結論から言うと、このメールは本物でした。ただし、身に覚えがないものなので、何もせずに無視が正解です。

フィッシングメールか?

Facebookパスワードのリセットがリクエストされました。
以下のパスワードリセットコードを入力してください。

という、いかにも怪しげなメールが届きました。

なんだか怪しいですよね。差出人のメールアドレスのドメインが「facebook.com」じゃなくて「facebookmail.com」ですし。スパマが本物と似たドメインを取得したように見えます。

「パスワードを変更」のボタンや「お知らせください」のテキストリンクをクリックするとフィッシングサイトに誘導っていうところでしょう。

実は本物

リンク先は本物みたい

そう思ったのですけど、そのボタンやテキストリンクにマウスカーソルを持っていって飛び先として表示されるドメインは「facebook.com」です。第三者のサイトではなさそうです。

メールのソースコードを開いてヘッダを眺めてみたのですけど、これも怪しいところは見当たりません。

ドメイン登録情報をチェック

whoisをチェックしてみました。ただ、オンラインツールだと出てくる情報が少なくて、判断できません。そこで、レンタルサーバ(エックスサーバー)にログインして、コンソールでwhoisコマンドを実行してfacebookmail.comの登録情報を見てみます。

$ whois facebookmail.com
[Querying whois.verisign-grs.com]
[Redirected to whois.registrarsafe.com]
[Querying whois.registrarsafe.com]
[whois.registrarsafe.com]
Domain Name: FACEBOOKMAIL.COM
Registry Domain ID: 325005023_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrarsafe.com
Registrar URL: https://www.registrarsafe.com
Updated Date: 2022-01-26T16:04:37Z
Creation Date: 2006-01-23T21:38:17Z
Registrar Registration Expiration Date: 2031-01-23T21:38:17Z
Registrar: RegistrarSafe, LLC
Registrar IANA ID: 3237
Registrar Abuse Contact Email: abusecomplaints@registrarsafe.com
Registrar Abuse Contact Phone: +1.6503087004
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Domain Status: clientDeleteProhibited https://www.icann.org/epp#clientDeleteProhibited
Domain Status: serverDeleteProhibited https://www.icann.org/epp#serverDeleteProhibited
Domain Status: serverTransferProhibited https://www.icann.org/epp#serverTransferProhibited
Domain Status: clientUpdateProhibited https://www.icann.org/epp#clientUpdateProhibited
Domain Status: serverUpdateProhibited https://www.icann.org/epp#serverUpdateProhibited
Registry Registrant ID:
Registrant Name: Domain Admin
Registrant Organization: Meta Platforms, Inc.
Registrant Street: 1601 Willow Rd
Registrant City: Menlo Park
Registrant State/Province: CA
Registrant Postal Code: 94025
Registrant Country: US
Registrant Phone: +1.6505434800
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: domain@fb.com
Registry Admin ID:
Admin Name: Domain Admin
Admin Organization: Meta Platforms, Inc.
Admin Street: 1601 Willow Rd
Admin City: Menlo Park
Admin State/Province: CA
Admin Postal Code: 94025
Admin Country: US
Admin Phone: +1.6505434800
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: domain@fb.com

これだと上のようにたくさんの情報が得れました。長いので途中でまでです。注目すべきがこれ。

Registrant Organization: Meta Platforms, Inc.

登録組織はMeta Platforms, Inc.になっています。これ、本物ですよね。

念のため住所の「1601 Willow Rd」も検索してみました。

「フェイスブックHQ(Meta Headquarters)」とありますね。やはり、本物のようです。

つまり、今回送られてきたアカウントリカバリコードのメールは本物だということになります。これは、多分、「パスワードを忘れた」とかの処理(リクエスト)をやったっていうことでしょう。ですが、私はそんなことはやっていません。つまり、誰か第三者がそれを行ったことになります。

もっと言えば、悪意のある第三者がアカウントを乗っ取るためにアクションを起こしたってことでしょう。その後の流れはわかりませんけど、このリカバリコードを然るべきところに入力するとパスワードをリセットできるはずで、その隙きをついてアカウト乗っ取りを行おうっていうところでしょうか?

ですので、それをやっては逆にまずいことになりそうです。ですので、これは放置が無難だと思います。

公式ヘルプにも情報がもあった

もうちょっと調べてみまたら、公式のヘルプに関連項目がありました。

まず、「fecebookmail.com」ドメインはやはり本物だということがわかりました。

それから、身に覚えのないパスワードリセットのメールは何もしなくて良いとありました。

先ほどメールのテキストリンクの方は「新しいパスワードをリクエストしていない場合は、お知らせください。」は押したほうがいいみたいですね。スパムの報告にもなりそうなので、やってみます。

これで、今回の攻撃者のパスワードリセット要求は無効にされたのだろうと思います。

まとめ

こういうパスワード変更とか、なにかに登録するようにとかのメールが来ると、まずはフィッシングだろうと疑うのですが、今回はそうではなかったようです。

でも、おそらくはアタックの脅威にさらされたのだろうとも思います。心配ではありますが、アタックそのものをできないようにすることは不可能なので、破られにくいパスワードを付けたり、二要素認証を使って自衛するしかないですね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)