確かにアカウント持ってますが… 次から次へとよく作りますなぁ…
今度は、ヨドバシドットコムに成りすまし「パスワード変更の連絡」と題して詐欺メールが
送られてきました。
こちらがそのメール。
 ヨドバシドットコムのアカウントは持っていますが、残念ながら登録したメールアドレスとは
違うメールアドレスに送られてきたので、明らかにフィッシング詐欺メールです。 では、このメールもプロパティーから見ていきましょう。 件名は
「[spam] ヨドバシドットコム:「お客様情報」パスワード変更の連絡」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”yodobashi” <admin@yodobashi.com>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 上手く化けているつもりでしょうけど…
”yodobashi.com”は確かに「ヨドバシドットコムさんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。
あくまで自分は”yodobashi.com”と言い張るので… では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「info@yodobashi.com」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「20220618203851772321@yodobashi.com」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from yodobashi.com (unknown [113.31.115.17])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | この差出人は、あくまで自分は”yodobashi.com”と言い張るようです。
では、その鼻っ柱を真っ二つにするためにまずは、”yodobashi.com”について情報を
取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか?
 ”104.71.148.136”がこのドメインを割当てているIPアドレス。
本来同じでなけれならない”Received”のIPアドレスが”113.31.115.17”ですから全く異なります。
これでアドレス偽装は確定。
この方にはしっかり罪を償っていただかなければなりませんね! この中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
 IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、フィッシング詐欺メールの一大生産地の北京にある「天安門広場東側」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
「ヨドバシ?ドット?コム」…って、こっちが「?」です では引き続き本文。 ■■■「お客様情報」パスワード変更の連絡■■■
(このメールは、配信専用のアドレスで配信されています)お客様のお客様情報変更手続きをおこないました。
内容のご確認をお願いいたします。
(パスワードは、表示しておりません) ———————————————————–
【変更対象の会員パスワード】
会員ID : *****@*****.***
———————————————————– ●変更されたお客様情報
———————————————————–
電話番号
日中のご連絡先電話番号 ご登録情報は、下記「お客様専用ページ」からご確認ください。 ▼お客様専用ページ
h**ps://www-yodobash-com.imtokens.ink(直リンク防止のため一部文字を変更してあります) ———————————————————–
※このメール内容に心あたりのない場合は、お手数ですが、ヨドバシ?ドット?コムお問い合わせ窓口へ至急ご連絡をお願いいたします。 | 「パスワードは、表示しておりません」なんて、パスワードなんか知らないのにね…(笑)
それに最後の行にある「ヨドバシ?ドット?コム」の「?」ってどうしちゃったんでしょうか?(笑) このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。
 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。
 このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”www-yodobash-com.imtokens.ink”
このドメインにまつわる情報を取得してみます。
と、意気込んでみたものの詳しい情報は何故だか取得できませんでした。
唯一所得できたこのドメインを割当てているIPアドレスがこちら。
 このドメインを割当てているIPアドレスは”204.44.94.251”
このIPアドレスを元にその割り当て地を確認してみます。
 ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 一旦はウィルスバスターに遮断されたものの強制的につないでみると、表示されたのはこのページ。
ヨドバシドットコムのログインページです。
もちろん偽サイトですから絶対にログインしないでください!
まとめ 庇節にヨドバシドットコムを騙ったフィッシング詐欺メールでしたね。
メールアドレスが偽装されているのでとても危険ですの注意が必要なメールです! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 