『詐欺メール』USPSから「重要なお知らせ」と、来た件

※2019年04月25日追記

どうも『MyEtherWallet』を騙ったSPAMメール、来始めると連続で来るようです。
暫く影を潜めていましたが、このところ連日届くようになりました。

※2018年06月06日追記

今朝も来ていました。
ひょっとして狙われてる？

※2018年05月25日追記

この日の朝、また同じメールが届いています。
懲りない奴だ。

※2018年5月16日追記

この記事に関して「INTERNET Watch」にニュース記事が掲載されました。金曜日、朝一のメールチェックで「MyEtherWallet サポートセンター」を騙るスパムメールを発見。

そもそも「MyEtherWallet」って何？

って話から始まります。
あまり関係ないとは思うものの少しだけ調べてみると。

仮想通貨イーサリアムのウォレットで一番代表的なものだとか…

仮想通貨なんて、私、利用していないし。。。

スパムメール(不特定多数に送り付ける詐欺メール)はホント後を絶ちませんね。

そこで、今回は発信元を少しだけ調べてみることに。

メールの発信元を調べる方法

調べ方は簡単。
メールにはヘッダーってところに一般的には必要でない情報が格納されています。
ヘッダーを見るにはメールソフトによって異なりますが、私の使っている

Thunderbirdの場合は、ヘッダーを見たいメールを選んだ状態でメニューの「表示(V)⇒ヘッダー(H)⇒すべて」と進めば詳しい情報を確認することができます。

この中には発信元のIPアドレスも含まれるので、このIPアドレスを元に発信元の国を以下の方法で調べることができます。

まず、ヘッダーから相手先のIPアドレスを探します。
受信元、すなわち自分の利用しているサーバーのIPアドレスも書かれているので間違えないように。
そのIPアドレスをコピーし「サーバー監視/ネットワーク監視サービス」さんのサイトの「ドメイン/IPアドレス検索」に行き、図のように操作します。

照会ボタンを押すとIPアドレスの詳しい情報が表示されます。
因みに今回のスパムメールの発信元サーバーのIPアドレスは以下の通り中国でした。

更に、そのIPアドレスを使って「KEIROMICHI」で住所まで調べることが…
今回のアドレスは中国の遼寧省中央部に位置する鞍山市(あんざんし)が特定できました。
どこまで正確なのかは「？」ですが、一応うちの事務所が現在利用しているIPアドレスを調べてみたところ京都市役所が特定されました。
うちの利用しているプロバイダー「カゴヤ・ジャパン」さんの本社はもう少し西。誤差は直線距離で約900mです。
ジャストミートではないにしろおおよそ特定できました。
悪いことはできませんね。

★フィッシング詐欺解体新書★

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 【イオンカード】お客様のカードご利用明細の内容をお知らせいたします』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”AEON pay” <support@pit857.com>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン””が差出人本人のものなのかどうかを
調べてみます。

これがドメイン””の登録情報です。
これによると””がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは””ではありません。
これでアドレスの偽装は確定です！

”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、
そして送信に利用されたプロバイダーは『』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。

そのリンク先はGoogleの『透明性レポート』のサイトステータスは
このようにレポートされていました。

コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

ちょっと、ちょっと、安全って…そりゃヤバいでしょ！
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは””
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは””
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、
利用されているホスティングサービスは『』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

★フィッシング詐欺解体新書★

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] ご利用明細更新のお知らせ』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”eオリコサービス” <orico1@zlmwjos.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。

末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン””が差出人本人のものなのかどうかを
調べてみます。

これがドメイン””の登録情報です。
これによると””がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは””ではありません。
これでアドレスの偽装は確定です！

”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、
そして送信に利用されたプロバイダーは『』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。

そのリンク先はGoogleの『透明性レポート』のサイトステータスは
このようにレポートされていました。

コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

ちょっと、ちょっと、安全って…そりゃヤバいでしょ！
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは””
このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは””
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、
利用されているホスティングサービスは『』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

★フィッシング詐欺解体新書★

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 安全なご利用のために：【イオンカード】情報確認の重要性について』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”イオンカード株式会社” <aeon-obk@email.aeon.co.jp>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”はこのメールが差出人から送信された後最初に通過したサーバーのもので
すなわち差出人が使った送信サーバーの自局情報です。
末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
でもこの数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。

このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン””が差出人本人のものなのかどうかを
調べてみます。

これがドメイン””の登録情報です。
これによると””がこのドメインを割当てているIPアドレス。
本来このIPは”Received”のIPと同じ数字の羅列になるはずですが、それが全く異なるので
このメールのドメインは””ではありません。
これでアドレスの偽装は確定です！

”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスはご本人さんのもので
間違いなさそうです。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に危険性や送信に使われた回線情報とその割り当て地を確認してみます。

このIPアドレスを元に割り出した危険度は『脅威レベル：高』
その詳細は『サイバーアタックの攻撃元』表示とされています。

送信に利用されたのは、『』と言うプロバイダーです。

位置情報は、IPアドレスを元にしているので、かなりアバウトな位置であることを
ご承知いただいた上でご覧ください。

代表地点としてピンが立てられたのは、『』付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

では引き続き本文。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『』って書かれたところに付けられていて、
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。
そのリンク先はGoogleの『透明性レポート』の
サイトステータスはこのようにレポートされていました。
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

ちょっと、ちょっと、安全って…そりゃヤバいでしょ！
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは、サブドメインを含め””

このドメインにまつわる情報を取得してみます。

このドメインを割当てているIPアドレスは””
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは『』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのは『』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

本物そっくりのログインページが開きました。
ここにIDとパスワードを入力してログインボタンを押してしまうと、その情報が詐欺師に流れてしまいます。
そして次に開いたページで個人情報を更新させると称しそれらの情報や、更にはカードの情報まで
詐取されることでしょう。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

USPSってさくらインターネットユーザーなの？

事務所のinfoアドレス宛にアメリカの郵便公社「USPS」を名乗る不審なメールが届きました。
もちろんどこからどう見てもフィッシング詐欺メールです。

昭和でもあるまいし「拝啓お客様、」から始まるこのメール。
どうやら荷物が返却される模様ですね。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 重要なお知らせ – ID:5817」
末尾の数字は、このメールに信憑性を持たせるための連番のつもりでしょう。
どのように書こうが残念ながらこのメールには”[spam]”とスタンプが付けられているので
迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「riatw@ik1-415-39881.vs.sakura.ne.jp」
へぇ～っ、USPSって「さくらインターネット」ユーザーなんだ！
だってドメインがさくらインターネットさんの”sakura.ne.jp”になってるもん。(笑)
ったくお馬鹿さんな差出人ですね！(爆)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、差出人のメールアドレスの信憑性について確認するために”Received”に記載されている
IPアドレスでプロバイダー名を確認してみました。

やはり「さくらインターネット」としっかり表示されていますから、この差出人はUSPSを
名乗っておきながら「さくらインターネット」のメールアドレスを本気で使ったようです。
このIPアドレスを元にその割り当て地を確認してみると、「さくらインターネット」の
本社がある大阪市北区付近の地図が表示されました、

では、本文を見ていきます。

返品の理由は「出荷先住所にエラーが含まれています」と書かれており、ステータスには
「支払いを待っています」と書かれています。
ステータスって「状態」みたいな意味ですよね？
普通なら「返送中」とかって書きません？
これじゃ返品理由になってしまい「出荷先住所にエラー」と「支払い待ち」と原因が
2つになってしまいます(笑)

結局のところなんだかんだ言って、リンクを押させたいのが差出人の目的。
そのリンクはメール本文に直書きされていますが、これウソです。
リンクは偽装されていて本当に接続されるリンク先はこちらです。

使われているドメインは”buydownfinancial.com”です。
このドメインの持ち主と割り当て地を確認してみます。

これによると持ち主は「パキスタンのラーワルピンディー」にある企業とされています。
このドメインを割当てているIPアドレスは”50.87.248.38”らしいので、このIPアドレスを元に
その割り当て地を確認してみます。

結果は「アメリカ ユタ州 プロボ」付近の地図が表示されました。

リンクを開いてみるとリダイレクトされました。
飛ばされたサイトはUSPSの荷物追跡ページの偽物です。

このサイトのURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認すると。

ア㎜全制覇「危険」と表示され内容は「正規のWebサイトを偽装してユーザ名やパスワード
などの情報を収集する詐欺サイトです。」と書かれています。

まとめ

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;