AppStoreの領収書を模したフィッシングメールにお気をつけください

AppStoreから見慣れないアプリの領収書メールが届いた。

「ん？買った記憶ないなぁ。。。」

まずアプリを調べてみると、高機能な動画撮影アプリのようだ。

Filmic Pro v7 - Filmic Pro Mobile Video - Smartphone Filmmaking

「へー、凄そうだなぁ」

しかし値段がちょっと違う。領収書では11,800円、アプリストアでは1,800円だ。

もう一度メールを見てみる。

「あれ?なんかおかしいぞ。もしや...」

ちゃんと支払ってる領収書メールと比べると、上記のような違いがあった。

・ 本物は住所が記載されているが、このメールはない
・本物は「領収書」という文字列に問題ないが、このメールでは空白が混ってる
・本物では「書類番号」と書いてあるのに、このメールは「ドキュメントいいえ。」(?)
・本物にはApplePayの紹介リンクがのっているが、このメールは「購入を大名う気がしない場合(?)」というキャンセレーションっぽいリンクがある
・本物は普通に違和感ない日本語だが、このメールはなんか日本語がおかしい

メールのローデータを見てみた

メールをテキストエディタで開いてヘッダを確認してみた。

今回のメールのヘッダ部分(From以下)

From: "AppIe" <noreply+ced9823d5bab2729@formstack.com>
Return-Path: noreply+ced9823d5bab2729@formstack.com
To: xxxx@xxxxx.jp
Subject: =?UTF-8?Q?=E9=A0=98=E5=8F=8E_=E6=9B=B8_?=
Reply-To: no_reply@appleid.apple.com
Content-Type: multipart/alternative;
boundary="=_c48ea903c574c11acf81ec7b9e92c0eb"
Message-ID: <RsV2Oy2vTYKGJFSBPZ5BzQ@ismtpd0004p1iad2.sendgrid.net>
Date: Sun, 10 May 2020 22:39:00 +0000 (UTC)
X-SG-EID: S2mL68qLzmlg7xDmHdbL50pz2TFjUbp3v6GjXRn3vdJFVwA1toHjkGhKejZ0BetB2jK95RXnrl20AK
41i296rSVV5ARJAedxUHiVTap0wRxTi950rVPDFVstbQ1Fr/OP/VO95zkJSdaJ1j8y4p4pzoCWGvP4
FWIcVbPBCE5T6oWsvJVfAnyKKNhNUb2VCOPuyrmcT/FM/NOhp238pWfQHEU3ZV0OeioVADn1vY/cwh
Q=
X-SG-ID: v8Co1FS4MQsqDN39Ii/e+h2M2qNVZQfdsi9LJQPXcT8jLi17B+Df4ByqrrNXuSHGroHF9MZSsvR8c+
6zVVkQZN5VaSElZHPzZtHwT2YAmlEhOs6GyhaCQms18JsFTJDhI4OuwtjyNcRqvfuOusaFSr3R7kE/
FcbCMStAdUfO309phu1RaYWnghyUWURgSmxIJD0a1nzfKEhzQQEIuIBvciKuZZATfluZPsH+GDRHJR
kXdd2NhxzI+wcg4x0XzOiovTw6dKwHp7ydHAQAby8l4o9zuro5kYmrLZbWsJ4LrGhGbjJrNHTXWLQv
PgSomcflrW34QIIl7xkyX7QxXCQqyA==
--=_c48ea903c574c11acf81ec7b9e92c0eb
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8

一方、以下が本物のメールのヘッダだ。

本物のヘッダ部分(From以下)

From: Apple <no_reply@email.apple.com>
To: xxxx@xxxxx.jp
Message-ID: <1676545078.60435651.1589069575853@email.apple.com>
Subject: =?UTF-8?B?QXBwbGUg44GL44KJ44Gu6aCY5Y+O5pu444Gn44GZ?=
MIME-Version: 1.0
Content-Type: multipart/alternative; 
	boundary="----=_Part_60435649_253461334.1589069575853"
X-EmailType-Id: 959716
X-Sent-To: xxxx@xxxxx.jp,2,rLorC9o2VY0gWjUf%2BJyMnEEFM%2FwZlPxjiV9Akq29vLRkyXJUnAIbeIpFUZKopOOYxn%2FAhYmapYLKswVqgDv0Tkb%2BG9PlHYkp7u70Mm0RBZAJwwAgSC7%2FEgn00gWCCwf2tsr4ph9cXRpAJP%2Bin80o8JqPYAfhdhbgtPKwcg7o7XmZ%2B6S4e6m61FPS1W8Uf5h6yVPA9VAJwk3hHP6lYH8%2BtRqT6KTrigq4TabxEb9LyQ1X915DSB2Pf4t64Ib48O09%2BQYFnEbdpk3uGPxxGiWrMvjMw1jJ7Iq68Zwsf5IegJ1GlpwCYL07OTVWifAOQY7ocvWdQHubhuFWMzMc08Mn3KPSE4wckOfO7eOzHFyX96s%2BYtHIOvQbJW5J3eZHwEk3JRAVnWr3t1CLi%2BNF370PBJwba%2FXzOXDnxBtNoz9cDleIRCLk4rlJZV%2BtdyLvkTU7
X-COMMS-C: false
X-Attach-Flag: N
X-Business-Group: iTunes
X-TXN_ID: C2FA4D2E-3782-4898-95FA-1B41B1A39D24
X-DKIM_SIGN_REQUIRED: YES
------=_Part_60435649_253461334.1589069575853
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: QUOTED-PRINTABLE
Content-Disposition: inline

本物のFromは no_reply@email.apple.comだが、
今回のメールはnoreply+ced9823d5bab2729@formstack.com

ダウト！！、これフィッシングですね。

「ドキュメントいいえ。」って、考えてみると「Document No」を自動翻訳して「ドキュメントいいえ。」になったのでは？？(爆笑)

一見、それっぽいメールなので間違えてしまいそうです。

是非みなさんは間違えないでくださいね。

最後に比較写真を再度掲載しておきます。