『詐欺メール』ファミマから『【期間限定】今だけ 3,000ポイントをプレゼント』と、来た件
★フィッシング詐欺メール解体新書★
「生成AI」が普及し増々便利になる私たちが生活する世の中。
詐欺師もこれを逃すはずが無く、怪しいメールにも生成AIが浸透しつつあり
最近では片言の日本語ではなく、違和感のない流暢な言葉を使うメールが多くなりました。
このブログは、悪意を持ったメールを発見次第できる限り迅速にご紹介し
一人でも被害者が少なくすることを願い、怪しく危険なメールを見破る方法の拡散や
送信者に関する情報を深堀し注意喚起を促すことが最大の目的です。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
最初に1点だけ以下の件ご了承ください。
本来ならメールの本文を画像でお見せする方が分かりやすいかも知れませんが、全てを画像化してしまうとGoolgeなどのキーワード検索に反映されず、不審なメールを受取って不安で検索される方に繋がらない可能性が高くなります。
できる限り沢山の方に見ていただき情報が拡散できるようにあえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現にした上で記載しています。
では、進めてまいります。
前書き
まずは、このページのURLを見てください。
末尾の3000って数字は、うちのサイトでSPAMに関するメールをご紹介したブログエントリーの数。
すなわち今回のブログエントリーが3000投稿目ってことになります。
単なる1つのブログ投稿ですが、これまでに刻んできた一つの区切りの記念すべきエントリーになります。
まだまだ全然やめる気もないので、これからも4000、5000と書き続けていきますので、今後とも宜しくお願い致します。
さて、話は変わって本題に。土曜からの三連休が明けた火曜日の朝。
出社しPC電源を投入し受信メールを見ると、SPAMに振り分けされたメールが全部で680通余り…
私のアドレスってどうなっているんでしょう?💦💦
そんな中でひときわ目立っていたのがこれらのファミマからとされる37通のメールたち。
15日の日付が変わってすぐに配信が始まり、今のところ最後の送信が今朝の7時44分で、これまでに合計37通ものメールが私に届いています。
ご覧いただいた通り、件名の冒頭に [spam] と記されているので、これらは全部スパム、すなわちジャンクメールです。
そしてそのほとんどがポイント付与と題されたものばかり。
一応検索ヒットしやすいように、ここに件名の一覧を掲載しておくことにします。
「【キャンペーン】ご利用感謝 3,000ポイント進呈のご案内」
「【ファミペイ特典】ログインして 3,000ポイント獲得」
「【ファミマからのご案内】3,000ポイント獲得チャンス」
「【ファミマ公式】3,000ポイント進呈キャンペーンのお知らせ」
「【ファミリーマート公式】ご愛顧感謝 3,000ポイント進呈のお知らせ」
「【ファミリーマート公式】今すぐ受け取れる 3,000ポイント」
「【プレゼント企画】3,000ポイントを今すぐ受け取れます」
「【ご利用者様限定】3,000ポイントプレゼントのお知らせ」
「【ご確認ください】3,000ポイント獲得のご案内」
「【会員優待】3,000ポイント進呈キャンペーンのご案内」
「【会員限定】ログインで 3,000ポイント獲得できます」
「【期間限定】今だけ 3,000ポイントをプレゼント」
「【特典付与】3,000ポイント進呈キャンペーン開始のお知らせ」
「【特別ご案内】ご利用感謝 3,000ポイントを差し上げます」
「【緊急】ポイント進呈 期限内にお手続きください」
「【重要】ファミペイ会員様へ 3,000ポイント獲得のご案内」
「【限定企画】ログインするだけで 3,000ポイント獲得!」
「ファミリーマートアカウント再確認手続きのお知らせ
「ファミリーマートアカウント情報更新のご案内」
では今回は、そんな中から「【期間限定】今だけ 3,000ポイントをプレゼント」というけんめいのメールにスポットを当ててみていくことにします。
早速詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【期間限定】今だけ 3,000ポイントをプレゼントHR=705695585778
送信者: “FamilyMart" <mizuno_oita118@service.eqrrg.cn>
ファミリーマート ご愛顧感謝キャンペーン
平素よりファミリーマートをご利用いただき、誠にありがとうございます。
このたび、日頃のご愛顧に深く感謝申し上げるとともに、特別キャンペーンを実施いたします。
【特典】
ご参加いただいたお客様全員に、3,000ファミペイポイントをプレゼント!
参加方法
- 下記の「ポイントを受け取る」ボタンをクリック
- 専用ページにログイン
- 簡単な手続きを完了
ポイントを受け取る
キャンペーンは期間限定となっておりますので、ぜひお早めにご利用ください。
※本ページはデモ用のサンプルです。実際のポイント付与は行われません。
© FamilyMart Co., Ltd. All Rights Reserved.
プライバシーポリシー | 利用規約 | お問い合わせ
↑↑↑↑↑↑
本文ここまで
これは偽キャンペーンを利用した詐欺メールです。
この特別キャンペーンに参加すると、3,000ファミペイポイントがプレゼントされると書いてありますね。
これらの不審なメールは、皆さんが様々な登録の際に利用したメールアドレスが漏洩し、専門の業者がその漏洩したアドレスを収集たものを入手した詐欺グループが、こういったメールを送っているので、このメールを受取ったのは、私をはじめ「ファンペイ」ユーザーばかりではありません。
大量のメールを送った中で、ほんの一部の対象者を狙った数打てば当たる方式の詐欺メールです。
このメール、よく見ると本文の背景が白で末尾数行が水色背景と言う詐欺メールの典型的なデザインが採用されたものです。
皆さんもこのデザインを見かけた際はご注意ください。
一人の人物に37通もこの特別キャンペーンのメールを送っているので、日本中、いや世界中に相当数のメールが流されていることと思いますが、もしこれが本当に3,000ポイントものファミペイが付与されるとしたら合計いくらになるのでしょうか?
もしかしたらファミマの存続の危機に陥るような危機が訪れてしまいそうですよね!(笑)
この後、このメールにつけられたリンクまで調査しますが、このところこれら詐欺サイトの規制が厳しくなっており、詐欺サイトが設置されるホスティングサービスはセキュリティの強化が図られ、こういったサイトの多くは設置されるとすぐに閉鎖に追いやられています。
そのためこのメールに付けられたリンクももしかしたらすでに機能を停止している可能もあります。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は「service.eqrrg.cn」
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
もうお分かりですよね?
そうです、末尾が”.cn”ですからこのドメインは中国のトップレベルドメインです。
よく考えてみてください、日本のコンビニがわざわざ中国のドメインを取得しますかね?
それもファミマを待ってく連想させないようなドメインを!
因みにファミマが利用するメールアドレスのドメインは「family.co.jp」です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from service.eqrrg.cn (161.198.82.34.bc.googleusercontent.com [34.82.198.161])
Receivedのカッコ内は、送信者が利用したサーバーが自身で刻む唯一信頼できる部分で偽装はできません。
ここには『googleusercontent.com』と書かれています。
これはGoogleが提供する各種サービスがコンテンツを配信・ホスティングするために使用されるドメインです。
故にこのメールの送信者は、このサービスを利用してこのメールを送信しているようです。
では、試しにドメイン「service.eqrrg.cn」を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが「Grupo」さんで取得したこのドメインに割当てているIPアドレスです。
全然違いますよね、この結果からこの送信者が使ったとされる「service.eqrrg.cn」を使ったメールアドレスは偽装であることが断定できます。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、米国のザ・ダレス(The Dalles)付近です。
それにこのIPアドレスは既にブラックリストに登録されて、そのカテゴリは「サイバーアタックの攻撃元」とされています。
リンク先のドメインを確認
さて、本文の「ポイントを受け取る」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://quanjiatiaol.zzux.com/iyui1e/das123weq12/qw12ee12w32=quanjia/】
(直リンク防止のため一部の文字を変更してあります)
これまたファミマのドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を「Grupo」さんで取得してみます。
「Registrant Name」に「changeip operations」とあり「Registrant Organization」には「REDACTED FOR PRIVACY」と記載されています。
これは、米国のマイアミにあるドメインレジストラ「ChangeIP」が提供するドメインプライバシー保護サービスで、このサービスを利用すると、ドメインの登録者の各種情報(名前、住所、電話番号、メールアドレスなど)が公開されるのを防ぐため、その代わりにこのように、ChangeIPの情報が表示され、スパムや不正アクセスからの保護が強化することができます。
半面最近は、このサービスが藪蛇(やぶへび)になりこういったサイバー犯罪の温床とされることが多く見られます。
割当てているIPアドレスは「165.154.241.77」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、東京都杉並区付近であることが分かりました。
これは最近のトレンドで多くの詐欺サイトがこの付近に設置されています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは「Sorry, your request timed out. Please try again or check your internet connection.」とだけ書かれた真っ白なページ。
先にも書いた通り、恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、ウイルスバスターにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。
まとめ
一応37通すべてのリンク先を確認しましたが、どれも全てエラーページですのもう完全に対策されていました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;