日本語が怪しいぞ! いつもご覧くださりありがとうございます。 あの忌まわしい流行病のお陰でネットショッピングされる方が相当多くなったようですが 皆さんもネットショッピングをよくされますよね? お買い上げ商品は、必然的に宅配業者によってご自宅や勤務先等へ届けられるわけですが 私も、ネットショッピング派で宅配が日常茶飯にやってきます。 そんな通販の宅配も詐欺の格好のネタでして、時々宅配業者を装い、ありもしない再配達料金 と称し、クレジットカード情報を盗もうとする輩に出くわします。 今回は、そんな宅配業者の名をかたったフィッシング詐欺メールのご紹介となります。 その憎き詐欺メールがこちらです! 『商品が発送されました!』から始まる本文。 友達でもあるまいし普通ならここに『!』って付けませんよね?(;^_^A 『2024/03/01 にで注文した商品が発送されました』って… あなた、日本人じゃありませんね?(;’∀’) それに 『もし商品に対するお問い合わせなどございましたら、 本メールに記載のお問い合わせ先までお知らせくださいませ。』 と記載されていますが、どこにその問い合わせ先の記載があるのでしょうか? こんなメールケチを付けだしたらきりがないので、さっそく解体し詳しく見ていきましょう! まずはプロパティーから見ていきます。 件名は『[spam] 商品発送通知:ご購入いただいた商品は佐川急便で発送されました。』 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は 『”佐川急便” <customerlogin-support@sagawa-notice.shop>』 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 佐川急便のオフィシャルサイトでURLを確認すれば簡単に分かりますが、佐川さんの公式ドメインは ”sagawa-notice.shop”ではなくて”sagawa-exp.co.jp”です。 自社公式ドメインがあるのに、それとは異なるドメインメールを使うなんて考えられません。 よってこの差出人は佐川急便関係者ではなさそうですし、このメールアドレスだって眉唾化も しれませんよ! その辺りは、次の項で詳しく確認していきます。 佐川急便がオランダのアムステルダムからメールをね… では、このメールが悪意のあるメールであることを立証していきましょうか! まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。 私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で 同じ数字の集まりは世界中に1つしかありません。 因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは 送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法 違反となり処罰の対象とされます。 ※特定電子メール法違反 ・個人の場合、1年以下の懲役または100万円以下の罰金 ・法人の場合、行為者を罰する では、メールアドレスにあったドメイン”sagawa-notice.shop”が差出人本人のものなのかどうかを 調べてみます。 これがドメイン”sagawa-notice.shop”を割当てているIPアドレスの情報です。 これによると”2.57.122.82”がこのドメインを割当てているIPアドレス。 末尾の数字だけ異なるので、同じネットワークグループからの発信なのでしょうか? これでは偽装しているとは断定できなさそうです。 ”Received”に記載されているIPアドレス”2.57.122.213”は、差出人が利用したメールサーバーの情報で これを紐解けば差出人の素性が見えてきます。 このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、オランダのアムステルダム付近。 そして送信に利用されたプロバイダーは、イギリスに拠点を置く『Unmanaged LTD』 このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー を介して私に届けられたようです。 まだ現時点では『疑わしい』という評価 では引き続き本文。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。 そのリンクは、赤文字で示した数か所に付けられておりって書かれたところに付けられていて コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では このように判定されていました。 まだ新しいサイトなのでしょうか? 危険とは判断されておらず『疑わしい』という評価とされていますね。 このURLで使われているドメインは”bjcc.za.com”と、もうこの時点になると佐川急便の 影は全くなくなっていますね。(笑) このドメインにまつわる情報を取得してみます。 このドメインは、透明でドメイン取得の代行を行っていることで知られる『Domains By Proxy, LLC』 が申請を行ったドメイン。 恐らく犯人は、申請者が特定されないようにここを利用したと思われます。 割当てているIPアドレスは”172.67.148.218” このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。 (※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、多くの詐欺サイトが存在する『トロント市庁舎』付近。 利用されているホスティングサービスは『Cloudflare』 この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 相変わらず日付のバグった偽のコピーサイト トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の 詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。 そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。 案の定、あっさりと開いてしまったのはこのような佐川急便のコピーサイト。 まあ佐川急便の偽サイトでよく使われているものです。 相変わらず日付がバグっていますね。(笑) 修正する気はないのでしょうか? 見ててくださいよ、『再配達』ボタンを押すと、次に再配達料の請求画面に切り替わりますよ! ほらね!(;^_^A 面倒なのでこの辺でやめておきますが、次のページでクレジットカード情報を入力させられることでしょう。 まとめ いかがでしたか? これが宅配業者を装ったフィッシング詐欺の手口です。 何が何でもカードの情報が引き出したいからありもしない再配達料の徴収をネタにしているのです。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |