『詐欺メール』野村證券から『ご利用環境に関する確認のお願い』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
★現在、偽キャンペーンメールが大量発生中、特にポイント付与メールにご注意ください★
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
昨夜から今朝にかけて野村證券と称する者から大量に怪しいメールが届いています。
しかし最近妙に証券会社の名を騙るこのようなメールが非常に目につきますね。
私のように、そういった方面に全く興味の無い人間なら全然平気なのですが、昨今投資など盛り上がりを見せているのでご注意ください。
今からご紹介するのは『ご利用環境に関する確認のお願い』と言う件名のメールですが、このブログのタイトル以外にも同じ内容で以下のような件名の物も届いていますので、このブログで統合してご紹介いたします。
『【重要】環境最適化機能導入に関するご案内』
『【大切なお知らせ】システム確認に関して』
『セキュリティ強化に伴う接続内容の再確認』
『安全対策に伴う接続設定の事前確認について』
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] ご利用環境に関する確認のお願い
送信者: “野村サポートデスク" <alert@entry-nomura.jp>
NOMURA
野村證券
平素より弊社オンラインサービスをご利用いただき、誠にありがとうございます。
近年の情報通信環境の変化および外部リスクの高まりを受け、当社ではシステムのセキュリティ強化を段階的に進めております。 その一環として、2025年4月末を目処に、接続環境に関する情報をもとにした最適化機能の導入を予定しております。
本機能では、IPアドレスや端末情報などの技術的情報を活用し、異常なアクセス経路の検出や操作サポートの自動化などを目的としています。
ご提供いただく情報は、ご本人の環境で継続して安全にご利用いただくためにのみ使用され、本人確認・認証等の目的ではございません。
対応内容(所要時間:約2分)
- 現在ご利用中の環境(IP・地域・ブラウザ等)の確認
- 確認内容をご自身でご確認のうえ、登録完了
- 以後は登録済み環境でのご利用時に一部確認が省略されます
今回のご確認は義務ではありませんが、未確認の場合、一部機能のご利用に際して追加操作が必要となる場合がございます。
➤ 安全なご利用のために環境を確認する
ご確認は一度のみで完了します。
本ご案内はセキュリティ向上施策の一環として自動配信されています。
詳細につきましては、弊社サポートページをご参照ください。
発信元:情報セキュリティ統括部
↑↑↑↑↑↑
本文ここまで
なんか難しい言葉を並べ立てていてなかなか頭に入ってこない内容ですね。
早い話、今後の不正アクセスを防止するためリンクに接続してアクセス環境の登録を行えってことです。
早速『野村證券 最適化機能の導入』でググってみると、迷惑メールの情報ばかりで、野村證券のオフィシャルにつながる情報は見つかりません。😅
この話は、悪意のある人物が作り上げた偽の情報ですね。
このような難しい言葉を並べ立て、利用者を混乱に陥らせた上でリンクに誘い込み、オンラインサービスのログイン情報などを盗み出そうとするものです。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『entry-nomura.jp』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
それっぽいドメインが使われていますが、実際に野村證券が利用するメールアドレスのドメインは『nomura.com』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from vmta2.service1275.com (unknown [112.121.166.26])
また全然違うドメインが出てきました💦
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
では、まずドメイン『entry-nomura.jp』に関する詳しい情報を『Grupo』さんで取得してみます。
『No match!!』と書いてあるので、データーベースに存在しないドメインのようです。
ということは、まだ誰にも取得されていないドメインになるのでこのドメインを使ったメールアドレスも存在しないもの。
故に偽装されていると判断できます。
では次にReceivedフィールドにある『vmta2.service1275.com』についてを同様に『Grupo』さんで取得してみます。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者の本当のメールアドレスで使われているドメインは『service1275.com』ですね。
この情報が正しければ、このドメインの取得者は、愛知県名古屋市北区の方で詳しい住所と氏名までしっかり書かれています。🤐
普通怪しいメールの場合は、ここまで詳しく書かれていることは無いので、恐らくこのドメインは不正に取得されたものか乗っ取られたものかと思います。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、香港付近です。
リンク先のドメインを確認
さて、本文の『➤ 安全なご利用のために環境を確認する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://obeajg346dfoqrm9.com/page/?ref=nomura&ts=1744761266092】
(直リンク防止のため一部の文字を変更してあります)
なんだか野村證券のドメインとは異なるもので、数字を含むとても怪しいドメインが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を『Grupo』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は日本ですが、こんどは情報のほとんどがプロテクトされていて詳細は分かりません。
割当てているIPアドレスは『104.21.64.1』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな、カナダのトロント市庁舎付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここに情報を入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となり口座を不正に操作され詐欺に遭うことになります。
まとめ
野村證券が、自社のものではない空きドメインを使ったメールアドレスで香港からユーザーにメールを送り、カナダのトロント市庁舎付近に設置されたウェブサーバーにあるサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;