難しいの使いだしました
「三井住友銀行」と称したなんだかややっこしい件名のフィッシング詐欺メールが届いていますよ。
件名が漢字ばかりで読むのが面倒です。(汗)
では、このメールもプロパティーから見ていきましょう。
件名は
「[spam] 【三井住友銀行】契約締結前交付書面兼説明書に関する重要なお知らせ」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
どうやら記入サービスや取引きをする際には「契約締結前交付書面兼説明書」ってのが必要なようですね。
差出人は
「三井住友銀行 <SMBC_service@dn.smbc.co.jp>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
上手く化けているつもりでしょうけど…
”smbc.co.jp”は確かに「三井住友銀行」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
偽装確定ですが、コイツ更にやってました…
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「ye@pquulypi.mobi」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
でも、ここには差出人のメールアドレスのドメインとは全く異なる”pquulypi.mobi”
なんてドメインが露出してしまいましたね。(笑)
もう偽装バレバレです…
但しこのドメインもかなり怪しいものですが…
|
| Message-ID:「48CDB6A76183BDBEDC23137E2D879431@pquulypi.mobi」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from pquulypi.mobi (v133-18-211-53.vir.kagoya.net [133.18.211.53])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
ここでも”kagoya.net”なんてカゴヤジャパンさんのドメインが露出…
どうやらこの差出人は「カゴヤジャパン」さんとつながりがあるようです。
|
ま、やるまでありませんが、まずは、”smbc.co.jp”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか?
当然ちゃんと「株式会社 三井住友銀行」さんの持ち物です。
そして”184.26.252.231”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”133.18.211.53”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね!
因みに”Received”に書かれていた怪しいドメイン”pquulypi.mobi”も調べると…
「Domain not found.」なんて書かれていますよね?
もしやと思い「お名前ドットコム」さんで取得可能かどうか確認してみると…
なんと空きドメイン(笑)
この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”133.18.211.53”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ルックアップされたロケーションは、和歌山県紀の川市付近です。
やはり利用プロバイダーの情報は、国内有数のレンタルサーバー「Kagoya Japan Inc.」
このメールは、この付近に設置されたカゴヤジャパンさんのメールサーバーを介して私に届けられたようです。
リンク先のURLをよく見ると判断できます
では引き続き本文。
| いつも三井住友銀行をご利用いただきありがとうございます。
このたび、契約締結前交付書面兼説明書の改訂をいたしますので、ご確認くださいますようお願い申し上げます。
h**ps://direct.smbc.co.jp.gldkly.com/(直リンク防止のため一部文字を変更しております)
ご確認をいただけない場合、セキュリティ上の観点からご利用制限をかけさせていただくことを予めご了承下さい。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。 |
この肩っ苦しい「契約締結前交付書面兼説明書」って書類を改訂したからリンクから確認しろ
と書かれていますね。
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは本文に直書きされていて、リンク先のURLがこちらです。
”smbc.co.jp”って三井住友銀行の正規ドメインっぽい文字も見えますが、このURLに使われている
ドメイン部分はそこではなく”gldkly.com”って部分なのでお間違いなくご注意を!
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、サブドメインを含め”direct.smbc.co.jp.gldkly.com”
このドメインにまつわる情報を取得してみます。
申請者は、ロンドンにある「Apiname」と言うレジストラ。
このドメインを割当てているIPアドレスは”155.94.144.10”
このIPアドレスを元にその割り当て地を確認してみます。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
表示されたのは「三井住友銀行」が運営する「SMBCダイレクト」へのログイン画面。
もちろん偽サイトですから絶対にログインしないでください!
まとめ
差出人のメールアドレスが偽装されていて、本文の内容もそれらしく肩っ苦しいものなので
ついつい信じてしまいそうですが、このご時世ですので信販会社からのメールを鵜呑みに
してはいけません。
リンク先のURLまでしっかり見定め判断してください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |