フィッシングメール、どう対処してますか。
こんにちは、のんびりパンダといいます。🐼
昨日、私に1通のメールが届きました。
「駐車禁止のところに駐車をしたから罰金を払え」 という内容でした。
私…まだ車買ってないのに…笑
そして、その下にはご参照くださいといってファイルが添えてありました。
開くとハッキング脅威にさらされるという、フィッシングメールの典型的な手法です。
自分の場合は「車をもってない」という根拠をもって
「あれはフィッシングメールだな」とすぐ気づけました。
でも、もし私が車を持っていて、偶然にどこかに駐車しておいたところなら、
あれが不審だと感じる前に一応ファイルを開くことしかないかもしれません。
このようなメールインシデントに特に脆弱なのは、企業メールです。
何年前か、半沢直樹にも似たようなもん扱ったエピソードあったんですね。
どんな用件であっても、仕事のことか、と思ったら納得ができるからです。
なので、企業の方なら、不審なメールに対し十分注意しなければなりません。
それでインターネットを調べてみたところ、
メールに悪意の有無を判断し対処できる事例や方法を扱った投稿を見つけ、
皆さんと共有したいと思います。
まずメールをもらって不審だと感じられば、ヘッダーを分析すれば良いそうです。
Google, Yahooで「email header analyzer」などで検索すると、
別に関連知識がなくてもすぐ見つけられるはずです。
その中でmxtoolboxというサイトで検索したヘッダーの内容は、次のようでした。
そこで 「X-Originating-IP」 というところは、発信元のIPを指します。
そのIPはどこから来たのでしょうか。
OSINT検索エンジンの 「Criminal IP」 というサービスを使ってIPアドレスを検索。
その結果、該当IPは台湾からのVPNを使っているIPに確認されました。
何で台湾から韓国語で就活メールを…?
そしてもう1つ怪しいのは、
TCP/443ポートでOpenVPNが稼働されていたのです。
普段なら443ポートではHTTPSが稼働されてるはずで、
さらにOpenVPNは一般的にUDP/1194ポートを使います。
つまり、
IPをバイパスするために一般的ではないポートを通じ、VPNを使ったということ!
それに加えて当投稿は、VPN以外にもTor IPアドレス、HostingのIPアドレス、評判が悪いIPアドレスかも一緒に検知してみた方がいいと言っています。
Criminal IP(http://criminalip.io/ja) というのは、Twitterで知ったOSINTサービスだけど、
IPの不審さ検知以外にもセキュリティ的にできることがいろいろあるようです。
何か面白そう。
完全対処までは専門知識が必要になるだろうけど、
脅威の有無を検知し、対処すべきだ!という状態まで、
親切に私のような初心者を導いてくれるサービスだな、っていう印象です。
まぁ、不審なメールは開かない方が一番いいんだけど!