プログラミング

罠占いアプリの思い出 トラップメールにご用心

記事内に商品プロモーションを含む場合があります

皆さんはトラップメールというものをご存知ですか?

高校時代、トラップメールに引っかかってしまい、好きな人が公開されてしまったkazuproです!

トラップメールとは、めちゃくちゃ当たる姓名占いだよ!などと伝えられて、自分の名前と好きな人の名前を入力すると、伝えてきた人にその情報が通知されるというものです。

たちが悪いことに、騙される側は入力してあたかも普通に占い結果が表示されるだけなので、占ったタイミングでは罠にはまっていることに気づけません。

そのため、知らないうちに好きな人情報がばら撒かれていました。

(手痛い仕返しをしたのは良い思い出です。)

本記事ではトラップメールの仕組みの解説と、引っかからないようにするにはどうすれば良いかを考察します。

トラップメールとは?

トラップメールとは普通は公開しない何らかの情報(好きな人など)を入力させて、その情報を得るというものです。

図にしてみると、まるっきりフィッシング詐欺と同じようなものでは?って感じがしますね。

入力させられた情報が口座番号のような経済的価値があるものだったら、完全にフィッシング詐欺ですね。許せません。

ちなみに好きな人の情報を入力させるために用意された罠サイトは占いサイトでした。

姓名で相性を判定できる占いサイトとはよく考えましたね。

好きな人を入力させるにはもってこいです。

シチュエーションは以下のような感じになります。

攻撃者「よく当たる相性占いのサイトがあるらしいよ。URL送るからやってみなよ。」

被害者「まじか。当たるわけないだろ!」

やってみる → 攻撃者に入力された情報が送られる。

手に入ったら後は好きなように使うわけです。

うーん実質フィッシング詐欺。

トラップメールの仕組み

トラップメールの仕組みは非常に簡単です。

※ただし、今の時代そんなものを作ると訴えられる可能性も往々にしてありますので、作成はしないほうがベターです。

一番簡単なパターン

攻撃者のメールアドレスをURLのGETパラメータとして設定してもらい、

そのURLでアクセスしてきた被害者が情報を入力したら、GETパラメータに設定された攻撃者のメールアドレスに入力された情報を送るというものです。

具体的には以下のようなURLを被害者に送るわけです。

https://www.trapmailyurusanai.com/uranai?m=kougekisha@kougeki.com

被害者が情報を入力したら、「kougekisha@kougeki.com」に対して入力された情報を送信します。

この方法についてはURLを見ることができれば、明らかにメールアドレスが書いてあるので、なんか怪しいなと思うことができます。

なお、かなり昔の話なのでこんなガバガバなサイトが沢山ありました。

今の時代こんなサイトを作ったら晒されてしまいそうです。

少し凝ったパターン

URLにメールアドレスが入っていたら怪しさ満点ですよね。

そこで、攻撃者が罠サイトにメールアドレスなどの情報を登録しておき、URLにはトークンなどの一見すると意味を持たなさそうなものを設定するパターンがあります。

攻撃者が被害者に送るURLは以下のような感じになります。

https://www.trapmailyurusanai.com/uranai?t=f38hdfasj3

このURLであれば、普通の人なら何も怪しく感じないでしょう。

ITをかじっている人からすると、このパラメータはなんだろう?となるかもしれませんが。。

※意外なことにITを仕事にしている人でも疎い人は気づかない。どうなっているんだ日本。

これにより、被害者が情報を入力したら、URLのトークンから登録されている攻撃者のメールアドレスを検索して、攻撃者にメールが送信されます。

トラップメールに引っかからないようにするには

ネットリテラシーを身につけることが大切ですが、結構難しいこと言っていますよね。

トラップメールは、ほとんどフィッシング詐欺です。なのでフィッシング詐欺の対策を見ると「SSL化されているか確認しよう」「URLが偽装されていない確認しよう」など記載されています。

これは普通の人絶対にわからない。。。

普段仕事でプログラミングをしているような人でも怪しいことが、エンジニア以外の人が分かる可能性はかなり低い。。。

そこで、とりあえずこれを守っておいたほうが良いという方法をお伝えします。

メールに添付されているURLは開かない

メールに添付されているURLは全て怪しいものだと思いましょう。

そのURLにアクセスする必要があるときは、GoogleChromeやEdge、SafariなどのWebブラウザで検索してアクセスするようにしましょう。

近頃はLineなどで送ってくるパターンもあるようですが、人から送られてきたURLは絶対に開かないようにしましょう。

開かないといけない場合は、「なんて検索すれば出てくる?」と聞くようにしましょう。

送ってしまったら攻撃者を攻撃する

攻撃者からのURLにアクセスして、占いをしてしまった場合、あなたが入力した情報は攻撃者にバレてしまっています。

その場合は、逆に攻撃するしかありません。

例えばその占いを1000回やれば、攻撃者には1000通のメールが届きます。

大量に占いをしてメール爆撃してやりましょう。

また、リアル世界で攻撃するのも手です。

トラップメールで精神を攻撃されたのであれば、物理で返してやりましょう。情報を悪用される前に制裁を加えてしまいましょう。

まとめ

トラップメールの被害にあった当初や、今になって思い返しても本当に腹が立ちますね。

許せません。世の中、信賞必罰です。必ず罰がくだります。

ネットを見ていると今の時代でもトラップメールに引っかかってしまっている方がいるようです。

本当に気の毒です。。

ITリテラシーの教育を義務教育でしっかりやらないといけない時代が来ている気がします。

この記事がトラップメールの被害者を減らすことができれば、それほど嬉しいことはありません。

トラップメール自体は簡単に作れてしまうので、作成者の倫理感によって生み出されてしまいます。

もしかして道徳の成績も入試に必要説?