「日本年金機構」を騙る 今朝の名古屋は、どんよりとした曇り空。
そして週明けは。相変わらず業務用メールに紛れ込んだフィッシング詐欺メールの仕分け。(;^_^A
そんな中、新たなフィッシング詐欺メールが届いていました。
そのメールは、特殊法人「日本年金機構」を騙ったこのようなメールです。 
「日本年金機構」は、厚生労働大臣から委任、委託を受けて、保険料の徴収や年金給付などの
年金事業を行う非公務員型の特殊法人。
そんな重要な機関が電気設備に不具合があるなんて考えられません。
それにもし本当なら、電話FAXはおろか執務もマヒしていてそれどころでは無いような気がしますし
この超な重要な機関なら発電機でも用意して然り!
言ってることが姑息すぎます。(笑) では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] 【重要】年金事務所の一部業務停止に関する公告」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”nenkin” <no-relay@nenkin.go.jp>」
”nenkin.go.jp”は確かに「」のドメインですが、件名の”[spam]”から察するところメールは
スパム故に偽装の可能性が大!
その辺りを含め、次の項で見ていくことにしましょう。
厚生労働大臣直轄の特殊法人が香港からメールを?! では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「jreast-update-account@dnhuhbh.cn」 早ッ!もうバレてしまいましたね。(笑)
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
それなのにこのメールアドレスのドメインが”nenkin.go.jp”ではなく
”dnhuhbh.cn”なんて中国のドメイン。
もう100%「日本年金機構」からのメールではありません。 | | Message-ID:「20220516055726634131@dnhuhbh.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from ak (unknown [103.41.65.178])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | もう、偽装は確定していますが、さらに確信を深めるため”dnhuhbh.cn”について情報を
取得してみます。 
”139.9.71.96”がこのドメインを割当てているIPアドレス。
”Received”に書かれているのが”103.41.65.178”ですから全く異なるのでやはり
アドレス偽装されていました。 ”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
かなりアバウトな位置であることにご理解いただいた上でご覧いただくとして。
ピンが立てられたのは、香港の「中環」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
それにしても、厚生労働大臣直轄の特殊法人からのメールが香港からなんて誰が信じるものか!(笑)
リンク偽装発覚 では引き続き本文。 | nenkin-netを定期的にご利用いただきありがとうございます 年金事務所では、電気設備の不具合により、電話及びFAXがつながらない状態になっております。
また、システム停止のため、個別の年金相談などの一部の業務を行うことができない状態になっております。
アカウントに再ログインし、個人情報を確認する必要があります。
お客様には大変ご迷惑をおかけしますことをお詫びいたします。 1か月以上ログインしていないお客さまで、今後も「nenkin-net」をご利用いただける場合 は、 よりも前に、一度ログイン操作をお願いいたします。 | まあ、一生懸命考えたんでしょうが、理由が「電気設備の不具合」なんて小学生レベル。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文に直書きされていて、リンク先のURLがこちらです。 
ん?ここにも差出人のメールアドレスと同様に”nenkin.go.jp”ってドメインが使われていますね。
でも、当然これも偽装されていて、実際に接続されるURLがこちらです。 
“.xyz”は格安で取得できるドメインで、サイバー犯罪によく使われるドメインなので要注意! このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 
このように既に危険サイトと認識されており、カテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”www3.idpas-nenkln.xyz”
このドメインにまつわる情報を取得してみます。 
持ち主は、編めるかアリゾナ州にある「Domains by Proxy」ってドメインプライバシーサービス企業。 このドメインを割当てているIPアドレスは”23.234.241.226”
このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられのは、アメリカカリフォルニア州サンタクラリタ付近。
経験上、ここから多くのフィッシング詐欺サイトが誕生しています。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 開いたのは「ねんきんネット」の偽のログインページ。
間違っても絶対にログインしないでください! 
↓こちらが本物の「ねんきんネット」さんのログインページ。 
若干の相違があるものの、並べて見比べなければ分かりませんね。
まとめ 行政に成りすます有事に便乗するフィッシング詐欺は、実際に事件や情勢に合わせたものが
多いのですが、電気設備の不具合なんて無理やりこじつけの理由作りには笑えました。
内のサーバーのように詐欺メールの件名に”[spam]”と表示されるから分かるのですが
一般の方にこのようなメールが届いたら、もしかして騙されてしまうかも知れませんね!
このように平気で行政や特殊法人に成りすますメールも多いので皆さんお気を付けください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 