件名: ご利用のEvernoteアカウントに対する最近の変更について
送信元 : ohjl@account.evernote.com
Cc :
Bcc :
添付 :
日付 : 2021/10/24 16:15:58
平素は Evernote をご利用いただき、誠にありがとうございます。
このたび、ご利用者様保護の一環の定常的なモニタリング活動を通じて、お客様のアカウントが無断でアクセスされた可能性があることが判明いたしました。
つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力をお願い致します。
ご確認をいただけない場合、ご利用のアカウントに制限がかけされる恐れがございますので、予めご了承下さい。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
Tokyo, Japan
Evernote K.K.
c/o WeWork
Tokyo Square Garden 14F
3-1-1, Kyobashi, Chuo-ku
Tokyo, 104-0031
Japan
「制限がかけされる」!? 日本語が惜しいEvernote詐欺
【みぬ犬の独自分析メモ】
今回のターゲットは、メモアプリの**「Evernote」です。
このメールは、一見すると非常に本物らしく作られていますが、「URLの構造」と「たった一文字の日本語ミス」**に尻尾が出ています。
- 【URLの正体:https://www.google.com/url?sa=E&source=gmail&q=amalfisa.com】リンク先:https://evernote-login.amalfisa.com/ここが最大のポイントです。evernote-login という単語が入っていますが、これはサブドメイン(部屋番号)です。ドメインの本体(住所)は、後ろの amalfisa.com です。アマルフィ? イタリアの都市でしょうか。Evernoteが公式のログインページに、全く関係のない単語のドメインを使うことはありません。
- 【日本語の誤字:「かけされる」】「ご利用のアカウントに制限がかけされる恐れがございます」「かけられる(受動態)」と言いたかったのでしょうが、**「かけされる」**になっています。「課される」と混ざったのか、単なるタイプミスか。いずれにせよ、正規の企業のテンプレートメールで、このような文法ミスが起きることはまずありません。
- 【送信元偽装(Spoofing)】送信元アドレス:ohjl@account.evernote.com表示上はEvernoteの正規サブドメインに見えますが、ユーザー名 ohjl が無意味な乱数です。これもヘッダーを改ざんしたなりすましです。
【ひと目でわかるサマリーBOX】
| 項目 | 内容 | |
| :— | :— | |
| 危険度 | ★★★★★(非常に危険・偽サイト誘導) |
| 【手口】カテゴリー | 不正アクセス警告(無断アクセス)
サブドメイン詐欺(evernote-login.xxx)
誤字(かけされる) |
| 【なりすまし先】 | Evernote |
| 見抜くポイント | ①URLの末尾が amalfisa.com(無関係なドメイン)
②「制限がかけされる」という不自然な日本語
③送信元のユーザー名が ohjl(乱数) |
| 主なターゲット | Evernote利用者 |
【フィッシー団長の悪巧み】
フッフッフ…団長のフィッシーだ。
意識高い系のビジネスマンは、みんなEvernoteに大事なメモを入れてるだろ?
「無断でアクセスされた」って脅せば、情報流出を恐れてすぐに確認するはずだ。
URLは evernote-login を先頭につけたから、パッと見は本物だろ?
本体のドメインが amalfisa だろうが関係ない!
…おっと、「制限がかけられる」を「かけされる」って打っちまったか?
まあいい、焦ってる人間は「さ」と「ら」の違いなんて気づかないさ!ガッハッハ!
【探偵たちの捜査会議】
🐰ペコン:
「うわあああ!先輩!Evernoteが大変です!
『無断でアクセスされた可能性がある』って!
僕のマル秘ポエム集が見られちゃったかも!?
早く確認しないと『制限がかけされる』そうです!
かけされる!?
なんか新しい刑罰ですか!?」
🐱カワミ:
「ペコン君、ポエムの心配よりセキュリティだニャ! そのメールは偽物だニャ!
証拠①:イタリアの風?
URLの尻尾を見るニャ。『https://www.google.com/url?sa=E&source=gmail&q=amalfisa.com』。
Evernoteは緑の象さんが目印の会社だニャ。
アマルフィなんておしゃれなドメインは使わないニャン!
証拠②:かけされるの謎
『制限がかけされる』。
日本語としておかしいニャ。
『かけられる』の入力ミスか、変な翻訳ソフトを使った結果だニャ。
天下のIT企業がこんな恥ずかしいミスをするわけないニャン!
証拠③:ユーザー名の適当さ
送信元の ohjl って何だニャ?
『Oh, Junior League?』の略かニャ?
公式のお知らせなら no-reply とか security を使うはずだニャン!」
🐶みぬ犬:
「その通りだ!完璧な推理だ、カワミ君!
犯人はな、**「不正アクセス検知」というもっともらしい理由でログインさせようとしているが、「サブドメイン詐欺」と「日本語の綻び」で正体が露呈している!
だが、「住所や署名が本物っぽい(WeWorkの住所)」**点には注意が必要だ!
鉄則を忘れるな!
『URLの中に本物のサービス名(Evernote)があっても、ドメインの末尾が違えば詐欺!』
『“かけされる”のような、たった一文字の違和感を見逃すな!』
こんな誤字だらけのなりすましメール、自信を持ってゴミ箱にシュートだぜ!」
【みぬ犬の総括】
Evernoteは実際に「不審なアクティビティ」を検知するとメールを送ってくることがあるが、その場合のリンク先は必ず evernote.com ドメインだ。
また、Evernoteのセキュリティ機能は優秀で、本当に不正ログインされた場合は「パスワードを変更してください」と具体的に指示されることが多く、漠然と「確認してください」とリンクを踏ませることは少ない。
【この事件から学べる防衛術】
教訓:Evernoteのログインは、象のマーク(公式サイト)から。
今すぐできる対策:
✅ URLの「本体」チェック:
evernote-login.amalfisa.com。左側の evernote に騙されず、右側の amalfisa.com を見てください。ここが evernote.com でなければ詐欺です。
✅ 誤字脱字チェック:
「かけされる」「利用いただき(を、がない)」など、詐欺メールには必ずと言っていいほど日本語のミスがあります。
✅ 2段階認証の活用:
Evernoteには「2段階認証(Google Authenticatorなど)」を設定できます。これをオンにしておけば、万が一パスワードが漏れても、不正ログインされる心配は激減します。メールに慌てる必要もなくなります。
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。
コメント