【詐欺】OFFICEプロダクトキーが不正コピー迷惑メールの正体 フィッシング注意!
{{{ 2017年3月31日 更新 }}}
Image いらすとや
日本マイクロソフト を名乗って成りすまし 「不正コピーされたプロダクトキーでオフィス製品 Microsoft Office を利用してる」 というウソの警告通知を装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 
件名 ご注意!!OFFICEのプロダクトキーが不正コピーされています。
件名 警告!!ご利用のOFFICEのプロダクトキーが何者かにコピーされています。
差出人 <support@microsoft-securityprotection-support.com>
セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。
攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。
今すぐ認証
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正コピーを防止するための技術で、手続きは、短時間で簡単に実行できます また、この手続きは匿名で行われるので、お客様の個人情報は保護されております。
件名 [大切]マイクロソフトのプロダクトキーが不正コピーされた警告です!
[大切]すぐマイクロソフトのプロダクトキーをご認証ください。さもなくば権限付与が中止されます!
ご利用のオフィスソフトの授権が終了されてしまう恐れがあります!
マイクロソフトセキュリティチームはご利用のオフィスソフトのプロダクトキーが違法コピーされた恐れがあることを発見しています。
攻撃者はご利用のオフィスソフトのプロダクトキーでほかのオフィスソフトを起動する試みをしています。ご本人の操作なのかどうかが確定できないので、お手数ですが、検証作業をしてください。
検証作業をしていただけない場合、ご利用のオフィスソフトのプロダクトキーの授権状態を終了しますので、ご了承ください。
今すぐ認証
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを防止する技術で、手続きは簡単に実行できます。また、この手続きは匿名で行われるので、お客様のプライベートな情報は保護されています。ご安心ください。
- 不自然な表現 「オフィスソフトの授権が終了」「プロダクトキーの授権状態を」
- 企業が送信する重要なメールでは使わないビックリマークがやたら登場!!
日本語の文章がビミョ~に変なので怪しいことに気づけるはずだけど、衝撃的なメッセージで驚かせて心理的に焦らせる内容になってます。 
誘導先は偽マイクロソフトのページ
メール本文中の [今すぐ認証]リンク をポチッとクリックすると、誘導先は Microsoft Office の公式サイトっぽく外観デザインが巧妙に偽装されてる不正なページでした。 
<動揺させる演出かブラウザのダイアログを2回ポップアップ表示する
<動揺させる演出かブラウザのダイアログを2回ポップアップ表示する
不正コピーを断罪する警告ダイアログ
《ブラウザのダイアログ》
セキュリティ警告!!お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。
あなたのOfficeプロダクトキー及び製品包装を他人に漏えいしないでください。直ちに下記の手順で検証を行って、安全で信頼できるpinコードを設定することであなたのOfficeを保護してください。検証をしていただけない場合は、あなたのプロダクトキーが間もなく取り消されることになります。Officeに新しいプロダクトキーを改めて購入しなければなりませんので、ご注意ください。
《ページの内容》
ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします
[今すぐ認証]
このページの [今すぐ認証]リンク をポチッとクリックすると メールアドレスとパスワード の入力欄が用意された偽サインインページへ移動します。 
マイクロソフトアカウント 偽サインインページ
Microsoftアカウント を盗みとることが目的の フィッシングサイト でした。
・ マイクロソフトをかたるフィッシング (2017/01/12) フィッシング対策協議会
https://www.antiphishing.jp/news/alert/microsoft_20170112.html
https://www.antiphishing.jp/news/alert/microsoft_20170112.html
・ マイクロソフトを装った不審メールの配信について | News Center Japan
http://news.microsoft.com/ja-jp/2017/01/12/
http://news.microsoft.com/ja-jp/2017/01/12/
個人情報やクレカ情報まで
ちなみに、その先の画面も実は存在し、氏名&住所&電話番号とクレジットカード情報の入力欄が用意されていて全部ブッコ抜くという。 
<PINコード?
<PINコード?
PINコードを用いてOfficeを守ります!?
PINコードを用いてOfficeを守ります
PINコードと本パソコンのOffice認証コードを併用することで、万が一Office認証コードが故障し、または紛失した場合、PINコードで修復可能です。
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正コピーを防止するための技術で、手続きは、短時間で簡単に実行できますまた、この手続きは匿名で行われるので、お客様の個人情報は保護されております。
詳しいお客様情報の追加
アカウント認証のため、さらに多くの情報が必要です。
お支払い情報の追加
Microsoft では、お客様のプライバシー保護に努めております。詳細については、プライバシーとクッキーをお読みください。
Q. ウイルスに感染しますか?
いいえ。仮にフィッシングサイトにアクセスしてもウイルス感染する場面は存在しないので大丈夫♪
あなたの意思でアカウント情報を送信しない限り何ら危険性はありません。 
フィッシングサイトのURLアドレス
フィッシングサイトのURLアドレスは異様に長い文字列で、正規マイクロソフトのドメイン名 microsoft.com ではありません。 
<見分け方はURLアドレスで
<見分け方はURLアドレスで【フィッシングサイトのURL例】
http://microsoft-securityprotection-support[.]com/
→ http://microsoft-securityprotection-support[.]com/verify.html
http://support-securityprotection-microsoft[.]com/
→ http://support-securityprotection-microsoft[.]com/verify.html
http://warning-securityprotection-microsoft[.]com/
http://dns8u[.]com/
↓
http://warning-securityteam-microsoft[.]com/
http://warning-securityteam-microsoft[.]com/verify.html
サーバーの地理的位置は海外のロシアやアメリカでした。
> www.virustotal.com/ja/ip-address/5.63.154.184/information/ ロシア
> www.virustotal.com/ja/ip-address/104.27.161.63/information/ アメリカ
> www.virustotal.com/ja/ip-address/205.251.129.23/information/
> www.virustotal.com/ja/ip-address/104.27.161.63/information/ アメリカ
> www.virustotal.com/ja/ip-address/205.251.129.23/information/
■ ドメイン保有者はロシア人???
ドメイン保有者のWHOIS情報を調べてみると、デタラメの可能性だろうけど中国上海のロシア人が取得してることになってます。
Registrant Name: Lev Aleksandr
Registrant Street: Shankhai-roud 1 d
Registrant City: Shankhai ploshchad
Registrant State/Province: ShankhShankhai
Registrant Postal Code: 120000
Registrant Country: CN
Registrant Email: rippertheworld@gmail.com
もうひとつは日本で名古屋のロシア人? 
Registrant Name: Sidorov Petrovich/
Registrant Street: KUSUMURA Company 79-3Chaomei, syumoku-Chao
Registrant City: Higasi-Ku
Registrant State/Province: Nagoya-Shi
Registrant Postal Code: 4610014
Registrant Country: JP
Registrant Email: syas33_wawa@mail.ru
攻撃者はお隣の大陸?
フィッシングサイトのHTMLソースを確認してみると、最後尾に中国で正規に提供されてる アクセス解析サービスのコード が確認できました。 
中国のアクセス解析サービスのコードが
また、中国の Baidu.com 内のQ&Aサイトに、2012年の投稿で「日本の住所を英語に翻訳して」という質問があり、ドメイン保有者の所在地として無関係な名古屋の住所が悪用されてるようです。 
回答に記載されてる英語の住所を悪用?
コメント