最近やたらと Microsoft を騙った SPAM メールが送られてきます。一見、Outlook の更新をお知らせするメールに見えるのですが、HTML コンテンツとして読んだときにとんでもない罠が隠されています。

仕事はともかく、個人としては HTML メール自体を読むのがあまり好きではありません。そんなわけで、メーラーもテキストで読むようになっているのですが、

  • Microsoft Outlook Critical Update
  • Critial Update for Microsoft Outlook

どちらかの Subject で、Microsoft のメールがぽつぽつと送られてくるようになりました。そもそも、この件名からして、異臭を放っているわけですが。

内容は Microsoft Outlook / Outlook Express 用の重要な更新プログラムがリリースされたから、ダウンロードしろ、URL はこちら、という感じです。

テキストの状態で、このメールを開くと

SPAM: Microsoft Outlook Critial Update

URL は http://update.microsoft.com/….. となっていて、Microsoft の URL ですね、それが何か? という感じですが、

  • Microsoft からメールでアップデートのお知らせが個別に来ることはない
  • KB910721 というのは Exchange Server 2003 というサーバ製品の Knowledge Base であって、Outlook / Outlook Express といったクライアント製品のものではない

危険なのはここからで、HTML でこのメールを読んでしまった場合、このようになります。

SPAM: Microsoft Outlook Critial Update

http://update.microsoft.com/ じゃない? という気がしますが、リンク先はhttp://update.microsoft.example.com/ (example 部分は毎回少しずつ異なるドメイン名) になっていて、Microsoft と縁もゆかりもないところに飛ばされたあげく、マルウェアをダウンロードさせられます。example 部分のドメイン名も、名前的に「踏んだお前が悪いのよ」的なある言葉になっていました。

試しに、メールが送られてきているドメイン名を調べてみましたが、片方は LACNIC1 で、ドメイン所有者の住所はメキシコになっていました。片方は、またまったく違うエリアでした。

さて問題です。

以下の URL はどこにジャンプすると思いますか。

http://update.microsoft.com/

怪しいメールが来たら、読まずに削除するのが吉ですが、問題なさそうに見えても、マウスオーバーしてみて、テキスト表示されている URL と Web ブラウザ下部のアドレスバーに表示される URL がわざと別物になっていないか確認するべきでしょう。


  1. Latin American and Caribbean IP address Regional Registry: ラテンアメリカとカリブ海地域の IP アドレスを管理している組織 []