パスワードを忘れた? アカウント作成
13540513 story
プライバシ

Apple、偽レシートメールの識別法を解説 26

ストーリー by headless
偽物 部門より
AppleがiTunes Storeからの正規のメールを識別する方法に関するサポートドキュメントを更新し、App StoreやiBook Store、Apple Musicをカバーする内容に変更している(英語版サポートドキュメント HT201679Mac Rumorsの記事Softpediaの記事)。

主な内容はこれまで通り、Appleを装ってアカウント情報や個人情報を狙うフィッシングメールを見分けるためのものだ。更新版では旧版で解説されていたアカウント情報の更新を求める偽メールの識別方法に加え、偽のレシートメール識別法に関する解説が追加されている。まず、App StoreやiTunes Store、iBook Store、Apple Musicで購入した際に発行される正規のレシートの場合、詐欺師が持っている可能性の低い請求先住所が記載されているという。また、アプリで購入履歴を参照して照合することも可能だ。このほか、フィッシングが疑われるメールの報告先として、これまではWebサイト経由でAppleサポートに連絡するよう記載されていたが、フィッシングメール報告専用メールアドレスの記載に変更されている。なお、日本語版サポートドキュメントはまだ更新されていないが、今後更新されると思われる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miishika (12648) on 2018年03月04日 17時19分 (#3371050)
    自分のところでイベント当選メールを送っておきながら偽造と言い張る
    アニメイトスタッフには、Appleの爪の垢でも煎じて飲ませろということか。
    • by Anonymous Coward

      Apple、「iCloudの定期契約を中止」と誤送信 ユーザーに謝罪
      http://news.livedoor.com/article/detail/12974781/ [livedoor.com]

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      業種もサービス内容も国も規模も異なる企業を比べる理由ってなんでしょう。
      もしかしたらどちらも御自分がヘビーユーザーであるというのが唯一の共通点なのかしら。

  • by Anonymous Coward on 2018年03月04日 18時13分 (#3371060)

    メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。

    • メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。

      長い間 Gmail は S/MIME 署名に非対応で、添付ファイルとして「smime.p7s」が表示されるという酷い状況でしたが、最近になって対応したようです。
      今確認してみたところ (スクリーンショット) [imgur.com]、Android 版 Gmail (8.2.11.186835846) でも、PCブラウザ版でも署名の検証ができました。

      スマホなら件名や差出人等の情報が表示されている部分の「詳細を表示」をタップ、PCブラウザ版なら To の文字のすぐ右の □ で囲まれた ▼ ボタンをクリックで確認できます。
      例えば、三菱東京UFJ銀行からのメールであれば、「確認済みメールアドレス」として「email_info02@mufg.jp」が表示されるので、From が偽装されていないことは確認できます。

      しかし、住信SBIネット銀行からのメールなど「サポートされていないアルゴリズムが署名で使われています。 デジタル署名が無効です。」というエラーが表示されるメールも多いようです。自分のメールボックスに来ているメールをいくつか確認してみたところ、このエラーが表示されるメールは共通して micalg が sha1 なので、おそらくそれが原因だと思われます。

      三菱東京UFJ銀行(エラー無し)
      Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha-256"; boundary="(略)"

      住信SBIネット銀行(エラー表示)
      Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="(略)"

      sha-256 だと古いメーラーでエラーになるし、sha1 だと Gmail でエラーになるというジレンマになってそうです。

      残念なことに、Gmail では S/MIME 証明書の Subject 全体を確認することはできないようで、Subject の情報(例えば組織名や住所など)を見たかったら「証明書をダウンロード」から pem をダウンロードして、「openssl x509 -text -noout -in certificates.pem」などのコマンドを実行する必要があります。
      しかし、現状でも差出人のメールアドレスが偽装されていないことだけは、S/MIME 署名があれば Gmail のメール表示画面からワンタップで確認できるので、正当なドメイン名と比較することでフィッシング詐欺対策に活用できます。

      親コメント
      • Subject の情報(例えば組織名や住所など)を見たかったら「証明書をダウンロード」から pem をダウンロードして、「openssl x509 -text -noout -in certificates.pem」などのコマンドを実行する必要があります。

        誤解を招くので補足します。この方法は、証明書の中身を表示するための方法なので、署名の正当性の検証は別途行う必要があります。

        親コメント
      • by Anonymous Coward

        説明、感謝いたします。

      • by Anonymous Coward

        s/mime署名に対応してもs/mimeのe2e暗号化やpgpには対応しないのか
        e2eが普及するとメール内容検閲して広告目的で使えなくなるから嫌なんだろうな

        • by Anonymous Coward

          現状、署名されているメール自体少ないので、仮にその全てが暗号化されても広告ビジネスに大きな影響はないと思うよ。
          メールの暗号化はSignal程の手軽さがないし、Webメールである以上、送信相手と自分の証明書をどこにどのように保管するのかという課題がある。

    • by Anonymous Coward

      素人には判断できないからですよ。今なら署名は簡単に取れるので。Apple Corps Ltd inc.とか。 素人向けの対応ならまずは送信元のメールアドレスの確認かなぁ。

      • by Anonymous Coward

        普通そこは詐称するでしょ。

        特にアドレスそのものでなく名称を表示するメールクライアントが多いから詐称は簡単。

        • by Anonymous Coward

          普通そこはメールアドレスそのままですよ。どうやら変更するのが面倒らしい。
          少なくともうちにくるスパムメールの内アップルを詐称するものはapple.co.jpとかそのへんから来る。

      • by Anonymous Coward

        素人には判断できないからですよ。今なら署名は簡単に取れるので。Apple Corps Ltd inc.とか。 素人向けの対応ならまずは送信元のメールアドレスの確認かなぁ。

        OV証明書なら組織所属確認があるから「Apple Corps Ltd inc.」という会社を登記しない限り「Apple Corps Ltd inc.」の証明書は取れませんよ
        送信元のメールアドレスの確認って何を見て確認するの?
        from は偽装できるから DMARC の対応状況見てで偽装されていないことを確認?
        どこが初心者向けなんだか

        素人向けならS/MIME署名の確認の一択なんだけど……

    • by Anonymous Coward

      「でしょう」じゃなくて具体的に説明しろよw

      • by Anonymous Coward

        って人の為に、電子署名って既存の技術使いつつも
        アップル謹製メーラーではアップル社の署名は登録作業無しで
        バッジでも付くようにすればいいんじゃないですかね

      • by Anonymous Coward

        iOSのMailでもmacOSのMailでもiCloud.comのウェブメールでも、
        SPF,DKIM,DMARCその他の機能を片っ端から検証する機能を入れればいいんじゃないの。
        ウェブメールのほうは処理が重そうだけどクラウド力で頑張れ

    • by Anonymous Coward

      プロバイダーの迷惑メールフィルタに引っかかるから文面で判断するレベルでもないのにね

  • by Anonymous Coward on 2018年03月04日 18時59分 (#3371071)

    便利さを超高速で求めるあまり
    妙なバッドノウハウを蓄積していってるような気がする。

    まあ、いつか落ち着くんだろうね。
    今はまだ、俺はこういうのは無理に追いかけない事にする。
    ビットコインの取引で学んだわ。
    値上がりしてる時に「やべーますます値上がりするんじゃね!?」と思って買ったらナイアガラーってな。

    • by Anonymous Coward

      SMTPがロクに送り手を検証せずにメールを受け取っちゃうのはまずい、というのは30年前から指摘されていた問題なので、「超高速」と言われるともにょっとする。

  • by Anonymous Coward on 2018年03月04日 21時09分 (#3371120)

    Appleユーザではないのに次々届くので迷う要素が無い。むしろ、あ、実在する本物を真似てたのかー、ぐらい。

  • by Anonymous Coward on 2018年03月05日 0時36分 (#3371194)

    フィッシング詐欺メールの見分け方に、「App Store、iTunes Store、iBooks Store、またはApple Musicでの購入からの本物の購入領収書には、詐欺師にはない現在の請求先住所が含まれています。」ってバカじゃないのかな
    住所・氏名・メールアドレスを含む個人情報名簿は漏えいしているんだから、それ使ってフィッシング詐欺メール送られたらどうするんだか

    送信ドメインの確認方法書くとかSMIME署名の確認方法書くとかしろや

  • by Anonymous Coward on 2018年03月05日 16時25分 (#3371465)

    誰か「あなたのApple」ってタイトルで画面の左右を割った比較広告作ってくれ。

    左側の「あなたのApple」だと凄い大量のフィッシングメールが送られてきて、本物が埋もれてしまい、探すの大変なの。

    右側は、フィッシングメールは整理されて箱(フォルダ)に入ってて、本物だけ手元にすぐ届くの。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...