『詐欺メール』Adobeから『署名検証: 契約検証』と、来た件

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

タイの銀行が電子署名を求めてきた？！

いつもご覧くださりありがとうございます！

またなんだかさっぱりよく分からない不気味なメールが届きました。
『Powered by Adobe Acrobat Sign』とありますが、なんでしょうねコレ？

件名：[spam] 署名検証: 契約検証 Wednesday, January 22, 2025
送信者 “Adobe© Sign on ○□△” <stndxdg9926@ma.pikara.ne.jp>

文書があなたに共有され、ご確認と署名をお願いいたします。
契約書/請求書の支払い確認して署名
受取人admin@******.***

ご都合の良い時に、ご意見と署名を添えてご確認お願いいたします。

署名後、すべての関係者に最終のPDFコピーがメールで送信されます。

このメールを転送しないでください。署名したくない場合は、他の誰かに委任しても構いません。

続行することで、この契約書は電子署名または手書き署名によって署名される可能性があることに同意します。

当社のメールを引き続き受信できるよう、アドレスブックまたは安全なリストに adobesign@adobesign.com を追加してください。

利用規約 | 虐待の報告

******************************************************************************************************************* “このEメールに記載されている情報は、上記の受取人（受取人たち）専用です。これには機密情報、所有権があるか法的特権を有する素材が含まれることがあります。もし意図されていない受取人であれば、直ちに削除し、システムからすべてのコピーを破棄し、送信者に通知してください。この情報に基づいて行われる再検討、再送信、広報、またはその他の使用、あるいはその情報に依存して行われる行動は禁止されています。このEメールに含まれる情報、添付ファイル（あれば）を含む、意見、コメント、記述された情報は、すべて著者のものであり、その正確性、完全性、正確さは保証されていません。KASIKORNBANK PUBLIC COMPANY LIMITEDは、このEメールで送信されたウイルスによる損害や損失を含む、その内容について責任を負いません”

『契約書/請求書の支払い』なる書類に意見と署名を添えて確認するように書かれています。
ということは、契約書もしくは請求書に電子サインをしろってことでしょうか？
何処からの書類なのかさっぱり分かりませんが、最後の方に『KASIKORNBANK PUBLIC COMPANY LIMITED』とありますが『KASIKORNBANK』ってどこの銀行でしょう？
もしかしてこの銀行の書類なのでしょうかね？
まずはこの『KASIKORNBANK』について調べてみることにします。

以下はChatGPTで調べた内容です。

タイに本社を置く『カシコーン』と言う銀行で、日本にも拠点があるようですね。
ということはこのタイの銀行が『Adobe Acrobat Sign』を通して私に電子署名するように求めてきているのでしょうか？
でもこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類なのが分かります。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

これはAdobe Acrobat Signからのメールではない

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”ma.pikara.ne.jp”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
再びChatGPTで『Adobe Acrobat Signからのメールアドレス』として調べてみるとこのように返されました。

Adobe Acrobat Sign（旧Adobe Sign）からのメールは、通常以下のメールアドレスから送信されます：

echosign@echosign.com
adobesign@adobe.com
adobesign@services.adobe.com

『pikara.ne.jp』ってもしかして、四国電力グループが光インターネットを提供している『ピカラ光』のドメインじゃない？
と思って『Grupo』さんで調べてみると…

やっぱりです。
でも『対応するIPアドレスがありません』と書かれているのでこのドメインは、取得されているだけでネット上では利用することができない状態ですね。
ということは、この送信者はメールアドレスを偽装しているようです。
そもそも『ピカラ』が Adobe Acrobat Sign のメールを代筆するはずもありませんもんね！

STNetのユーザーが栃木県小山市から送信

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from osmta0003.stnet.ne.jp (osmta0003.stnet.ne.jp [106.153.228.141])

ほらほら、ここには全然異なる『osmta0003.stnet.ne.jp』なんてまた別のドメインが記載されていますよ。

このドメインについて再び『Grupo』さんで調べてみます。

割当てているIPアドレスがReceivedフィールドのものとぴったり一致しているので、差出人のメールアドレスのドメインであることは間違いないようです。
それにこのドメインは『STNet Computer Network』の持ち主であるようです。
この持ち主は、香川県高松市に本社を置く『STNet』と言う情報通信サービス企業で
一般向けには主にインターネットプロバイダーと知られているようです。
ということはこの送信者は、このプロバイダーの利用者ですね。

先程のReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、『栃木県小山市』付近であることが分かりました。

サイトはワードプレスで作成されたActive!mailの偽サイト

さて、本文の『確認して署名』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://mudanzasmtr.com/wp-admin/mgoya/activemail/index.html】
(直リンク防止のため一部の文字を変更してあります)
ん？『wp-admin』とあるのでリンク先はどうやらブログソフトウエアの『ワードプレス』で作成されたブログサイトのようです。

ひとまずは先程と同様に『Grupo』さんでこのドメインの情報を取得してみます。

このドメインは、アイスランドのレイキャビックの方が、米国のレジストラ『Namecheap』を介して取得されているようです。

割り当てているIPアドレスからそのロケーション地域を調べると、オランダの『アムステルダム』付近であることが分かりました。

リンクを辿ってみると、このようなページが開きました。

あれれ？
これって『Adobe Acrobat Sign』じゃなくてWebメーラーの『Active!mail』のログインページじゃない。
ああ、そう言うことか。
このメールは、電子署名なんかじゃなくて『Active!mail』のアカウントを乗っ取るための詐欺メールだったんですね。
だいたい『ワードプレス』で作成されたブログサイトってところからおかしいと思ったんです。
だったら『カシコーン銀行』は何だったんでしょうね？

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;