参院選が公示された2013年7月4日以降、参院選支持政党のアンケートを装ったメールとサイトが報告されているようです。
トレンドマイクロのBlogもこの件について次の報告しています。
報告している方も多数いらっしゃいますね。Twitter上でも見かけました。
- あの手この手の迷惑メール:2013参院選緊急ネットアンケートのお願い - LugiaBrastの雑記帳
- 怪しいアンケートメールに気をつけましょう | ヤッタネ!55の2013年07月05日の3番目の記事 - 楽天ブログ(Blog)
- 怪しいアンケートメールに気をつけましょう:行き当たりばったりFX:So-netブログ
- 選挙に乗じた怪しいメールが来るので注意! | ITをビジネスに活用するヒント 足立明穂
- 注意喚起「2013参院選緊急ネットアンケートのお願い」という迷惑メール: アニメ紳士の日記
私にはメールは来ていませんが、上で報告されている内容を見ると次のようなメッセージが届くようです。アンケートサイトのクエリ部が異なるパターンがあるようです。
2013参院選緊急ネットアンケートのお願い
「国民の手に憲法を取り戻す」という大義名分のもとに何としても改憲を進めたい首相。
バブル崩壊後の失われた20年。将来にツケを回す財政赤字の累積と年金財政の逼迫で将来に希望を見出せない若い世代。
隣国の核・ミサイル開発や尖閣周辺の外国船にどう対処するのか?
今こそ有権者の見識が問われている事を肝に銘じなければなりません。
本当の民意とは?をテーマにアンケート調査を実施しております。是非ともご協力ください。
xxxx://politics.jezeim.com/anknet_0704/?rf=DMご協力いただけた方の中から抽選で100名様に『現金10万円』『Kindle Paperwhite』『Amazonギフト券』等、素敵な商品をプレゼントいたしております。
2013参院選緊急ネットアンケート事務局
(C)アンケートnet
【配信停止】━━━━━
本メールは利用規約に同意のうえ、ご登録・ご利用されているお客様に対し配信させて頂いております。
登録した覚えのない場合は大変お手数ではございますが下記アドレスに空メールを送信してください。すみやかにリストから削除して今後メールを送られないよう致します。
kyohi @ stopmail.info
━━━━━━━━━━━
(追記)2013年7月14日
参院選アンケートの別パターン(politics.prfl.net/anknet_0709/?rf=DM)が新しく確認されているようです。下記サイトで報告されています。
2013参院選に関するアンケートのお願い
アベノミクスによって景気が回復しつつあるなか、消費税の引き上げ、隣国からの軍事的脅威、原発問題、憲法改正等、議論するべき事が山積です。
結果如何で国の行く末が決まると言っても過言ではない此度の選挙。
本当の民意とは?をテーマに皆様にアンケート調査をお願いしております。是非ともご協力ください。
http://politics.prfl.net/anknet_0709/?rf=DMご協力いただけた方の中から抽選で100名様に『現金10万円』『Kindle Paperwhite』『Amazonギフト券』等、素敵な商品をプレゼントいたしております。
2013参院選ネットアンケート事務局
(C)アンケートnet【配信停止】━━━━━
本メールは利用規約に同意のうえ、ご登録・ご利用されているお客様に対し配信させて頂いております。
登録した覚えのない場合は大変お手数ではございますが下記アドレスに空メールを送信してください。すみやかにリストから削除して今後メールを送られないよう致します。
kyohi @ no-send.info
━━━━━━━━━━━
スキャナーをかけてみる
メールの内容から偽アンケートサイトは「politics.jezeim.com/anknet_0704/」ということは明らかなのでこのURLをスキャナーにかけてみました。
- Virustotal 0/38(2013-07-06 00:19:08 UTC)
- URL Query Report
- Aguse サイト politics.jezeim.com/anknet_0704/ の調査結果
- Symantec Norton Safe Web Report (未評価)
- Gred gredでチェック(このサイトは安全です。)
- TrendMicro Site Safety Center (危険)
- McAfee SiteAdvisor (これは不審なリンクです。)
サーバーはフィリピンのIPアドレスを指していますが、ドメインは国内の業者使って登録しています。登録日も2013年6月17日に取得しているので半月前から準備していたのでしょう。配信停止先に指定されていた「stopmail.info」も同日に取得されていたドメインでした。
スキャナーの結果を見る限りこのサイトから別ドメインへの接続は行われないようです。そのせいか安全と判定しているスキャナーもありますね。サーバー側で振り分けをしていない限りは、誤ってアクセスしてしまった人がExploitKit等の悪性サイトへ飛ばされることはないようです。(Virustotalの反応が今一だったりGredが安全と判断したのはそれが理由だと考えられます。)
Tor経由でアクセスしてみる
先のAguseの結果を見る限りサーバー上のコンテンツは存在したままということは確かで、クエリについている識別情報でアクセス管理しているのかとも考えましたがメールの文例を見ると識別情報らしきものが付いていないのも多数でした。IPではじいている可能性を疑ってTor経由でアクセスしてみたところ、案の定表示されました。
(追記)2013年7月14日
別パターンも確認されているようです。URLから7月9日頃に準備されたものと考えられます。トップページだけ別のもので、個人情報を入力させるページは7月4日のものと変わりありません。
個人情報入力画面は前の画面で選択した支持政党の他、次の項目の入力が要求されます。
画面下部には偽のプライバシーマーク・ベリサインシールが表示されています。使われている画像は古いシールなのでシールマニアな人が見ればすぐに分かりますね。Pマークも古いものが使われたままでした。(nilnilさんありがとうございます。)
アンケートページのソース見るとコメントアウトされた文字列に「衆議院選」や「国民の生活が第一」もあるので2012年の衆議院選でも同様に使われていたかもしれません。
調べてみると2012年12月の衆院選の頃も似たようなメールが飛んでいたようです。
メールの内容も似ていますね。この時の反応が今一だったせいか、今回はKindleに加えて、現金10万円とAmazonギフト券が追加されたのでしょうか。
2012衆院選緊急ネットアンケートのお願い
- -
先の見えない日本経済、尖閣・竹島を巡る外交問題、破綻寸前の年金問題、原発は維持か廃止か、乱立政党そして第3極は?大混乱の衆院選の行方を占うアンケート調査を実施しております。是非ともご協力ください。
xxxx//ycbf.biz/anknet/
ご回答いただいた方の中から、抽選で100名様に『Kindle Paperwhite』をプレゼントいたします!
第46回衆院選直前緊急ネットアンケート第一弾!
これからの日本を任せられる次期首相にふさわしいのは誰だと思いますか?
↓↓回答はコチラ↓↓
xxxx//ycbf.biz/anknet/
第46回衆院選直前緊急ネットアンケート事務局
■このメールは送信専用です。
配信停止は下記アドレスに空メール送信してください
(配信停止には若干お時間をいただく場合がございます。ご了承ください)
kyohi@ycbf.biz
偽アンケートサイトそのものは現在も稼働中です。いつ再開されるかわかりませんし、また似たような手口でメールが送られる可能性もあり、メールを受け取られた方は注意が必要ですね。
もう少し調べてみた。(2013年7月7日追記)
上のサイトのAguseの結果を見ると同じサーバー(122.202.100.236)に対して、複数のドメインが割り当てられていることに注目しました。
次のドメインです。(リンクは全てAguse)
- grea.asia(ドメイン取得日:2012年9月22日)
- xffmpzgmail.com(ドメイン取得日:2013年4月24日)
- uuikhgazti.info(ドメイン取得日:2012年11月30日)
- prfl.net(ドメイン取得日:2012年9月7日)
- maaddgspam.net(ドメイン取得日:2012年11月30日)
- mbgsatumpm.net(ドメイン取得日:2012年11月30日)
これら検索してみると色々と出てきますね。
コメントで過去の掲載内容残すぐらいなので管理も雑だろうと推測し、ドメインは参議院アンケートの「politics.jezeim.com」そのままでディレクトリ、ファイル名だけ過去報告が出ていたものを入力してみると予想通り過去使われていたであろう内容も残されたままでした。
入力する個人情報欄も参議院アンケートと共通です。
一応運営元の情報や利用規約もありますね。規約上は削除も受け付けているようです。
この中で気になるドメインが一つありました。「prfl.net」は大分県のサークルサイトとして使われていたドメインのようで、他のアンケートサイトとは異なる構成です。「contact」にはSNSのアドレスも掲載されており、参照したところSNSのプロフィール欄にもこのサイトのURLが掲載されていました。このサークルが管理しているサーバー(何故フィリピンなのかという疑問はありますが)が乗っ取られた可能性が考えられます。
ただ「diary」に掲載されていた写真、文面が気になりました。全く同じ写真が全く別の方のblogに掲載されており、最初は日記を書いた本人のBlogかとも思いましたが、女性しかいないはずのサークルにも関らず、同じ写真が掲載されていたBlogは男性が書いているようです。またこのBlogの持ち主は2012年3月末で更新停止宣言をしており、以降は今年3月に1回だけ更新されているのみでした。さらにこの方のBlogの日付と「diary」に掲載されていた日付は大きくずれていますね。文面もほとんど一緒であり、もしかすると第三者がこの方のBlogを限りなく参考にしたのでしょうか。
- diaryに掲載されていた画像
- 別の方のBlogに掲載されていた画像
引用元:『KAB56 五十六屋 冠地鶏』 KAB56 五十六屋 冠地鶏|ワシの日記 〜ポジティブログ〜
いくつか疑問に思うところはありながらも偽アンケートサイトとは異なり、サークルの純粋なコンテンツとして作られているように見受けられ、偽アンケートサイトとこのサークルのサイトとの関連は不明です。
*1:何故か18歳から選択可能