ありがちな本文昔からある第三者不正利用を疑うテンプレートを使いアメリカンエキスプレス(以降アメエク)を名乗る フィッシング詐欺メールが届きました。 こちらがそのメールです。 この『このたび、ご本人様のご利用かどうか…』から始まるのは、もう飽きるほど見てきた本文。 あーだこーだ言う必要も無いので早速解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] 【アメリカン・エキスプレスカード】 不正利用に関するお手続き受付のお知らせ』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”アメリカン・エキスプレスカード” <AmericanExpress@zgzyqc.com.cn>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 何度も書きますが、アメエクさんの公式ドメインは”americanexpress.com”です。 公式ドメインがあるのにわざわざこのような”zgzyqc.com.cn”なんて中国のドメインを使って ユーザーさんにメールなんて送るはずがありません!
使えないドメインでは、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 Received:『from mail.zgzyqc.com.cn (unknown [118.194.236.225])』 |
ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので すなわち差出人が使った送信サーバーの自局情報です。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”zgzyqc.com.cn”が差出人本人のものなのかどうかを 調べてみます。 これがドメイン”zgzyqc.com.cn”を検索した結果です。 これによると『対応するIPアドレスがありません』なので、このドメインはどのIPアドレスにも割り当て られておらず利用することはできません。 故にこのメールのドメインは”zgzyqc.com.cn”ではありません。 これでアドレスの偽装は確定です! ”Received”に記載されているIPアドレス”118.194.236.225”は、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。 地図上に打たれたピンの位置は東京にある『杉並区和泉2丁目公園』付近です。 送信に利用されたのは、『Ucloud Information Technology (Hk) Limited』と言う香港に拠点を置く プロバイダーです。 この組み合わせは、詐欺メール調査では頻繁に見掛けるパターンです。
連絡先も書かれていない不親切なメールでは引き続き本文。 ~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~ この度は、利用いただきアメリカン・エキスプレスのカード 誠にありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。 つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。 何卒ご理解いただきたくお願い申しあげます。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。 ■ご利用確認はこちら ご不便とご心配をおかけしまして誠に申し訳ございませんが、 何とぞご理解賜りたくお願い申しあげます。 ~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~ 本Eメールは、自動送信専用メールアドレスからお送りしております。 ご返信いただいてもお応えできかねますので予めご了承ください。 |
末尾にこのメールは送信専用だから返信できないと書かれていますが、署名欄に連絡先も 何も書かれていない不親切なメールですね。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは『■ご利用確認はこちら』って書かれたところに付けられていて、 そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での 危険度評価がこちらです。 既にしっかりブラックリストに登録済みですね。 リンクへ移動してもサイトはブロックされるでしょう。 このURLで使われているドメインは”aosumocoma.com”と、これまたアメエクとは全く異なるドメインが 使われたものです。 このドメインにまつわる情報を取得してみます。 東京で管理されているこのドメインを割当てているIPアドレスは”103.165.81.95” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 利用されているホスティングサービスは『Starbow Ltd.』 今度ピンが立てられたのは、香港の『Tseung Kwan O(将軍澳)』付近。 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 開いたのは例によって本物そっくりの詐欺サイト。 ユーザーIDとパスワードを入力してログインボタンを押してしまうと当然その情報は詐欺犯に流れ 詐欺に遭う結果となります。
まとめ恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |