メーデーだろうがお構いなしで いつもご覧いただきありがとうございます! 2,001本目の詐欺メールブログとなります。
3,000本目指して頑張りますのでよろしくお願いいたします。 さて今日は、ゴールデンウィークの谷間の5月1日。
この日は古くからメーデーとして知られていて、労働者たちが集まり、権利を主張する日です。
最近はあまり聞かれなくなりましたが、以前は集会などが大々的に行われ毎年ニュースになっていたのを
覚えています。 さてそんな今日も相変わらず質の悪いメールは届き続けていて、いつものテンプレートを使った
詐欺メールが三井住友カードの名を騙って送られてきています。
 『パスワード等の入力相違が続きましたので』と言うのは典型的な詐欺メールに使われるくだり。
よく見れば差出人のメールアドレスやリンクのURLには三井住友カードを示すものなどどこにもありません。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【重要】三井住友カードアカウントの再認証が必要です』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『自動メール送信 <no-reply@mlcro-soft.com>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 何ですかこのMicrosoftのような”mlcro-soft.com”なんてドメインは…(^^;) 三井住友カードのオフィシャルサイトでURLを確認すれば簡単に分かりますが
こちらのドメインは”smbc-card.com”です。
自社の公式なドメインが有るにも関わらずそれ以外のメールアドレスで大切なユーザーに
メールを配信することなんて絶対にありません!
香港から発信 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail0.mlcro-soft.com (unknown [104.143.35.99])』 | ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。 では、メールアドレスにあったドメイン”mlcro-soft.com”が差出人本人のものなのかどうかを
調べてみます。
 これがドメイン”mlcro-soft.com”の登録情報です。
これによると”104.143.35.99”がこのドメインを割当てているIPアドレス。
もちろんこのメールは三井住友カードからではありませんが”Received”のIPアドレスと全く同じ
数字なのでこのメールアドレスはご本人さんのもので間違いなさそうです。 ”Received”に記載されているIPアドレス”104.143.35.99”は、差出人が利用したメールサーバーの情報で
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、香港の九龍地区付近。
そして送信に利用されたプロバイダーも香港の『Hong Kong Communications International Co., Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
リンク先のサーバーも香港に設置 では引き続き本文。 | いつも 三井住友カード をご利用いただきありがとうございます。 お客さまのWEBサイトのご利用につきまして、パスワード等の入力相違が続きましたので、
本日より当社サイトのご利用(WEB、スマートフォン 共通)を一時制限させていただきました。
お客さまにはお手数をおかけいたしますが、本人確認後、制限を解除することができますので、
何卒ご理解とご協力をお願い申しあげます。 本人確認をご希望の場合は、以下のリンクをクリックして本人確認を行ってください。
h**ps://tuolit.com ※一定期間ご確認いただけない場合、三井住友カードを制限させていただきます。 | ※直リンク防止のためURLの一部の文字を変更してあります。 このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、三井住友カードのドメインとは全く異なるもので本文内に直書きされています。
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。
 既に『詐欺サイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”tuolit.com”
このドメインにまつわる情報を取得してみます。
 このドメインは中国北京市のどなたかが申請されています。
割当てているIPアドレスは”45.192.178.134”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、先程と同じ香港の九龍地区付近。
利用されているホスティングサービスは今度は中国の『Shenzhen Panshi Yuntian Network Technology』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 どのようなサイトが展開されているかと覗いてみたら、リダイレクト(自動転送)された上で
三井住友カードではなく三井住友フィナンシャルグループのオフィシャルサイトに接続されました。 最初からこのように仕組まれていたのか、それともある時点から何らかの理由でリダイレクトされるよう
変更したのかは、今となっては知る由もありません。
ただ、トレンドマイクロの『サイトセーフティーセンター』での危険度評価から想像するに後者のような
気がしますがどうでしょうね?
まとめ このリンク先が三井住友フィナンシャルグループのオフィシャルサイトに接続されたからと言って
安心なんてできません。
いつまた詐欺サイトにリンク先を変更するか分かりませんからね! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 