🤔
国勢調査の不審なメールは何が目的なのか?
はじめに
ちょっと時期を逸してしまいましたが、国勢調査の不審なメールが来ていました。
見た目はクリックしてしまいそうな構成・内容になっているのがすごいですね。
(文末の「国勢調査オンラインお問い合わせ窓口」のリンクが有効じゃないあたりの詰めが甘い気はしますが)
何が目的なのか、私の知識の範囲で調べてみました。
突然のメール
こんなメールが来ていました。内容・文面はしっかり書いてあって最近のメールはすごいですね。
最後の「国勢調査オンラインお問い合わせ窓口」はリンクが機能してないけど。
動きを見てみる
とりあえずサンドボックス環境で何が起きるか見てみましょう。
回答するボタンの先は ***-88.com なるURLに飛ばされました。
Captchaが出てきました。
本物かな、と思ってソースを見てみると、1,500ms後に自動的に location.href で飛ばされるような雰囲気。見せかけのCaptchaですね。
中国語でコメント書いてありますね。
飛ばされる先にアクセスしてみると、即 本物の国勢調査 のページに飛ばされました。
何が目的なんだろ…
Curlで見てみる
ブラウザだとすぐにページ遷移してしまうので、Curlで見てみることにします。
% curl -v https://***br.com/mykokusei
* Host ***br.com:443 was resolved.
* IPv6: (none)
* IPv4: 170.*.*.*
* Trying 170.*.*.*:443...
* Connected to ***br.com (170.*.*.*) port 443
~omit~
* using HTTP/2
* [HTTP/2] [1] OPENED stream for https://***br.com/mykokusei
* [HTTP/2] [1] [:method: GET]
* [HTTP/2] [1] [:scheme: https]
* [HTTP/2] [1] [:authority: ***br.com]
* [HTTP/2] [1] [:path: /mykokusei]
* [HTTP/2] [1] [user-agent: curl/8.7.1]
* [HTTP/2] [1] [accept: */*]
> GET /mykokusei HTTP/2
> Host: ***br.com
> User-Agent: curl/8.7.1
> Accept: */*
>
* Request completely sent off
< HTTP/2 302
< server: nginx
< date: Sat, 11 Oct 2025 02:00:45 GMT
< content-type: text/html; charset=UTF-8
< location: https://www.kokusei2025.go.jp/
< set-cookie: SITE_TOTAL_ID=*****b582511b283bee5fa40ece*****; Path=/; Max-Age=259200000; HttpOnly
< strict-transport-security: max-age=31536000
<
* Connection #0 to host ***br.com left intact
あ、なるほど、259,200,000秒 = 3,000日のCookieを設定しているってことなんですね。
この SITE_TOTAL_ID なるCookieを見て広告を表示させてるってことなのですかね。
おわりに
このサイトからフィッシングするのが目的というより、このサイトでトラッキング用のIDを埋め込んで、そのIDに基づいて広告を出すとか、何か別のことに使っているような感じでした。
あまりWeb広告業界に詳しくはないですが、そういうやり方もあるんだなーと勉強になりました。
Discussion