『詐欺メール』「【重要】※要返信 三井住友SMBCダイレクト ログイン方法変更のお知らせ」と、来た件

★フィッシング詐欺解体新書★

返信を要求する不審なメール

本当に三井住友銀行を騙るメールは多いもので、連発でのご紹介になります。
これは、深夜に届いた、三井住友銀行に成りすますフィッシング詐欺メールです。

今回はログイン方法の変更と銘打っていつもの第三者不正利用を騙るものとは
異なり、新たな切り口から攻めてきていますね。
差出人尾メールアドレスも偽装されているし、件名に[spam,]が無ければコロっと
騙されてしまいそうですね。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【重要】※要返信 三井住友SMBCダイレクト ログイン方法変更のお知らせ」
開封通知を要求するメールは多くありましたが、返信を要求する詐欺メールも初めてです。
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「三井住友銀行 <SMBC_service@dn.smbc.co.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうか？…
”smbc.co.jp”は確かに「三井住友銀行」さんのドメインですが、件名に”[spam]”とあるので
このメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

用心深く何重にも偽装されていた

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

ご覧いただいた通りこの差出人はメールアドレスを偽って送信しています。
これは、特定電子メール法違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

ただ、”Return-Path”にあったドメイン”fbgdpyeoj.net.cn”も眉唾もの。
これも偽装の可能性が高いのでこのドメインについて調べてみます。

あらら、やっぱりですか！
「対応するIPアドレスがありません」って事なので、このドメインは利用することができません。
もしかしてと思い「GoDaddy」さんでこのドメインの空き状態を調べてみると…

あはは！空いてるそうです(笑)
これで”Return-Path”や”Message-ID”もアドレス偽装は確定。
もうこの方にはしっかり罪を償っていただかなければなりませんね！

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”133.18.221.138”は、差出人が利用しているメールサーバーのもの。
少し詳しく調べてみます。

やはり、このメールを送信したメールサーバーは、大手ホスティングサービス「カゴヤジャパン」さん
のものでした。

このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、千代田区の「神田駅」付近です。
よく見ると、このIPアドレスの持つ脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」
攻撃対象は「メール」とされていますから、悪意のある物として周知されているようです。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

あれ？いつの間にか「ビットキャッシュ」になってる(笑)

では引き続き本文。

変更点などが事細かに詳しく書いてありますね。
あれ？でも最後に「今後ともビットキャッシュをご愛顧いただきますようお願いいたします」
とあります。
あらら…もしかして本文を別の詐欺メールから転用して社名を変え忘れましたか？(笑)
ビットキャッシュ株式会社は、電子マネー「BitCash」を運営する企業であり、三井住友銀行とは
つながりが有りません。

どちらにしてもこのメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直書きされていて、リンク先のURLがこちらです。

ここで注意しなければならないのは、このURLのドメイン部分。
このURLで使われているドメインは、三井住友銀行の正規ドメイン”smbc.co.jp”ではなくて
”xsyscl.com”であることです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”direct.smbc.co.jp.xsyscl.com”
このドメインにまつわる情報を取得してみます。

「Could not retrieve Whois data.」って事なので、何らかの原因で有者データを取得できなかったようです。

このドメインを割当てているIPアドレスは”204.152.210.142”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています！
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
まずは、Chromeが接続をブロックしてきました。

危険を承知で「安全でないこのサイトにアクセス」と書かれた部分から詐欺サイトへ行ってみると。
吉高さんと内村さんの写真が掲載されているサイトが表示されました。

ふと、アドレスバーのURLを見ると”https://www.smbc.co.jp/”と正規三井住友銀行サイトに
なっているではありませんか！
リダイレクト(自動転送)されていつの間にか正規サイトに飛ばされていたようです。

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態です。

まとめ

サイトは何らかの理由で正規サイトにリダイレクトするように変更されたようですね。
でも、差出人のメールアドレスは偽装されているし、本文の内容もしっかりしているので
ついついコロっと騙されてしまいそうなメールでしたが、リンク先のURLを見ることで
一目でそれと分かりましたね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;