ちょろげ日記

日々のちょろっとしたことを

「i.softbank.jp」でなりすましメールの当事者となってしまった話

先日、妻がなりすましメールの当事者となってしまいました。

なりすましメールはよく耳にしますが、対岸の火事だと思っていました。ところが、いざ当事者になると何が起きているのか混乱してしまい対応に悩んでしまいます。

そこで、同じことが起きた場合にも落ち着いて対処できるよう、わかった部分とわかっていない部分について、備忘録がてらまとめておきたいと思います。

Twitterを検索すると同じ状況になった方が複数いらっしゃるようなので、参考になればと思います。知っている方には何を今更な内容かと思いますがご容赦下さい。

なお、文中になりすましメールに関する技術的な説明を付け加えていますが、私は技術面に精通していませんので、用語や仕組みの説明については改めてご自身で調べ直すことをおすすめします。

 

起きたこと概要

混同しないように頻出する言葉を次の通り統一しておきます。

  1. 妻のことを「本人」と記載
  2. 妻が利用しているスマートフォンを「iphone」と記載
  3. 妻が利用しているiphoneの標準メールソフトを「メールソフト」と記載
  4. 妻のメールソフトに届いた送信エラーメールを「送信エラーメール」と記載
  5. 知人へ送付されたメールを「なりすましメール」と記載

 
起きたことは大きく2つです。

  1. 差出人メールアドレスが「本人」のメールアドレスになっている「なりすましメール」が複数の知人に届いた
    1. 本人はなりすましメールを送付していない
    2. 本人のメールソフトにはなりすましメールの送信履歴はない
  2. 本人に送信エラーメールが複数届いた
    1. 「アドレス帳に載っている」または「過去にメール受信したことがある」メールアドレスへに送信できなかったという内容

 
絵にまとめるとこんな具合です。

f:id:tyoro_ge:20160502162315p:plain

1.差出人メールアドレスが「本人」のメールアドレスになっている「なりすましメール」が複数の知人に届いた、2.本人に送信エラーメールが複数届いた、についてはそれぞれわかったことの問題点が別であるため、分けて説明をしています。
 

起きたこと詳細「なりすましメール」

「差出人メールアドレスが「本人」のメールアドレスになっている「なりすましメール」が複数の知人に届いた」ことについて、詳しくまとめています。以下の状況により、なりすましメールの当事者となったと判断しました。
 

なりすましメールの内容

知人へ送付されていたなりすましメール(Gmailで受信)の内容は次のとおりです。青色の塗りつぶしは私が加工した箇所です。

f:id:tyoro_ge:20160501010612j:plain

差出人メールアドレス:本人のメールアドレス
 
件名:Fw: new message
 
本文:Hello! You have a new message, please read http://あやしいURL 本人のメールアドレス

 
本人はこのメールを送信した覚えもなく、メールソフトにも送信履歴は残っていません。第三者が本人を騙って「なりすましメール」を送信しているようです。

なりすましメールについては、Gmailの説明がわかりやすいので載せておきます。

なりすましとは、メールの送信元がわからないように送信メールの返信先アドレスを偽装する行為を指します。

ポストから手紙を出す場合は、手紙を受け取る人が送り主を確認できるよう差出人の住所を封筒に書くのが普通です。何か問題があれば、郵便局はこの住所を基に差出人に手紙を送り返します。しかし、自分の住所以外を差出人の住所として書くこともできます。つまり、誰か別の人が、あなたの住所を差出人住所として封筒に書く可能性があるのです。メールも同じことがいえます。サーバーはメールを送信するときに送信者を指定しますが、この送信者フィールドは偽装できます。配信に問題があった場合、自分のアドレスが差出人として偽装されていると、実際に送信したのが自分ではなくても、メールが返送されてきます。

自分のアドレスから送信した覚えのないメールへの返信が届いた場合は、次の 2 つの可能性があります。

  • あなたのアドレスを差出人として偽装して、メールのなりすましが行われた。
  • 返信があなたに届くように、元の送信者によってあなたのアドレスが返信先アドレスとして使用された。

自分のアドレスから誰かがメールを送信している(なりすましメール) - Gmail ヘルプ

今回は「あなたのアドレスを差出人として偽装して、メールのなりすましが行われた。」ケースです。
 

なりすましメールの「メール認証」結果

Gmailには、受信したメールが正しい送り先から送られてきているのかどうか調べる、「メール認証」という仕組みが用意されています。

メール認証とは、メール プロバイダが受信メールの送信元を認識できるようにし、スパムや不正行為を防止するための方法です。認証データを使用して、受信メールの送信元を確認することができます。たとえば、受信したメールの送信元が大手の金融機関やメール プロバイダ(Google、Yahoo!、Hotmail など)であるにもかかわらず、そのメールが認証されていない場合は、そのメールは偽装されている可能性が高いため、返信したり、添付ファイルを開いたりする際には注意してください。メール認証 - Gmail ヘルプ

今回であれば、差出人メールアドレスが「i.softbank.jp」で送られてきたメールが、本当にソフトバンクのメールサーバーから送られてきたかどうかを確認してくれるということです。ソフトバンクのメールサーバーから送られていない場合は、悪意のある第三者がなりすましを行っている可能性が高くなります。
 
メール認証結果は、メールを開くと確認できます。

f:id:tyoro_ge:20160502102954p:plain

Gmailでは、このメールが(スパム発信業者からではなく)本当にi.softbank.jpから送信されたメールであることを確認できませんでした。

メール認証ができなかったメールについては「?」マークが表示され、上記の文面を確認することができます。
 

なりすましメールのメールヘッダ

メール認証の内容についてはソースで確認することができます。今回のなりすましメールのソースは次のとおりです。

f:id:tyoro_ge:20160502110754p:plain

メールを送信してきたサーバーが書かれている「Received: from」にはあやしいサーバー名とIPアドレスが記載されています。そして、ソフトバンクのメールサーバーではないため「Received-SPF: fail」とメール認証が失敗したと記載されています。

メール認証が成功した場合のソースはこちらのとおりです。

f:id:tyoro_ge:20160502112730p:plain

「Received: from」はソフトバンクのメールサーバーらしきサーバー名とIPアドレスが記載されています。実際に、ソフトバンクのメールサーバーであることが確認できたため、「Received-SPF: pass」とメール認証が成功したと記載されています。

メール認証のしくみ(SPF)の理解については、下記などが参考になりました。

f:id:tyoro_ge:20160502112554p:plain

IPA 独立行政法人 情報処理推進機構:なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き」より

 

起きたこと詳細「送信エラーメール」

「本人のメールソフトに送信エラーメールが複数届いた」ことについて、詳しくまとめています。

以下の状況により、次の「1と2」または「2」が行われたのではないかと憶測しています。

  1. 第三者が本人のアドレス帳を確認できる状況にあった
  2. 第三者が本人の過去の受信メールを把握できる状況にあった

ただし、後述の対応で書いていますが、上記を確定するための手段・事実がないため憶測にとどめています。
 

送信エラーメールの内容

「Mail delivery failed:returning message to sender」と「Mail System Error - Returned Mail」とういう件名の送信エラーメールが複数届きました。

f:id:tyoro_ge:20160502133559p:plain

f:id:tyoro_ge:20160502133605p:plain

それぞれ内容は次のとおりです。

まず、送信先が、すでにメールアドレスを変えている知人だったケース。

f:id:tyoro_ge:20160502134123p:plain

送信先が、Amazonの購入通知メールの差出人メールアドレスなど、メール送信できない宛先だったケース。

f:id:tyoro_ge:20160502134129p:plain

どちらも送信先へメールが届けられなかったよ、という内容が記載されています。
 

送信エラーメールの差出人メールアドレス

送信エラーメールの差出人メールアドレスは、「Mailer-Daemon@あやしいサーバー名」となっています。

f:id:tyoro_ge:20160502140340p:plain

このあやしいサーバー名は、なりすましメールの「Received: from」に記載されていたサーバー名を一致します。
 

なりすましメールの送り先について(憶測)

送信エラーメールの本文に記載されていたメールアドレスは、なりすましメール宛先にはいっていたことが考えられます。送信エラーメールをすべて目を通し、どういったメールアドレスか確認したところ次のケースであることがわかりました。

  1. 「アドレス帳に載っている」メールアドレス(過去にメール受信したかは未検証)
  2. 「アドレス帳に載っていない」かつ「過去にメール受信したことがある」

過去にメール受信したことがあるメールについては、メールの送信者だけではなく、メールのCCに入っているケースもありました。

下図のように、過去(2011年)に受信したメールのCC欄に載っていたメールアドレス(図中赤塗りつぶし)が送信エラーメールに記載されていました。

f:id:tyoro_ge:20160502163048p:plain

このため、影響範囲が大きい可能性があるのではと考えています。

また、冒頭に書きましたが、状況から見て次の「1と2」または「2」が行われたのではないかと憶測しています。

  1. 第三者が本人のアドレス帳を確認できる状況にあった
  2. 第三者が本人の過去の受信メールを把握できる状況にあった

これは、第三者が何らかの手段でメールアカウントのパスワードを把握したと考えられます。つまり、パスワードが安易だったため辞書攻撃などにより割り出されてしまったか、パスワードが何らかの理由で漏れてしまった可能性があると考えられます。そのため、一次対応としては「i.softbank.jp」のメールアカウントのパスワード変更が必要であると私は判断しました。
 

対応

実際に、本人および私が行った対応を時系列で並べると次のとおりです。

  1. 【本人】送信エラーメールおよび知人からのなりすましメールの報告を確認。
  2. 【本人】なりすましメールが送られている旨とメールに記載されたアドレスへアクセスはせずに削除する旨を、連絡が取れる知人などへ連絡。
  3. 【本人】Appleサポートへ電話をかけ、状況を説明。Appleサポートよりソフトバンク側の対応が必要となる旨を伝えられる。
  4. 【本人】ソフトバンクお客様サポート(ソフトバンク携帯から157)へ電話をかけるが混み合っていてまったく繋がらない。
  5. 【本人】最寄りのソフトバンクショップへ電話をかけ、状況を説明。「一括設定」すれば問題が解決すると指示を受け、実施。
  6. 【私】本人から状況を説明を受け、一括設定しただけでは意味がないと判断し、「i.softbank.jp」のメールアカウント設定より、パスワードの変更を実施。
  7. 【私】翌日、ソフバンクお客様サポート(ソフトバンク携帯から157)へ電話をかけ、状況を説明。対応としては、パスワードの変更で十分である旨を確認。第三者が本人のメールアカウントパスワードを使ってアドレス帳・受信メールを把握していたかどうかは確認することができない旨を確認。
     

「i.softbank.jp」とヤフーメールで似た事例が散見される件について

ソフトバンクのサポートの方々と話す機会がある度に、同様の事案が起きていないか確認をとりましたが「これまでそういった問い合わせはない」という旨を回答されていました。

一方、Twitterで検索したところ、非常に似たケースが見つかりました。

ソフトバンクTwitterアカウントと少し踏み込んだやり取りをされている方もいらっしゃいました。

さらに「なりすましメール」などのキワードで調べていくと、全く同じ状況かは判断できませんが、なりすましメールの当事者となってしまった方が散見されました。

たまたまかもしれませんが、キャリアを特定できるケースは「i.softbank.jp」と「ヤフーメール」に集中していて、4月20日以降のツイートが多かったです。参考にToggetterへ当該ツイートをまとめています。

togetter.com

 

まとめ

現時点では、妻の「i.softbank.jp」メールでなりすましメールが送られてしまっていることがわかっています。なりすましメールは今後も送信される可能性があるため、メールドレスを変更して、連絡が取れる方へ新しいメールアドレスに変わった旨を周知しました。

アドレス帳または過去の受信履歴が第三者に把握できる状況にあったかどうかは、わかっていません。ただしその場合は、第三者が何らかの手段でパスワードを知ってしまった可能性があると考えたため、対応としてメールアカウントのパスワードを変更しました。

パスワードについては安易なパスワードを避けるように注意しました。

基本ですが、IDと同じにする、誕生日や電話番号、車のナンバーなど、連想されやすいものは絶対にダメですね。また、悪意のあるものによる攻撃の場合「辞書攻撃」といって、辞書にある単語を片っ端からいれていくという手法があります。つまり、なるべく想像しにくい文字列にすることです。徳丸先生!正しいパスワード管理について教えて! | NO MORE 情報漏えい

同様のケースが散見されることが少し気になるので、以降、何かあれば追記します。