「I saw your profile on Github.」という怪しいメールが届いたと思ったらウェブサービスへの招待だった
目次
君のGithubを見たよ、という怪しいメールが届いた
僕の公開メールアドレス宛にこんなメールが届きました。
From: anujagarwal21@fastmail.fm Subject: Rss reader - github Hi Masahiro, My name is Anuj Agarwal. I saw your profile on Github. I am working on a rss reader project for a while and i have just completed the first fully working version. I'd like to invite you to have a look. Do you mind if i share the demo with you. Thanks, Anuj --------------------- Born developer
要約すると「君のGithubのプロフィールを見たよ!RSSリーダー作ったんだけど、使ってみてくれない?」というメールです。
フィッシングメールっぽい
このメールを見た瞬間は「ふーん、Github見たんだ、ちょっと、嬉しいな。でもめんどくさいな、英語だし」と思ったのですが、じっくり考えてみると「これってトロイの木馬を送り込むフィッシングメールじゃね?」と思い直しました。
というのも、そもそも何で僕なのかがわからない。「Githubのプロフィールを見た」以外に、何も言ってない。相手の素性もまったくわからない。Born developerて何?
それに、RSSリーダーの動作環境のOSが書かれてない。これ重要でしょ。そもそもそのOS使ってなかったらダメなんだし。あ、もしかしてウェブサービスだからかな?
もしローカルで動作するアプリだとしたら、使っているOSを聞かれて、そのOSに合った実行形式のバイナリファイル(もしくはそのダウンロードURL)が送られてくるんじゃなかろうか。そして、そのファイルにはトロイの木馬やウイルスが仕込まれていてたりして…!
不特定多数に送っているっぽい
フィッシングメールであれば、もしかしたら不特定多数に送信しているのではないかと思い、メール本文で検索してみたところ、Conyacで翻訳依頼をしているページがヒットしました。全く同じ文面でした。
「Hi Masahiro」まで同じなのは単なる偶然…? 翻訳を依頼しているcamelmasa氏はたしかにMasahiro Saitoだけど。(僕も真宏)
「Githubのプロフィールを見た」というのがうまい
Githubはソフトウェアエンジニアの履歴書的な要素があり、それを見て連絡をくれたのであれば、何かポジティブな評価をされたのではないか、と思考を巡らせがちです。事実、僕も最初は「ちょっと嬉しいな」と思ったわけです。
ちょっと嬉しい気持ちになると、警戒心が薄れ、思考停止に陥りやすくなります。そういった心の隙を突いたのではないかと推測しました。
返信してみたら返信がきた
とまあフィッシングっぽい理由を並べてみたのですが、仮説にすぎないので検証すべく、「オーケー、詳細を送ってくれ」と英語で返信してみました。そして24時間後くらいに返信が来ました。
以下がその内容です。
Thanks Masahiro. Project name is Feedspot. www.feedspot.com I'm looking for general feedback on the product. Best, Anuj
アクセスしてみたらちゃんとしたウェブサービスだった
メール本文に書かれていた www.feedspot.com をおそるおそる開いてみると、なんとそこには、最近のウェブサービスでよく見るタイプの綺麗なランディングページが!
Feedspot - Social Feed Reader。一見ふつうのウェブサービス風。
もしやこれはシロ?いやいやまだわからんよ、と思いfeedspot.comで検索してみたところ、TechCrunchの記事がヒットしました。ズコー。
Still Missing Google Reader’s Lost Social Features? Feedspot Can Help | TechCrunch
TechCrunchにも載ってるし、会員登録するくらいなら実害は無いので、登録してみました。なんか、ソーシャル的なよくできたRSSリーダーでした。ふーん…。(フィッシングじゃなかったのでつまらない)
ちなみに招待制でもないので誰でも登録できます。
疑いすぎだったかもしれないけど、見知らぬ人からのメールなんて疑うくらいがちょうどいい
今回は単なる疑いすぎだったかもしれませんが、もし本当のフィッシングメールで、気をよくして「ここからダウンロードしてね」みたいなURLが送られてきてホイホイ実行してしまう、というシナリオは十分考えられます。(いやマジで、個人を狙い撃ちされたら、ひっかかりますよ)
というわけで、見知らぬ人からのメールは気をつけるに越したことはないと強がりつつ締めさせていただきます。
コメント / トラックバック