サイノア結論から言うと、このメールは本物でした。ただし、身に覚えがないものなので、何もせずに無視が正解です。
フィッシングメールか?
Facebookパスワードのリセットがリクエストされました。
以下のパスワードリセットコードを入力してください。
という、いかにも怪しげなメールが届きました。
なんだか怪しいですよね。差出人のメールアドレスのドメインが「facebook.com」じゃなくて「facebookmail.com」ですし。スパマが本物と似たドメインを取得したように見えます。
「パスワードを変更」のボタンや「お知らせください」のテキストリンクをクリックするとフィッシングサイトに誘導っていうところでしょう。
実は本物
リンク先は本物みたい
そう思ったのですけど、そのボタンやテキストリンクにマウスカーソルを持っていって飛び先として表示されるドメインは「facebook.com」です。第三者のサイトではなさそうです。
メールのソースコードを開いてヘッダを眺めてみたのですけど、これも怪しいところは見当たりません。
ドメイン登録情報をチェック
whoisをチェックしてみました。ただ、オンラインツールだと出てくる情報が少なくて、判断できません。そこで、レンタルサーバ(エックスサーバー)にログインして、コンソールでwhoisコマンドを実行してfacebookmail.comの登録情報を見てみます。
$ whois facebookmail.com [Querying whois.verisign-grs.com] [Redirected to whois.registrarsafe.com] [Querying whois.registrarsafe.com] [whois.registrarsafe.com] Domain Name: FACEBOOKMAIL.COM Registry Domain ID: 325005023_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.registrarsafe.com Registrar URL: https://www.registrarsafe.com Updated Date: 2022-01-26T16:04:37Z Creation Date: 2006-01-23T21:38:17Z Registrar Registration Expiration Date: 2031-01-23T21:38:17Z Registrar: RegistrarSafe, LLC Registrar IANA ID: 3237 Registrar Abuse Contact Email: abusecomplaints@registrarsafe.com Registrar Abuse Contact Phone: +1.6503087004 Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Domain Status: clientDeleteProhibited https://www.icann.org/epp#clientDeleteProhibited Domain Status: serverDeleteProhibited https://www.icann.org/epp#serverDeleteProhibited Domain Status: serverTransferProhibited https://www.icann.org/epp#serverTransferProhibited Domain Status: clientUpdateProhibited https://www.icann.org/epp#clientUpdateProhibited Domain Status: serverUpdateProhibited https://www.icann.org/epp#serverUpdateProhibited Registry Registrant ID: Registrant Name: Domain Admin Registrant Organization: Meta Platforms, Inc. Registrant Street: 1601 Willow Rd Registrant City: Menlo Park Registrant State/Province: CA Registrant Postal Code: 94025 Registrant Country: US Registrant Phone: +1.6505434800 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: domain@fb.com Registry Admin ID: Admin Name: Domain Admin Admin Organization: Meta Platforms, Inc. Admin Street: 1601 Willow Rd Admin City: Menlo Park Admin State/Province: CA Admin Postal Code: 94025 Admin Country: US Admin Phone: +1.6505434800 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: domain@fb.com
これだと上のようにたくさんの情報が得れました。長いので途中でまでです。注目すべきがこれ。
Registrant Organization: Meta Platforms, Inc.
登録組織はMeta Platforms, Inc.になっています。これ、本物ですよね。
念のため住所の「1601 Willow Rd」も検索してみました。
「フェイスブックHQ(Meta Headquarters)」とありますね。やはり、本物のようです。
つまり、今回送られてきたアカウントリカバリコードのメールは本物だということになります。これは、多分、「パスワードを忘れた」とかの処理(リクエスト)をやったっていうことでしょう。ですが、私はそんなことはやっていません。つまり、誰か第三者がそれを行ったことになります。
もっと言えば、悪意のある第三者がアカウントを乗っ取るためにアクションを起こしたってことでしょう。その後の流れはわかりませんけど、このリカバリコードを然るべきところに入力するとパスワードをリセットできるはずで、その隙きをついてアカウト乗っ取りを行おうっていうところでしょうか?
ですので、それをやっては逆にまずいことになりそうです。ですので、これは放置が無難だと思います。
公式ヘルプにも情報がもあった
もうちょっと調べてみまたら、公式のヘルプに関連項目がありました。
まず、「fecebookmail.com」ドメインはやはり本物だということがわかりました。
それから、身に覚えのないパスワードリセットのメールは何もしなくて良いとありました。
先ほどメールのテキストリンクの方は「新しいパスワードをリクエストしていない場合は、お知らせください。」は押したほうがいいみたいですね。スパムの報告にもなりそうなので、やってみます。
これで、今回の攻撃者のパスワードリセット要求は無効にされたのだろうと思います。
まとめ
こういうパスワード変更とか、なにかに登録するようにとかのメールが来ると、まずはフィッシングだろうと疑うのですが、今回はそうではなかったようです。
でも、おそらくはアタックの脅威にさらされたのだろうとも思います。心配ではありますが、アタックそのものをできないようにすることは不可能なので、破られにくいパスワードを付けたり、二要素認証を使って自衛するしかないですね。
