先日、OpenBugBountyというWebサービスからメールを受け取りました。わたしが運営するウェブサイトにセキュリティ上のバグが見つかったという内容でした。このメールについて、いろいろ調べたところ、偽装されたスパムメールであることが判明したので、ご報告します。
OpenBugBounty
受け取ったのは、以下のメールです。
わたしが運営するWebサイトにセキュリティ上の脆弱性が見つかったので、OpenBugBountyのサイトで問題点を確認のうえ修正することをお勧めします、という内容です。
一見すると怪しげですが、OpenBugBountyというWebサービスは実在します。また、メール内に担当者として記載されている人物(リサーチャー / バグを発見するエンジニア)も実在しているようです。
OpenBugBountyとは?
そもそもOpenBugBountyとはどんなサービスでしょうか?
世の中には、他人のウェブサイトのセキュリティーホールを発見することを仕事にしている人たちがいて、こういう人たちは「ホワイトハッカー」と呼ばれたりします。
OpenBugBountyは、こういう仕事人(OpenBugBountyでは「リサーチャー」と呼ばれる)が見つけたセキュリティホールを、当該サイトの運営者に告知する活動をしている非営利団体です。
サイトのバグを発見したリサーチャーはOpenBugBountyに内容を報告します。OpenBugBountyは、リサーチャーから報告があった情報を、メールやTwitterのDMなどでサイト運営者に告知します。
サイト運営者はOpenBugBountyから開示されたメールアドレスを使ってリサーチャーと直接連絡を取り、バグの内容やバグフィックスの方法を教えてもらいます。
セキュリティー上の問題が解決したのち、サイト運営者は、任意に、リサーチャーに対してPayPal等でいくばくかの謝礼(報奨金)を送金します。謝礼は強制ではなく、決まった金額もありませんが、バグを発見してもらったお礼として送金する人が多いようです。
このようにOpenBugBountyは本来はまっとうで有用な面もあるサービスです。
しかしどうも怪しい
ところが、わたしに届いたOpenBugBountyを名乗るメールは、ちょっと様子がおかしいです。
メールに記載されているURLをクリックしても、ページが開かず、404(そのページは存在しません)になってしまいます。
結論から言うと、このメールは、OpenBugBountyや実在するリサーチャーの名前を語った詐欺メールと思われます。以下、そう判断した経緯をご紹介します。
偽装メールと判断した理由
以下の項目をチェックしました。
発信元のメールアドレス
OpenBugBountyのドメインは、
openbugbounty.org
です。
ところが、わたしに来たメールは、これとは似て非なる、
openbugs-bounty.de
というドメインから発信されていました。
もちろん、OpenBugBountyが複数ドメインを運用している可能性はあります。
ですが、openbugs-bountyは、余計なsが入っているし、これがOpenBugBountyの別ドメインとは考えにくいです。
なお、ネットを検索すると、ほかにもopenbugbounty.orgに類似するドメインが存在するようです。
openbugbounty.net
openbugs-bountty.de
openbugsbounty.de
など、疑義のあるドメインの存在が確認できました。
バグナンバーでGoogle検索
OpenBugBountyは、バグを通知する際に、通し番号(バグナンバー)を付与して管理しています。
OpenBugBountyを偽装して詐欺メールを送っている人は、仕事がやや荒いようで、同じバグナンバーで大量のメールを送信しています。
たとえば、わたしが受け取ったメールに記載されていたバグナンバーは、以下のTwitterの主(ドイツ人)にも、同じバグナンバーのメールを送っていたようです。
メールに記載されていたバグナンバーでググったら、すぐに見つかりました。もうこれで、詐欺メール確定です。
OpenBugBountyからメールが来た場合の対処法
以上をまとめると。
- OpenBugBountyはちゃんとしたWebサービス
- ただし、OpenBugBountyを名乗って何かをしようとしている人がいる。
偽物のメールの特徴は、
- メール上のURLをクリックすると、404(Not found)になる。
- メール送信元のドメインが、openbugbounty.orgではない。
基本的に、この2点を確認すれば、偽メールは見抜けると思います。
偽メールと判断できたら無視。いっぽう、本家からのちゃんとした警告であれば、OpenBugBountyの公式HPで大まかな内容を確認し、記載されている担当者にメールで連絡をとってみてもよいでしょう。
対処の必要性は慎重に判断
ただし、本物のOpenBugBountyからの指摘であっても、必ずしも対処が必要なケースばかりではないようです。ネット上のいろいろな人の意見を見てみると、放置しても問題ない軽微なバグや、すでに他の方法で対処済みで問題視する必要がないバグについての警告もあるようです。そういう軽微なバグをリサーチャーが報奨金目的であえて指摘してくる場合もあるようなので、ケースバイケースで対応する必要がありそうです。
また、いったん指摘を受け入れて報奨金を支払うと、
「この人は報奨金を払ってくれる人」
という情報が広まるようで、他のリサーチャーからも次々と軽微な問題点を指摘される、というケースもあるようです。
追記
メールを受け取った数日後、あらためてメールに記載されたURLをクリックしてみたところ、404(ページが存在しません)ではなく、以下の警告ページが表示されました。
内容を要約すると、
このリンクをメールで受け取った場合は、メールを削除して内容を無視してください。
本物のOpen Bug Bountyのメールは、デジタル署名されています。あなたが受信した電子メールの作成者とは無関係です。
また、Open Bug Bountyが通知を送信するために使用するドメインはopenbugbounty.orgのみです。他のすべてのドメインは、当社と無関係です。
対処してくれたようですね。
このURLについては対処してくれたようですが、URLを変えて同じような偽メールを送る人はいるでしょうから、慎重に真偽を見極めてください。
