『詐欺メール』『【三井住友銀行】お取引確認の必要がございます。』と、来た件

本日『三井住友祭り』開催中？！

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. ★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

いくら何でも7通はいけません

今日は『三井住友祭り』でもやっているのでしょうか？
朝から『三井住友』を騙る詐欺メールが横行しています。

この7通のうち5通が送信者を『三井住友銀行』と名乗り、2通が『三井住友カード』を名乗っています。
でも、件名を見るとなぜだか内3通が『三井住友銀行』と名乗ると言う不思議な現象が起きています。(笑)
更に、1通だけ送信者名の『銀』の文字が中華フォントで表示されています。(;^ω^)

ではこの中から、一番新しそうなこちらのメールを解体してみようと思います。

気になってマーキングしちゃいましたが、『お客様』を連呼したり、『リンクをアクセスし』なんて
日本語の表現がおかしかったり。
更に末尾には自分の首を絞めるような『電子署名付き電子メール』に付いてのくだりまで
掲載してしまっています。(笑)

まずはプロパティーから見ていきましょう。

件名は『[spam] 【三井住友銀行】お取引確認の必要がございます。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”【三井住友銀行】” <dwx@smbc.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

三井住友銀行の公式ドメインを使ったメールアドレスが記載されていますが、当然そんなのはウソ。
間違いなく偽装されています。

あっさりと仮面ははがれる

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from smbc.co.jp (unknown [42.54.159.170])』

”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”smbc.co.jp”が差出人本人のものなのかどうかを
調べてみます。

（IPアドレスが取得しやすいように敢えて頭に”www.”を追記して検索しています)

これがドメイン”smbc.co.jp”の登録情報です。
これによると”23.33.36.98”がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは”smbc.co.jp”ではありません。
これでアドレスの偽装は確定です！

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

送信に利用されたのは、『China Unicom Liaoning Province Network』と言う中国のプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『中国遼寧省瀋陽市瀋河区』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

シンガポールで運営されている詐欺サイトは？！

では引き続き本文。

いつも三井住友銀行をご利用いただきありがとうございます。

当社では、犯罪収益移転防止法に基づき、お取引を行う目的等を確認させていただいております。
また、この度のご案内は、当社ご利用規約第 2 条 6 項 7 に基づくご依頼となります。

お客様お客様の直近の取引についていくつかのご質問がございます、下記のリンクをアクセスし、ご回答ください。

お取引確認

※一定期間ご確認いただけない場合、口座取引を一部制限させていただきます。
※回答が完了しますと、通常どおりログイン後のお手続きが可能になります。

お客様のご返信内容を確認後、利用制限の解除を検討させていただきますので、できる限り詳細にご回答ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『お取引確認』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”cbvipbuyer.com”
このドメインにまつわる情報を取得してみます。

管理されているのは、中国江蘇省の方。
そしてこのドメインを割当てているIPアドレスは”43.159.195.30”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているウェブサーバーは、シンガポールにある『Aceville Pte.ltd』なんてホスティングサービス。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、香港。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

開いたのは見慣れたVpassへのログインページ。
もちろん偽サイトですからログインしてはいけません！
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。