ホンモノのエンジニアになりたい

ITやビジネス、テクノロジーの話を中心とした雑記ブログです。

IQOS PES試験の案内メールが標的型攻撃のメールかと思ったので調査決行

f:id:kwnflog:20171207192241p:plain

  先日、加熱式タバコIQOSを販売しているPhilip Morris社からPES試験(IQOSの体への影響を検査する試験)の案内メールが来ました。私はIT業界の中堅SIerに勤めておりまして、日々情報セキュリティに関する口うるさい指導を受けていることからメールを見た瞬間に、私の中の”怪しいメールアンテナ”が反応し、どうしたものかと思案しておりまして調査を決行いたしました。

 

記事中に出てくるIQOSチームからのメールは、本物であるという確実な裏取りが出来なかったですが、99%くらいの確率で本物だと思われます。

 

 

怪しいメール?

メールの詳細な内容は割愛します。 

メール冒頭から中程まで

 実際にメールを見てみましょう。まずはメールの冒頭です。隠した方がよさそうなところは隠しています。

f:id:kwnflog:20171207175041p:plain

まず怪しいと思ったことの1つ目。

専門用語を何の説明もなく使うこと。

 エアロゾルという言葉について調べることなく説明できる人って日本人にどれくらいいるでしょうか?言葉のニュアンスはわかりますが、専門用語が使われていると怪しさが醸し出されます。エアロゾルという言葉を見た瞬間に、微粒子レベルで怪しい感じがしました。けど外資系って割と普通にこういう英語をカタカナにした言葉の使い方するところあるよなぁ、くらいの印象でした。

 

2つ目の怪しいところ。

 「受動曝露評価」のところです。曝露という言葉は一般的には秘密を暴くという意味で使われることが多いです。ここではそれ以外の、ウィルスに曝(さら)されること、の意味で使われています。がやはりそれは正しい言葉であっても、一般的に使われない表現だと私は思うので、ここもちょっと怪しい感じ。

 

 この二点に共通することですが、機械翻訳感が高いんですね。このメールの冒頭部分では違和感のレベルで気になり始めました。

 メールの中ほどは特に怪しいところ無し。

 

メール末尾

そしてメールの末尾です。

f:id:kwnflog:20171207161309p:plain

 

 まず目に付くのは「PES試験に登録する」ボタンです。クリックせずに、リンク先URLを見てみると、www.pes-shiken.jpドメインのページでした。IQOSとかフィリップモリス社のドメインじゃないんだ、というのが感想。最下部のメール配信中止の「ここ」ボタンはIQOSドメインのURLにリンクされてました。

 

 んー特設サイトか委託先からのメールなのかしら。でもIQOSメールを騙ったフィッシングの可能性をどうにも排除できないなと。

 

 もう一個気になったのが、「敬具」ですね。メール冒頭にはこれに対する「拝啓」が無い。メール冒頭のエアロゾルや曝露は違和感はあるものの、会社としてその言葉を社外的に使う正式な表現と決めている可能性があるのですが、敬具だけってあるかな?と思い調べてみましたが、敬具のみ使うというのは普通しないっぽい。うん、やっぱり違和感ありますね。

 おっちょこちょいで拝啓付け忘れなのか、海外から高性能な翻訳アルゴリズムで翻訳されたフィッシングなのか、判断が付けづらい。というかこの時点では「疑わしきは罰せよ」理論で黒に近いグレーぐらいな感じでフィッシングを疑っていました。

 

ドメインを調べよう

 で、もうちょっと突っ込んで調べてみました。www.pes-shiken.jpのwhois検索ですね。検索をかけてみると、連絡先が [代理公開情報]GMOペパボ株式会社 となっていました。

 ふむ日本の会社か、聞いたことがない。これは超優秀なクラッカー集団が日本を標的にする時に使うダミー会社なのではないか、騙されんぞ! 検索検索っ ♪

 

・・・レンタルサーバで有名なロリポップを展開している会社でした。(超無知)

 

 いやいやドメインに登録されている情報は申告制ではなかったか。企業名や住所はウソ情報でも登録できたはず。だよね?

 

 はい。調べるとjpドメインは世界でも稀な「whoisキャップ」という個人情報を隠すために代理人を立てることが可能なドメインだということがわかりました。これは知らなかった。勉強になりました。

確かにドメインの連絡先に [代理公開情報] と書いてありましたね。

 

情報の整理と、この時点における判断

 ちょっと整理しましょう。

 上記のキャプチャの「PES試験に登録するボタン」のリンク先はwww.pes-shiken.jp ドメインとなっています。このドメインの公開情報はGMOペパボ株式会社の情報が代理で公開されています。

 

 さて、私は何を信頼したらいいのでしょうか。

 

 ドメインを調べた結果、連絡先がフィリップモリスやIQOSのドメインのメールアドレスであれば、「www.pes-shiken.jpのページにアクセスを誘導するメールが来たのだけど、このドメインは本当に貴社が運営するページなのか」と聞くことが出来ました。

 しかしwhois検索の結果、代理公開情報が表示されていてドメインの本当の管理者がわかりません。GMOペパボ社に聞いてみる?フィリップモリス社に聞いてみる?

たぶん正しい対応はフィリップモリス社に聞いてみるなのだと思います。

 

オフィシャルに聞いてみた

 というわけで、IQOSサイトからチャットで聞いてみました!

 

 そしたら「0120-xxx-xxxに電話してください。PES試験は確かにフィリップモリス社が行っているものです。」とのレスが来ました。

 

 ようは試験自体はフィリップモリス社がやっているものだけど、メールが確かにフィリップモリスPES試験運営チームから送られたものかの判断はチャット窓口では出来ない(しない)ので、PES試験の正式窓口に電話してほしいということだと理解しました。

 

ここまで来たら電話してみましょうか。

 

・・・結果。

pes-shiken.jpは確かに当社のPES試験で使っているドメインです。但しあなた様に送られたメールが本当に当社から送信されたものかは断定できませんので、IQOSの窓口にご連絡ください」

 

 うん、これもう追いかけられないやつですね。

 別にドメインフィリップモリス社というかIQOS関連で使われているものである確認が取れればOKなんですが、何とも腑に落ちないタライ回しを食らって調査を完了しました。

 

最後に

 今回のエントリはフィッシングメールを疑った結果、(かなり高確率で)シロでしたという内容で終わっています。なんでこんなエントリを書いたかというと、私はSIerに勤めておりますので、BtoCのビジネスってほぼほぼやらないんですね。なので今後自分がBtoCビジネスをやることになった時に客目線ではどういう所を見ているか、また気を付けなければいけないのはどういう所か、メモのような形で私の行動とその時の考えをまとめてみたくなりエントリを書きました。

  実際ここまで調査する人はほぼいないと思いますが、気になったら調べないと眠れない体質なので。。。

 

 最後の最後になりますが、別にフィリップモリス社やIQOSをディスっているわけではありません。いつもIQOSを気持ちよく吸っている男の雑記でした。

 

敬具