【危険】『eオリコカードご利用に関するご確認のお願い』メール、実例と見分け方
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
昨日から数通「eオリコカード」を名乗るメールが届いています。
少し検索してみると「オリコカードから送られてくるメールのドメインは?」と言うキーワードで検索されている方が多いようで、多くの方に怪しいメールが届いていることを示していますよね。
ならば取り上げない手は無いなってことで今回は、「オリコカード」に成り済ます不審なメールのご紹介となります。
では、詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] eオリコカードご利用に関するご確認のお願い
送信者: “e-Orico株式会社" <527tmlmh@mailverification.cfd>
eオリコカード|ご利用明細の通知
日頃よりeオリコカードをご愛顧いただき誠にありがとうございます。
お客様のカードによるお引き落としが正常に完了いたしました。
下記のリンクより、詳細なご利用明細をご確認いただけます。
万が一、身に覚えのないご利用がございましたら、速やかに弊社までご連絡をお願いいたします。
ご利用明細の確認はこちら
※本メールは送信専用です。返信はお受けできません。
ご不明な点はeオリコカスタマーセンターまでお問い合わせください。
↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています
このメールは「フィッシング詐欺」の可能性が非常に高いです。
お手元のメールは、オリコカードを装って偽のサイトへ誘導し、クレジットカード番号や暗証番号、個人情報を盗み取ろうとする詐欺メールであると考えられます。
その理由と対処法を整理します。
不審・危険なポイント
- 送信元のメールアドレスが不自然
送信者名が「e-Orico株式会社」となっていても、実際のアドレスが「527tmlmh@mailverification.cfd」という無関係なドメイン(末尾が .cfd など)になっています。
公式のオリコからのメールは通常「@orico.co.jp」 などのドメインを使用します。 - 「お引き落としが正常に完了」とだけ書いてある
金額・利用日・店舗名が一切書かれておりません。
通常本物の利用明細通知なら、最低限の情報が記載されます - 不安や確認を煽る内容
「正常に完了しました」と一見安心させる内容ですが、「身に覚えのない利用」という言葉を混ぜることで、受信者に「確認しなければ」と思わせる心理的な手口です。
推奨される対応
- このメールは無視 or 削除
- ブラウザや公式アプリから自分で「eオリコ公式サイト」にアクセスし実際に利用明細に不審な請求があるか確認
- 不安なら公式サイトに載っている電話番号からカスタマーセンターへ連絡
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from mailofficecenter.cfd (unknown [38.60.125.80])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「mailofficecenter.cfd」なんてドメインが記載されていますね。
もうこの時点で偽メール確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからそのロケーションを「IP調査兵団」で導き出してみると、ロサンゼルス付近です。
日本のクレジットカード会社が、日本の会員向けに送るシステム通知をわざわざ海外のホスティングサーバーから配信することはまずありません。
この「ロケーションの不一致」は、フィッシング詐欺を見分ける上での決定的な証拠となります。
リンク先のドメインを確認
さて、本文の「ご利用明細の確認はこちら」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://ori.loginservice.cfd/v8/alogin/Orilogin?track=5182265412565】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りオリコカードのドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインに関する詳しい情報を「Grupo」さんで取得してみます。
割当てているIPアドレスは「172.67.188.63」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、カナダのトロント市庁舎付近であることが分かりました。
ここに記載されている通り、利用されているプロバイダーは「Cloudflare(クラウドフレア)」のようですが、これは Cloudflareというネットワークサービスの共有IPアドレスです。
Cloudflareは世界中に拠点があり、アクセスした人に一番近い拠点が表示されるだけで運営者・犯人の場所ではありません!
この調査結果から、犯人がどのように足を隠しているのかを考察すると。
このIPアドレスは、世界中の膨大な数のサイトが共有しているものです。
犯人の本当のサーバーの前に、Cloudflareという大きな壁を立てることで、攻撃者の本拠地を特定しにくくしています。
アクセス元・タイミングによっては、ロサンゼルスであったり、東京であったり、今回の様にトロントであったりと別の拠点IPが返ることがあります。
これは Cloudflare のエッジ拠点に過ぎませんからここに詐欺サイトが設置されているとは限りません。
「オリコカード」のような超大規模サービスが、わざわざこのような安価な個人利用も多い共有設定でログインページを運用することは考えにくいです。
通常、大企業は自社専用、あるいは強固に管理されたネットワークインフラを使用します。
Cloudflareサービスには詐欺にとって更に以下の利点があります。
- 本当のサーバIPを隠せる
- 無料・即日で使える
- HTTPSが簡単
- 通報されても別ドメインへ即切替可能
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと「確認中… 少々お待ちください。」と書かれたページで一向に先に進みません。
これはフィッシング詐欺サイトがよく使う「時間稼ぎ」や「フィルタリング」の手法である可能性が高いです。
犯人は、スマホやタブレットからのユーザーを対象にしていて、PCや特定のブラウザでアクセスしたため、詐欺師がターゲットとしている「スマホユーザー」ではないと判断され、意図的に「待ちぼうけ」にされている可能性があります。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上で資産を操作され詐欺被害に遭うことになります。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「オリコカード」のものと異なるのでこのメールを詐欺メールと判定いたしました。
- オリコカード公式 問い合わせ・注意喚起URL
オリコ公式サイト(トップ) https://www.orico.co.jp/ - 不審なメールに関する注意喚起ページ(公式) https://www.orico.co.jp/security/notices/phishing/
※ここに最新の詐欺事例がまとめられています。 - お問い合わせ窓口(オリコテレホンサービス) https://www.orico.co.jp/support/contact/
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;