『詐欺メール』『【緊急連絡】ETCサービスは無効になりました』と、来た件

★フィッシング詐欺解体新書★

『尊敬するお客様』から始まるのは詐欺メールの証拠

毎日、毎日、懲りずに送られてくるのがAmazonを騙った詐欺メールと、この『ETC利用照会サービス』を
騙った詐欺メール。
最近の主流は、長い間ログインの無い方はリンクから個人情報を更新しろと言ったものでしたが
今朝は少し手法を変え第三者の不正利用を疑うものとなっています。
ま、どちらにしてもリンクに誘い込んで個人情報やカードの情報を盗み取るのが目的ですが。

我慢できずに落書きしちゃいましたが、改行の後に”ont>”なんてタグの残骸が見えちゃっています。
恐らくは”<Font>”の残骸でしょう…(笑)

それに冒頭の挨拶『尊敬するお客様』なんて海外企業が翻訳して送ったのならともかく国内企業がこのような挨拶を
使うはずがありません。
更に言うと、このメールは恐らく『ETC利用照会サービス』さんを騙っていると思うのですが、このメールには
その団体名が1つも無く、送信者名には『ETCサービスチーム』と書かれています。
そんなチームどこ探しても存在しないのですがね…(;^_^A

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『【緊急連絡】ETCサービスは無効になりました』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

差出人は
『”ETCサービスチーム” <www@snrxfkc.localdomain>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

『ETC利用照会サービス』さんのウェブサイトへ行けば分かると思いますが、こちらの公式な正規ドメインは
”etc-meisai.jp”でこのようなドメインではありません。
ましてや”snrxfkc.localdomain”なんてローカネットワークのテストに使うようなドメインであるはずが
ありません！

インターネット上で利用できないドメイン

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

いつもなら、メールアドレスにあったドメイン”snrxfkc.localdomain”が差出人本人の
ものなのかどうかを調べるのですが、先程書いた通りこのドメインはローカルネットワークで
使用するもので、インターネット上では利用できないドメインのため調べてもこのように
エラーが返されてしまいます。

ですのでこの時点で既にメールアドレスは偽装確定です。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字”198.148.118.125”は、そのサーバーのIPアドレスになり、これを紐解けば
差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、『Multacom Corporation』と言うロサンゼルスに拠点を置くプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのもロサンゼルスの『サンタクラリタ』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

悪名高き企業がドメイン管理者

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『クリックしてログインします』って書かれたところに付けられていて、
リンク先のNorton『Safe Web』での危険度評価がこちらです。

今のところは疑わしいサイトとしてしか登録されていないようです。
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは、サブドメインを含め”etc-mrcaojp.stampssusus.shop”
ETCらしき文字はありますが『ETC利用照会サービス』さんには全く関連性の無いドメインです。
このドメインにまつわる情報を取得してみます。

このドメインを管理しているのは『Chengdu West Dimension Digital Technology』と言う中国企業。
調べると、詐欺メール界隈では結構悪名高き企業のようです。
割当てているIPアドレスは”104.21.16.157”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

リンク先ウェブサイトが利用しているのは『Cloudflare』と言うプロバイダーののサーバー上。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、カナダの『トロント』付近。
この辺りに設置された『Cloudflare』のウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

しっかりとセキュリティーの整った環境下でリンク先に行ってみました。

当然開くのは、偽の『ETC利用照会サービス』さんのログイン画面。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

『ETC利用照会サービス』さんのサイトへ行ってみるとわかりますが、業務に支障をきたすほど
問合せや苦情電話が多いようです。
ま、私のところにもこれだけ届いてればそりゃそうでしょうね…(^^;)

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;