ひいろのゲーム帳

かんぱにガールズやコズミックブレイク、艦これ等を中心としたオンラインゲーム関連全般

NexonのTree of Saviorというゲームの詐欺メールを受信しました。

   

2016年11月23日に普段他ブログ用のメールアドレスに何やら見慣れないメールが届きました。
ThunderBirdというメールソフトで受信したら見事に「Spamかもね♪」と注意付です。

「Tree of Savior」というNexon製のオンラインゲーム用アカウントのパスワードが変更されたとか。
「いや、そんなゲームプレイしてないしNexonのアカウント自体持ってないし」という事で如何わしいメールのようなので以前のように少々調べてみます。

メール本文

送られて来たメールの本文は、以下の通り。

————– ここから —————

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
ご登録パスワードの変更完了のお知らせ
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

このメールは登録パスワードを変更された方へのメールです。

===============================================
確認のためにメールを送信しています。
お客さまご自身で変更した場合は、このメールを無視しても問題ありません。

お客さまご自身で変更していない場合は盗用の可能性がございます。
至急以下のURLをクリックしてください。
(PC?スマートフォンからご利用ください。)

https://www.nexon.co.jp/mypage/?utm_medium=mail&utm_source=l-alert-ip-normal

※このメールアドレスに返信頂きましても、ご返答はできませんので、
お問い合わせはNEXONヘルプのサポートフォームよりお願い申し上げます。
URL : https://www.nexon.co.jp/mypage/login-record/

—————————————————————
無料ゲームやRPG?友達を探すなら!
URL : https://www.nexon.co.jp/

————- ここまで —————-

パッと見は、普通のパスワード変更確認メールのようです。以前送られて来た他の詐欺メールのように怪しい日本語では、なくこのゲームをプレイしている人であるなら「あれ?パスワード変更したっけ?」と、1/1000人位の確率でリンクをクリックしてしまいそうな気もします。

ですがそのリンクの飛び先を見ると「あれ???」と思います。

当然上のURLの部分(メール本文赤文字)は、全部リンクとして来るのですがその中身は、「http://www.nexon-tos.com/」となっています。

ちなみに正しいNexonのURLは、「http://www.nexon.co.jp」で「Tree of Savior」というゲームのURLは、「http://tos.nexon.co.jp/」です。

co.jpがcomになっている時点でおかしい気がします。

ドメイン検索

以前と同じようにドメイン検索すると

Domain Name: NEXON-TOS.COM
Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
Sponsoring Registrar IANA ID: 420
Whois Server: grs-whois.hichina.com
Referral URL: http://www.net.cn
Name Server: DNS10.HICHINA.COM
Name Server: DNS9.HICHINA.COM
Status: ok https://icann.org/epp#ok
Updated Date: 22-nov-2016
Creation Date: 22-nov-2016
Expiration Date: 22-nov-2017

と、なっておりどうやらいつもの中国サイトのようです。しかも、なんと作成日は、2016年11月22日です。あれ?おとといやん。
どうりでgoogleで普通に検索しても出てこないわけです。

残念ながらこの「HICHINA ZHICHENG TECHNOLOGY LTD.」という企業は、ただのドメイン販売かレンタルサーバー企業のようでここを突っついても意味は、ないようです。
登録者の名前欄を見てもこのドメイン販売企業の担当者名しかわかりません。そう、顧客の個人情報は、厳重に保護されているのです。たとえ詐欺師の疑いがあってもです。素敵♪

Nexonの対応

「Tree of Savior」というゲームのサイトには、11月18日の日付で「【重要】ネクソンを装ったフィッシングメールにご注意ください」という注意書きが掲載されています。それを読むと21日の段階では、「login.nexon.co.jp.**********.usa.cc」という形のURLが用意されていたようです。

当方に送られて来たメールと異なるメールなのでしょうか?いくつかパターンがあるのかもしれませんがまぁ、年末年始に向けてこの手の人々もかき入れ時なのでしょうね。

にゃは

とりあえずこのメールの効能は、本物そっくりの疑似サイトに転送されてIDやパスワードの入力を求められるので入力するとそこでメデタクidとパスワード等を取得されるという良くあるパターンのようです。入力完了後は、本物の「faq.nexon.co.jp」にリダイレクトされて完了したかのような流れのようです。
やりますね。

最後に

以前は、ドラゴンクエストやSquare-Enix向けの謎な日本語のメール内容でしたが今回は、普通の日本語で完成度が高まっています。

うっかり身に覚えのある人等のところに送られたら何気なくクリックして処理を進めてしまうようなきもしますので以外に難易度が上がって来た気がします。

 - セキュリティ ,