1ヶ月ほど前にスクエニ（autoinfo_jp@account.sqoare-enix.com）から

[スクウェア・エニックス アカウント]ログイン制限安全確認のお知らせ

というメールが来てました。
「あやしいアクセスを感知したから、アカウントページでパスワードを再検証してね！」的なメール。

url誘導が怪しすぎるので軽くチェックしたところ、送信者のアドレスが"square"ではなく"sqoare"に。
さらにヘッダを見ると、発信元IPは中国天津のようで、どう考えても偽物です。
そんなわけで開かずに放置していたのですが、先日、同タイトルの2通目が届いたので面白半分に中を見てみました。

中身転載
------------------------------------------------------------------------------
お客様がログインされたスクウェア・エニックス アカウントの接続環境が変化した、
もしくは不審なアクセスを検知したため、ログインが制限されました。
ログイン制限を解除するには、以下の手順に沿ってセキュリティ対策とパスワード
再検証を行ってください。


スクウェア・エニックス アカウントの検証を完了するためには、下記のURLを
クリックしてください。

https://secure.square-enix.com/account/app/svc/Login?cont=account

※上記URLをクリックしてもページが開かないときはURLをコピーし、
ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください。
※上記URLは、送信より24時間経過すると無効になりますので、
有効期間内にURLをクリックしてメールアドレスの登録を完了させてください。
------------------------------------------------------------------------------

どこがフィッシングなのか分からない。
トラップであるはずのULRは、スクエニの正規サイトのもの（実際にアクセスして確認しました）。
注意書きで、無効にならないであろうアドレスを「24時間で無効に」なんて書いてあるところは怪しいですが、コレで情報抜かれるワケないし…。

問題を見つける事ができず、「これじゃフィッシングできないよなぁ…」と悩む訳が分からない状況に。
巧妙な偽装とリダイレクトを組み合わせてるのかなぁとも思ったんだけど、そんな様子も無く…。

で、よくよく調べてみると「このメールは、ご丁寧にplain/html併用仕様で、テキスト表示だとURLは正規のものが表示されるけど、HTML表示だと表示テキストと実リンクがズレている」となっていました。
やっぱメールはhtmlで表示するのは怖いですね…。

ちなみに、偽サイトのURLは本来のURLのケツに「.usa.cc」てのが付いてました(usa.ccは海外の無料ドメインな模様）。