『詐欺メール』「【大切なお知らせ】NHKプラスアップグレードサービスお知らせ」と、来た件

★フィッシング詐欺解体新書★

大切なお知らせとは？

「NHKプラス」への勧誘を騙るフィッシング詐欺メールが最近多く見られます。
今朝もこのようなメールが届きました。

どれも書かれている内容は同じ感じで、NHKプラスのメリットを謳いリンクのURLへ誘いこみ
カード情報を引き出そうとします。
だいたいNHKが一般市民のメールアドレスを知っていること自体がおかしいですよね？

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【大切なお知らせ】NHKプラスアップグレードサービスお知らせ #617-7694986」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

いつも書きますが、末尾の数字はいかにも管理番号のようにも見えますが、これはこのメールに
信憑性を持たせるために付けられたでたらめな連番です。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「NHKプラス <nhk@jmshamu.com>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

「NHK」さんには、”nhk.or.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのようなでたらめなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

IPアドレスは既にブラックリスト入り

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、”Received”にあったドメイン”mail4.jmshamu.com”について調べてみます。

このドメインは、「Registrar URL: http://www.onamae.com」と書かれているので
どうやら「お名前.com」さんに依頼して取得されたようですね。

”107.175.222.167”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスも”107.175.222.167”ですからメールアドレスに偽装はありません。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”107.175.222.167”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、アメリカの「ワシントンD.C.」付近です。
よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「Web」とされていますから、悪意のある物として周知されているようですね。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

直書きのURLはリンク偽装されています

では引き続き本文。

NHKプラスへの勧誘詐欺メールはいつもこのくだりですね。
少し見飽きてしまいました…(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文に直書きされていますが、これ実は大嘘！
実際にリンクを押してみるとThunderbirdからこのように警告が発せられました。

で、実際接続されるリンク先のURLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”www.nhk.plus.blqx.shop”
このドメインにまつわる情報を取得してみます。

申請者は、アメリカアリゾナ州フェニックスにあるIT企業の「See PrivacyGuardia」
このドメインは、これもアリゾナ州フェニックスにあるレジストラ「NameSilo」に
取得依頼をされています。

このドメインを割当てているIPアドレスは”167.160.188.21”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
ここから先は、詐欺サイトなので絶対にマネしないでください！

開いたのは、「日本放送協会ID登録」と書かれたサイト。

ID登録の説明が書かれていて、最下段に「登録手続きへ」と書かれたボタンがあります。
押してみると、このようなページが開きました。

IDとパスワードの入力フォーム画面ですね。
適当に入力して最下段の「放送受信契約情報の入力へ」と書かれたボタンを押してみます。

今度は個人情報の入力フォームが表示されました。
次に進むボタンが「へ進む」だけになっちゃっていますね…(笑)
ここも適当に入力して先に進んでみます。

さて、いよいよクライマックスです。
詐欺師の欲しかった情報はこれですよこれ！
もちろんここは何も入力せずに閉じておきました。(笑)

おまけコーナー

このメールをHTML表示からテキスト表示に切換えてみました。
するとメールの末尾の方に見えていなかった文字があぶり出しのように見えてきました。

マーキングした部分がそれです。
1つ1つはちゃんと読めて意味も分かるので「ワードサラダ」ではなさそうですね。
それになぜ住所にマスクを掛けたのかは不明です。
なんか気持ち悪いですよね…(^▽^;)

まとめ

NHKさんのサイトを覗いてみましたが、しっかりとこのような「注意喚起」がされていました。
皆さんもくれぐれもご注意ください！

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;