2019年6月21日、オリンピックチケットの抽選結果通知を装ったメールが確認されたと報じられました。ここでは偽メールやこれまで報じられていた類似ドメインなどに関連する情報をまとめます。
1.チケット偽メールの報道
www.yomiuri.co.jp
mainichi.jp
digital.asahi.com
- 2019年6月21日に読売、朝日、毎日の3社が報道。(地方紙は未確認)
- 取材先、内容からいずれも同じ件とみられる。
- 届け出先は広島県生活センター。
- 同センターの担当は広島県環境県民局消費生活課。
広島県男性が連絡した情報
報道によれば確認された偽メール等は以下の様子と見られる。
- 偽メールが届いたのは2019年6月20日。
- 偽メールの件名は「抽選結果のお知らせ」
- 偽メールの本文中にはURLが記述されていた。(正規メールはURLの記述がないと案内されている。)
- URLをクリックすると認証情報(メールアドレス、パスワード)の入力を求める画面が表示された。
- 認証情報入力後に「ただいま混み合っています。50分待ちです。」といった表示が出た。
偽メールは本当に存在したか
piyokangoが調べた範囲で偽メール、偽サイトの実態を確認できていない。(6月23日時点)
- Twitter上で同様のメールを受信したとの報告が確認できない。
- 報道3社とも偽メールの本文や偽サイトの画面などを掲載していない。
- 広島県へはこの男性以外の相談がない。
- 偽メールとされたものの内、URLの記述以外は正規のメール、サイトと同じ内容。
- 広島県担当者は取材に対し、パスワードの定期的変更を呼び掛けている。
偽メール消失事象が併発?
- 男性が偽サイトへ誘導後(1時間程度経過した後)にメール消失に気付いたと報道。
- 消失が事実であればマルウェア感染や第三者による遠隔操作の可能性も考えられる。
- この事象に対しては県がどのようにフォローしたかは報じられていない。
偽メール・偽サイト探しの動き
- 関係者や報道より「このような詐欺が予想される」として想定例付きの注意喚起が大量発出されている。
- 想定例を事実と誤認したとみられるSNSへの投稿やネット記事が散見。
警視庁サイバーセキュリティ対策本部はTwitterで、抽選結果発表をかたったニセメールに気をつけるよう注意喚起しています。「当選おめでとうございます。手続きは以下のURLから行ってください」といった内容の詐欺メールが拡散しているようです。本物の当選メール本文に、URLの記載はありません。
news.mynavi.jp
チケット抽選結果に関連した気になる事象
- チケットサイトではVisa決済時に領収書表示に不具合が出たことが報じられている。
- 当選メールに画像を用いたビーコンとみられるタグが含まれていたとの報告。
東京オリンピックチケット当選メールに入っているビーコンらしき非表示画像。<img style='display:none;' height="1" width="1" border="0" src="https(colon)//cmail1(dot)tickettk2020(dot)com/xxxxxxxxxx" /></body>
— Raven (@raven_si) 2019年6月21日
チケットを取り上げたスパムメール
オリンピック関連の詐欺メール本当に来るんだー!ってちょっと感激
— さみだれ (@samidare0723) June 25, 2019
そして田中さんって誰やねん pic.twitter.com/W3bRoWTFDk
2.類似ドメインの報道
- オリンピック公式サイトに類似したドメイン約1000件が既に取得されていると報じられている。
五輪・パラ公式サイトと類似ドメイン1000件近く 一部は悪用も | NHKニュース
五輪類似ドメイン1000件…偽メールや詐欺に注意 : オリンピック・パラリンピック : 読売新聞オンライン
それって「東京五輪」の公式サイト? すでに1000件近くの類似ドメイン名を発見、アクセス前に注意を - INTERNET Watch
五輪装う?偽ドメイン確認 詐欺メールに悪用の恐れ | 共同通信
- 類似ドメインの調査は早稲田大学の森教授研究室に取材したものとみられる。調査結果の実態としては研究室で公開された記事が正確。
956件中、Aレコードを解決できたドメイン名は689件でした。VIrusTotal を使った簡易検査では、2つのドメイン名が malicious 判定、1つのドメイン名が malware site 判定、19のドメイン名が suspicious 判定でした。いずれも現時点ではアクティブではありません。
- 共同通信が「ホモグラフ攻撃」の事例として
tōkyō2020を取り上げ。 tōkyō2020.comは2019年6月22日時点でパークドメインになっているとみられ偽サイトは稼働していない。
観測事例(1)詐欺サイトへリダイレクト
東京オリンピックのチケット抽選申し込みが始まりましたが、同大会を想像させるドメインを使用した不審なサイトがありました。
— tike (@tiketiketikeke) 2019年5月9日
japan-2020tokyo[.]com
91.195.240[.]126 AS47846 (Sedo GmbH)
ここにアクセスすると、都度様々な不審なサイトにリダイレクトされます。(画像は一例)
ご注意ください! pic.twitter.com/rRj6nBDK3a
japan-2020tokyo.comへ接続すると詐欺サイトに誘導されるとして2019年4月にネット上で話題となっていた。(現在も稼働している模様)- このサイトへどのように誘導されるのかは不明。
観測事例(2)スパムドメインとして利用
tokyo202020.comがスパムメールや詐欺サイトで利用されている。- 2018年から悪用されているが報道で取り上げられたのは2019年4月頃とみられる。
<重要>日本アトピー協会を装った不審メール「日本アトピー協会nhk@tokyo202020.com)」に十分ご注意ください。特定非営利活動法人日本アトピー協会とは一切関係ございません。 #着信拒否 #ニセメール #迷惑メール設定 pic.twitter.com/PDn7NE5kxP
— NPO法人 日本アトピー協会 (@NPO48732655) 2019年3月13日
(日本アトピー協会のページに掲載された注意喚起)
nanndemo-ittyae.seesaa.net
同一IPアドレスでは他に似たような類似ドメインがとられていた。
amazontvk.com (Amazon) nhkservice.com (NHK) tbsjapan.net (TBS) tvasahi5.com (テレビ朝日) yomiurinewz.com (読売) rakutemtv.com (楽天MTV) tpointcard.com (Tpointカード) zozocitys.com (ZOZO)
更新履歴
- 2019年6月24日 AM 新規作成
- 2019年6月26日 AM スパムメールを追加
