中国のトップレベルドメインでもう、ブログを書いてる最中に次から次に詐欺メールが送られてくるから時間がいくらあっても…(汗)
今度は、またまた「えきねっと」を騙ったフィッシング詐欺メールが届きました。 
「えきねっと」は、JR東日本が提供する、インターネットサービス。
最近この「えきねっと」に成りすますフィッシング詐欺メールが大流行中なんです。
「えきねっと」サイトにはこのように注意喚起もされています。 それにしてもなんだか日本語がちょいと得意じゃない方からのようですね。
では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] 【えきねっと】重要なお知らせ」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”【えきねっと】” <eki-net-update@9b0osc.cn>」
「えきねっと」さんには、れっきとした”eki-net.com”ってドメインをお持ちです。
それなのにこのような”9b0osc.cn”なんて中国のトップレベルドメインを使った
メールアドレスで大切なユーザーにメールを送るなんて絶対にあり得ません!
都内にあるサーバーからの発信か?!では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「eki-net-update@9b0osc.cn」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20220518090217753726@9b0osc.cn」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from 9b0osc.cn (unknown [134.122.225.61])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、”9b0osc.cn”について情報を取得してみます。 
”134.122.225.61”がこのドメインを割当てているIPアドレス。
”Received”に書かれているのと同じですからアドレス偽装はありません。
このドメインの申請者は、私には読めない文字を含む漢字3文字の氏名の方で
管理は中国のIT企業のアリババに委託されていますから、おおよそどこの国の方か
想像できますよね? ”Received”のIPアドレス”134.122.225.61”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。 
かなりアバウトな位置であることをご承知いただいた上でご覧いただくとして
ピンが立てられたのは、「東京都千代田区」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
利用したプロバイダーは、「BGP Consultancy Pte Ltd」とされています。
調べてみるとこのプロバイダーは、シンガポールにあるようです。
脅威の詳細は「匿名プロキシ」とでは引き続き本文。 | 「えきねっと」をいつもご利用してありがとうございました。 「えきねっと」の利用規約と会員資格は5月11日(水)に変更されており、
アカウント情報を更新してお願いいたします。
5月23日(月)の締め切りまでに更新が完了していないユーザーは、会員資格を取り消させていただきます。
ご迷惑をかけして申し訳ございません。
⇒ここをクリックしてログインしてください。 |
「アカウント情報を更新してお願いいたします。」ってくだりはいただけませんね(笑) このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「情報を確認」って書かれたところに張られていて、リンク先の
URLがこちらです。 
またしても中国のトップレベルドメインですね。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。 
このように既にしっかりと危険サイトと認識されており、カテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”support.upj5z.cn”
このドメインにまつわる情報を取得してみます。 
当たり前と言えば当たり前なのかもしれませんが、申請者はメールの時に使われていたドメインと
同一人物でした。 このドメインを割当てているIPアドレスは”198.98.59.219”
このIPアドレスを元にその割り当て地を確認してみます。 
ピンが立てられのは「ニューヨーク州スタテン島」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。
始めてみましたが、サイトの脅威レベルは「中」
脅威の詳細は「匿名プロキシ」とされています。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 残念ながら「404 Not Found」と表示され、サイトは現在存在しないようです。 
詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。
まとめ「えきねっと」さんも災難ですよね。
これほど爆発的に「えきねっと」に成りすますフィッシング詐欺メールが発生するとは…(汗)
「えきねっと」さんには大変申し訳ありませんが、これでは「えきねっと」から届くメールは全て
フィッシング詐欺メールだと思っても差し支えないと言えますね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
