奪われ、このような詐欺サイトが仕込まれてしまったのではないかと思われます。

このような偽物サイトなのにSSLの緑の鍵マークまでついていますね。

SSLがついている=安全

という考えも捨てないといけないですね。

ちなみに、偽物の方は適当なIDパスワードでログインすることが出来て、ログインすると非常に殺風景なRefundを受け取るためのクレジットカード番号を入力する画面が表示されました。(スクリーンショット取り忘れました)

今回政府からのタックスリターンで、政府からお金が返ってくる連絡だったはずなのですが、クレジットカードを入力するというのはそもそもおかしい話なんですよね。クレジットカードへのリファウンドは、クレジットカードで払ったものについての払い戻しを受ける場合には使えますが、一方的にお金を受けることはできないはずです。

カード情報を入力してしまうと、偽物のカードを作られたり、カード情報そのものを売られてしまったりするのかなぁと思います。

また、このようなサイトに自分の本当のログイン情報を入力してしまった場合、myGovへのログイン情報も盗られてしまう可能性が高いので、もしやってしまった場合にはすぐに本物のmyGovサイトでのパスワードの変更をお勧めします。

報告者になってみた。

通常、こういう詐欺サイトって、Googleさんなどの協力で、URLをクリックしたとたん

「このサイトは詐欺です!!」

とブラウザ上に真っ赤な画面に大きく表示されるようになっているのですが、私にこのメールが届いたタイミングではまだその情報がいきわたってなかったようで、クレジットカード番号もそのまま入力できる状態でした。

せっかくまだ認知されていない詐欺サイトに行き当たったようでしたので、Googleさんに報告してみることにしました。報告フォームは Safe Browsing – Google Safe Browsing にあります。ページの一番下の方にある Report Phishing をクリックし、報告フォームに入力しました。

コメントの部分には「オーストラリア政府のmyGovのデザインをそのままコピーして、非常に悪質なフィッシングサイトで、クレジットカード番号を詐取しようとしている」という旨を英語で記入して送りました。

その後、オーストラリアのサイバーセキュリティセンター()にも一応レポートを送りました。本来は被害者じゃないと入力できないようになっていて、自分が被害にあったわけではないのですが、一応報告しておきました。

その後、しばらく外出していたので、チェックできていなかったのですが、夜になってチェックしてみると・・。

キチンと詐欺サイトの警告が出るようになっていました!!

この詐欺サイトの警告は多くの人が助けられていると思います。私も今回は少しだけでも貢献できた・・かな?