「マネーロンダリング」なんて難しい言葉を使い またしても「三井住友銀行」さんに成りすましたフィッシング詐欺メールが到着。  書かれているのは不正なマネーロンダリングが増加しているので、口座確認のためリンクから 口座の所有権を証明を求める内容。 ここで言う「マネーロンダリング」とは、犯罪によって手にいれた収益の出どころや持ち主を わからなくする行為のことを言います。 では、今回もこのメールを詳しく解体していくことにします。 まずは、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 【三井住友銀行】口座所有権の証明(名前、その他個人情報)」 ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「三井住友銀行 <SMBC_service@dn.smbc.co.jp>」 皆さんはご存じでしょうか? この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。 ですから、ここは信用できない部分です。 上手く化けたつもりしょうか?… ”smbc.co.jp”は確かに「」のドメインですが、件名に”[spam]”とあるのでこのメールは 詐欺メール故に偽装の疑いがあります。 その辺りを含め、次の項で見ていくことにしましょう。 架空のドメインで では、このメールがフィッシング詐欺メールであることを立証していきましょうか! まず、このメールのヘッダーソースを確認し調査してみます。 私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「urhzfdk@bxyomrm.org」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 あれま…早速ドメインが”smbc.co.jp”ではなくなりましたね(笑) | Message-ID:「20394783F807887FA734B627CBFCB055@bxyomrm.org」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from bxyomrm.org (v157-7-96-241.en8p.static.win-rd.jp [157.7.96.241])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 | では、メールアドレスにあったドメイン”bxyomrm.org”について調べてみます。  「対応するIPアドレスがありません」と書かれていますね。 もしかしてと思い、バリュードメインさんで”bxyomrm”を”org”が取得可能か検索してみました。 するとこのような結果が!  あはは、このドメイン取得可能なようですよ。 ということは、現在このドメインは空きドメイン。 空きドメインでメールの受送信はできませんからアドレス偽装は確定。 この方にはしっかり罪を償っていただかなければなりませんね! 「フィールド御三家」の中で一番重要なのは”Received” これを紐解けば差出人の素性が見えてきます。 まずはこのIPアドレスを逆引きしてみました。  どうやらこのIPアドレスには”bxyomrm.org”ではなく”en8p.static.win-rd.jp”と言うドメインが 割当てられているようです。 ”Received”のIPアドレス”157.7.96.241”は、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。  IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。 ピンが立てられたのは、東京都千代田区内神田付近です。 よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」 攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。 このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。 ドメインの登録申請は「お名前.com」 では引き続き本文。 いつも三井住友SMBCダイレクトをご利用いただきありがとうございます。 最近、不正なマネーロンダリングが増えています。口座を本人が使っているか確認するため、 口座の所有権を証明するのにご協力ください、以下の情報をご提出ください。 h**s://direct.smbc.co.jp.lsjsxc.com/(直リンク防止のため一部文字を変更しています) ご確認をいただけない場合、セキュリティ上の観点からご利用制限をかけさせていただくことを 予めご了承下さい。 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません | 珍しくきちんとした日本語だなと感心していたのですが、最後の句読点を忘れてしまったようですね。 それは良いとしてこのメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。 そのリンクはメール本文に直書きされていて、リンク先のURLがこちらです。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。  このように既に危険サイトと認識されており、ブラックリストに登録済み。 そのカテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは、サブドメインを含め”direct.smbc.co.jp.lsjsxc.com” このドメインにまつわる情報を取得してみます。  申請者は、「お名前.com」 どうやらリンク先の詐欺サイト運勢者はこちらにドメインの取得を依頼したようですね。 そしてこのドメインを割当てているIPアドレスは”192.161.179.11” このIPアドレスを元にその割り当て地を確認してみます。  こちらもIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」 攻撃対象は「Web」とされています。 ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス付近。 フィッシング詐欺サイトは、この付近に密集しています! この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険と言われると見に行きたくなるのが人情と言うもの。 安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。 表示されたのは、三井住友銀行のトップページのクーロン。  もちろん偽サイトですから絶対にログインしないでください。 まとめ 2020年と2021年の「フィッシング詐欺サイト2021年ブランドランキング」が サイバー犯罪対策情報サイト「オンラインセキュリティ」さんで公開されています。  これを見ると、Amazonを抜いて三井住友カードさんがトップに君臨しています。 もう、三井住友銀行からのメールは最初から疑ってかからないとヤバそうですね! 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの フィッシング詐欺サイトが作られ消滅していきます。 次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |