ヤマト運輸に成りすます不審なメール 私のメールボックスには、相変わらず数限りなく詐欺メールが届き、お正月と言えども
全然ゆっくりさせてもらえません。 2023年第一弾は「ヤマト運輸」を語ったこちらの詐欺メールのご紹介となります。
 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 配送途中でエラーが発生しました」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
おかしいですよね?
本文には「
ヤマト運輸をご利用いただきありがとうございます。
お荷物をポストに投函しました」と記載があるのに件名には「配送途中でエラーが発生しました」と
書かれていますので矛盾しています。
それにこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類なのは明白。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”ヤマト運輸” <info@updatenow.top>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 「ヤマト運輸」さんは、”kuronekoyamato.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
発信元サーバーはオランダに? では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「info@updatenow.top」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20221230064256805227@updatenow.top」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from mail0.updatenow.top (unknown [185.242.86.52])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | すべてのフィールドにメールアドレスにあったのと同じ”updatenow.top”と言うドメインが
使われていますね。 では、このドメインについて調べてみます。
 「Registrant Country: CN」
「Registrant State/Province: Hubei」
とあるのでこのドメインの持ち主は中国湖北省の方。
そして「Registrar: Gname.com Pte. Ltd.」と書かれているから、このドメインは、シンガポールにある
「Gname」というレジストラで登録されたようです。 そしてこちらがこのドメインを割り当てているIPアドレスの情報。
 ”Received”に記載のIPアドレス”185.242.86.52”と全く同じですからメールアドレスに
偽装はなかったようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”185.242.86.52”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、オランダのメッペル付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「.xyz」は危険なしるし では引き続き本文。 | お荷物投函のお知らせ ヤマト運輸をご利用いただきありがとうございます。
お荷物をポストに投函しました。 お荷物情報 12/30/2022 6:42:56 AM 送り状番号 : 7645-5413-2104 荷物を確認する
よくあるご質問・お問い合わせはこちら ご注意 ・このメールへの返信は承れません。 ヤマト運輸株式会社 | このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「荷物を確認する」と「こちら」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での評価がこちらです。
 おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、”free4y.xyz”
”.xyz”ドメインは、格安で取得できるドメインとして有名で、格安故に使い捨てしやすいため
サイバー犯罪に使われることが多いドメインとして知られています。
このドメインにまつわる情報を取得してみます。
 申請者とレジストラの情報は、差出人のメールアドレスドメインと全く同じです。 このドメインを割当てているIPアドレスは”172.245.210.221”
このIPアドレスも先ほどと同じようにその割り当て地を確認してみます。
 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、アメリカテキサス州ダラス付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
送り状番号がメールと違う!? トレンドマイクロの「サイトセーフティーセンター」の評価からすると、おそらくどこからもブロック
されることなく無防備な状態で放置されているであろう詐欺サイトへ安全な方法で訪れてみました。
すると開いたのは、「情報の変更」と書かれたページ。
あれれ?送り状番号がメールに書かれていたものと全く異なりますね。
 ウソだからどうでもいいことですが、架空の荷物は「持戻」と書いてあるので持ち帰ったようです。(笑) 試しに「すぐに更新」と書かれたボタンを押してみます。
すると「再発送しましから、資料を更新してください」などと意味の分からない言葉が書かれた
入力フォームページが表示されました。
 正しい日本語が使われていないこのようなサイトでだれが騙せるのでしょうか?(笑)
まとめ まだ新しい詐欺メールのためかトレンドマイクロの「サイトセーフティーセンター」では未評価でしたね。
しっかりと変更申請しておきましたので近いうちにフィッシングサイトとして変更されるでしょう。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 