【迷惑メール】スクウェア·エニックスを語るDQ10パスワード盗難にご注意！

先日、スクウェア·エニックスを語って、ドラゴンクエスト10（DQ10）のパスワードを盗むことを目的とした迷惑メールが届きました！

北海道在住にも関わらずログイン場所が大阪になっていること、一見yahooに見えるメール送信元をよくみてみると中国（cn）であることなどから、迷惑メールとすぐに分かりましたが、DQ10を遊んでいる方は一瞬ビックリするんじゃないかな＾＾；

ということで、ご紹介！

DQ10 (szseesea@yahoo.com.cn) から届いたメール

送信日

2013年7月28日 7:41:48

送信元

DQ10 (szseesea@yahoo.com.cn)

件名

スクウェア·エニックスアカウントーー安全確認‏

本文

お客様

株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
ログイン地点　ログインIP　ログイン時間大阪 61.204.255.255 2013-07-27 02:06

ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。
https://secure.square-enix.com/account/app/svc/Login?cont=account

(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください)

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。
ご意見やご要望
スクウェア·エニックス会社
2013年07月28日

ウ～ン、怪しさ満点！　ざっと考えただけでも、その理由がドッサリでてきますね。

・私はDQ10は一切遊んでいない
・北海道在住にも関わらずログイン場所が大阪になっている（IPアドレスも当然異なる）
・メール送信元のドメインが中国（最後のcn）
・「株式会社营团社」って何？
・担当サービス名または担当者名が不明
・社名が「スクウェア·エニックス会社」になっている（本来は株式会社スクウェア・エニックス・ホールディングス）

送信元のメールアドレスを調べてみました

見るからに中国のyahooでしょ、という感じですが、IPドメインSEARCHで「yahoo.com.cn」を検索してみました。

Domain Name: yahoo.com.cn
ROID: 20021209s10011s00008998-cn
Domain Status: clientDeleteProhibited
Domain Status: clientUpdateProhibited
Domain Status: clientTransferProhibited
Registrant ID: mmr-2460
Registrant: Yahoo! Inc.
Registrant Contact Email: domainadmin@yahoo-inc.com
Sponsoring Registrar: MarkMonitor Inc.
Name Server: ns8.yahoo.com
Name Server: ns9.yahoo.com
Registration Date: 1998-06-04 00:00:00
Expiration Date: 2015-06-04 00:00:00
DNSSEC: unsigned

やはり、中国のヤフーメールのようですね＾＾；

メール本文のIPアドレス「61.204.255.255」を調べてみました

次に、メール本文に書かれていたログイン者のIPアドレスと思われる値を、IPひろばで「61.204.255.255」を検索してみました。

% [whois.apnic.net node-5]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 61.200.0.0 – 61.215.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
remarks: JPNIC Allocation Block
remarks: Authorative information regarding assignments and
remarks: allocations made from within this block can also be
remarks: queried at whois.nic.ad.jp. To obtain an English
remarks: output query whois -h whois.nic.ad.jp x.x.x.x/e
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20010130
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20050617
source: APNIC

role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC

inetnum: 61.204.255.128 – 61.204.255.255
netname: FNJ-S00568-2
descr: FAMILYNET.JAPAN CORPORATION
country: JP
admin-c: AN1734JP
tech-c: SM7689JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20050506
changed: apnic-ftp@nic.ad.jp 20070816
source: JPNIC

ついでに、本文中に出てくる「nic.ad.jp」をWebで検索してみると…
一般社団法人日本ネットワークインフォメーションセンターのサイト（https://www.nic.ad.jp/）が出て来ましたよっ！

メール送信元が、ここのIPアドレスを勝手に使ったのでしょうね…

URLを調べてみました

「https://secure.square-enix.com/account/app/svc/Login?cont=account」を見ると、いかにもマトモな作りに見えますが…

大元の「https://secure.square-enix.com/」にはアクセスできせんでした。

「http://secure.square-enix.com/」をWebで検索してみると、2013/5/7の時点で、スクエニのTwitter公式アカウントが注意を呼びかけていますね。

弊社を名乗るメールが不特定多数に送信されてるという報告を多数受けています。アカウント情報を盗むフィッシングサイトにくれぐれもご注意ください。サポートセンターも合わせてご覧いただくようお願いします。 http://t.co/af1JdVaWEG #FF14

— FINAL FANTASY XIV (@FF_XIV_JP) May 7, 2013

このつぶやきに含まれるURLを追っていくと、2013年4月に、フィッシング詐欺サイトへの注意が呼びかけられています。

フィッシング詐欺にご注意ください

2013/04/22 23:05 from スクウェア・エニックスサポートセンター

現在、スクウェア・エニックスアカウント管理システム(https://secure.square-enix.com/account/)を偽装したページに誘導し、スクウェア・エニックスアカウントとパスワードを入力させ、会員情報を盗用するという、「フィッシング詐欺」と呼ばれる不正行為が行われていることを確認しております。

これらの詐欺は、契約や課金、規約違反などの問題についてログインして確認するようにといった内容のメールをURL付きで送付し、不審なサイトへの誘導を行っております。また、公式のURLから、-(ハイフン)を抜かしたり、i(アイ)をl(エル)で表記するなどの偽装工作を細かく行っており、非常に間違いやすい状況となっております。十分にご注意ください。

ほとぼりが冷めた頃にまたフィッシング詐欺を試みているのでしょうか。
皆様も、お気をつけて～！