簡体字中国語フォントで? 最近時々送られてくる「ヤマト運輸」を騙る詐欺メールが、今朝もまた届きました。
 どうやら国際郵便の宛先と電話番号に誤りがあるとのこと。
このメールでは、誤りを修正するためにリンク先で手続きをするように促しています。
って、ところでどこでヤマト運輸が私のメールアドレスを入手したのでしょうか?
住所も電話番号もわからない私のメールアドレスを…(;^_^A それにこのメールのフォント妙に気になりますよね?
と思って文章の一部をWORDにコピペしてみたところ、このフォントは「Microsoft YaHei UI」と言う
簡体字中国語フォントであることがわかりました。
 ヤマト運輸さんが簡体字中国語フォントでメールを送りますかね…(笑) では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。 件名は
「[spam] 【ヤマト運輸】サービスをご利用頂き、誠にありがとうございました。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”ヤマト運輸” <kuronekoyamato@iusingtts.shop>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 何ですかこの”iusingtts.shop”なんてドメインは…
調べてみたところ「ヤマト運輸」さんには、”kuronekoyamato.co.jp”って正規ドメインを
お持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
メールを送るなんて信用問題に関わる大きな問題ですよね。
「天安門広場東側」付近のサーバーを利用 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「kuronekoyamato@iusingtts.shop」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「202301280500121041334@iusingtts.shop」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from iusingtts.shop (unknown [106.75.246.217])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | メールアドレスに使われているドメインがヤマト運輸のものではないので、このメールは
もう明らかに偽装されています。
では、メールアドレスにあったドメイン”iusingtts.shop”について調べてみます。
 「国/地域」がなぜだか「 中華人民共和国 ( 新潟 )」となっているのはご愛敬…(;^_^A ”106.75.246.217”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですから、差出人は偽っているものの自身が持つメールアドレスを
使い私にこのメールを送ってきたようです。 「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”106.75.246.217”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、フィッシング詐欺メールの一大生産地の北京にある「天安門広場東側」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
再配達料金の支払い理由にクレジットカードの情報を盗み取る では引き続き本文。 【ヤマト運輸】サービスをご利用頂き、誠にありがとうございました。
香港からの国際郵便物が配送されますが、宛先と電話番号に誤りがありましたため、配送できないことになっています。下記通り、配送情報をご補充ください、1~2営業日以内に改めて配送を手配いたします ヤマト運輸
通常の使用に影響を与えないために。ヤマト運輸 管理コンソールにログインし、所定の手順でお手続きください。 状態: は更新待ちです 400;=”” color:=”” #3c4043;=”” padding-bottom:=”” padding-top:=”” padding-left:=”” margin:=”” 0px;=”” padding-right:=”” 0px?=””>
情報更新 *また、100円の再配送料がかかります。
ご迷惑をおかけして申し訳ございません。
ご了承のほど、よろしくお願い申し上げます。
*注意:48時間以内にご返信のない場合、差出人に返送されることになります。
——————————-
※このメールアドレスは送信専用になっております。本メールに返信いただきましても、お答えする事は出来ませんのでご了承願います。 ヤマト運輸株式会社 | 途中なぜだかタグが露出しちゃっていますね(笑) ヤマトさんって再配達に100円掛かりましたっけ?
それに、配送前じゃなかったんでしたっけ?(笑)
これ、実はこのメールの大きなポイントで、後に再配達料金の支払い理由にクレジットカードの情報を
盗み取ろうとしてきます。 このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「情報更新」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価はこちらです。
 このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”www.kuronekoyamato.dzxbj.com”
これまた「ヤマト運輸」さんには全く関係のないドメインが使われています。
このドメインにまつわる情報を取得してみます。
 詳しい情報はほとんどがプライバシー保護されていますが、申請登録は日本からのようです。 このドメインを割当てているIPアドレスは”107.189.6.218”
このIPアドレスを元にその割り当て地を確認してみます。
 こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。 ピンが立てられのは、ベルギー、フランス、ドイツに囲まれた小さな国ルクセンブルク付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
 なんだか間延びしたバナーが並ぶ明らかに怪しげなサイトです。 下の方へスクロールしてみると、個人情報の入力フォームが。
 先に進むのは遠慮しておきますが、この先で再配達料金の100円を徴収することを理由に
クレジットカードの情報入力画面が表示されることでしょうね。
まとめ 詐欺メールを見破る方法をいくつかご紹介しました。
差出人のメールアドレス、本文のフォント、リンク先サイトのURL
こう言った部分に目を向けることで詐欺を未然に防ぐことができますのでご参考にされてください。 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 