マジボケ? 愉快犯? 件名で「View Netカード」の名を騙り、差出人で「株式会社ジェーシービー」に成りすまし
そして差出人のメールアドレスで「NHK」を名乗る奇々怪々なフィッシング詐欺メールが
届いております。(笑)
それがこちらのメールです。
 本文で書かれているのは、JCBカードに関する内容でこの手のメールではよくある「第三者不正利用」を
疑ったものとなっています。 では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] 【View Netード会員サービス】利用のお知らせ」
誰が見ても「View Netード」と記載されていますよね?
ところで、件名の「View Netード」って”カ”抜けてません??(爆)
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「株式会社ジェーシービー <noreply@nhk.or.jp>」
ほらほら、「株式会社ジェーシービー」になってて、メールアドレスのドメインが”nhk.or.jp”と
NHKのものになってます。
と、言うことは、この差出人は、少なくともこれら三社の成りすまし詐欺を行っている証拠にもなります。 しかしこれ、マジでやってんなら相当なおバカさん。
分かってやってんなら愉快犯ってことになりますよね?
さぁどっちなんでしょうか?
「View Netカード」の”カ”が抜けてるくらいだから前者の方ですかね?(;^_^A
やるまでないけど一応調査 では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「noreply@nhk.or.jp」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20220603013103517803@nhk.or.jp」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from noreply0.nhk.or.jp (tk2-238-28540.vs.sakura.ne.jp [160.16.124.44])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過し
”sakura.ne.jp”と見えるので、この差出人は「さくらインターネット」ユーザーです!
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | ま、やるまでありませんが一応儀式として…
まずは、”nhk.or.jp”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか?
 当然ちゃんと「日本放送協会(NHK)」さんの持ち物です。
そして”23.60.108.171”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”160.16.124.44”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね! この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”160.16.124.44”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元に関連情報を確認してみます。
きっと「さくらインターネット」が出てきますよ!(笑)
 ほらね!
プロバイダにしっかりと「SAKURA Internet Inc.」と記載されていますよ! IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、「大阪市北区」付近。
そう、「さくらインターネット」の本社が置かれている場所です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
空いてるのに危険なドメインとは?! では引き続き本文。 【MyJCBカード】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。 つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。 ■ご利用確認はこちら 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、
大変お手数ではございますが、下記URLからログインいただき、 ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。 | 本文には確かに「MyJCBカード」と書かれていますよね?
いったいどれを信じれば良いのでしょうか?… このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「■ご利用確認はこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
 このように既に危険サイトと認識されており、カテゴリは「フィッシング」と書かれています。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。 このURLで使われているドメインは、サブドメインを含め”www.in-jcb.xyz”
このドメインにまつわる情報を取得してみます。
 「対応するIPアドレスがありません」と書かれていますよね?
もしかして、と思い「お名前ドットコム」さんでこのドメインが空いているかどうか調べてみました。
すると…
 「ご希望のドメインが空いています」だって(笑) トレンドマイクロの「サイトセーフティーセンター」では危険なドメインとして知られているようなので
過去のサイトと言うことでしょうか?
これは私の想像ですが、このドメインで過去にフィッシング詐欺サイトを運営していたものの既に
目標を達成し役目を終えたり、もしくは当局に嗅ぎつけられたりしてサイトを閉鎖しドメインを廃棄した
のではないかと考えます。
まあ詐欺師は、誰かから乗っ取ったサイトをいくつも持っているので1つ2つ手放しても居たくも痒くも
無いのでしょうけどね。
まとめ 逃げたのか、それとも最初から愉快犯でサイトなんて作っていなかったのか。。。
それにしても三社を騙るフィッシング詐欺メールなんて初めてですよ。(;^_^A いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 