『詐欺メール』日に2通づつ「ETCサービスご利用者様へ大切なお知らせ」と、来た件

★フィッシング詐欺解体新書★

”etc-meisai.jp”じゃなくて”etc-eisai.jp”

最近「ETC利用照会サービス」さんを騙る詐欺メールがコンスタントに届いております。
日に2通づつで今月に入ってからだけでも同じものが20通。

こんなに毎日、毎日送られてくるのでよほど大切な知らせが有るのかと思えば、書いてあるのは
「ＥＴＣサービスは無効になりました。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。」
とだけ…(笑)
理由も何もありゃしない、ただ単にサービスが無効になったと…
同じような件名で「ETC利用照会サービス」さんを騙るものは既に5度ほどご紹介していますが
余りにも多くて目に余るので改めてのご紹介となります。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] ETCサービスご利用者様へ大切なお知らせ」
こんなのフィルタリングで自動削除してくれえればいいのにね！
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”ＥＴＣ利用照会サービス” <account-update@etc-eisai.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

アルファベットが全角文字でしょ？これ詐欺メールのあるあるですから覚えておいてください。

差出人のメールアドレスに使われているドメインは”etc-eisai.jp”
残念っ！惜しいですねぇ…これじゃ「エイサイ」になってしまいますよ(笑)
「ETC利用照会サービス」さんのドメインは、”etc-meisai.jp”なんですけどね。

コヤツ他にもAmazonなども手広くやってるっぽい

では、改めてこのメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”から推測すると、この差出人は詐欺の常習犯と判断できますね。
きっと、ETC利用照会サービスさん以外にもAmazonはもちろんの事、各種クレカ詐欺にも加担しているはずです

もうこの時点で差出人のメールアドレスのドメインは”etc-eisai.jp”では無いことは明白。
「フィールド御三家」の中で一番重要なのは”Received”
ここでは、”Received”のIPアドレスについて調べることにします。
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”121.33.184.28”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられたのは、「中国広州市」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

サイトはGoogleでは既にブラックリスト入り

では引き続き本文。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ご変更はこちらから」って書かれたところに張られていて、リンク先の
URLがこちらです。

このサイトの危険性をGoogleの「セーフ ブラウジング」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
ここには「個人情報を共有したりソフトウェアをダウンロードしたりするよう訪問者を誘導します」と
書かれています。

このURLで使われているドメインは、サブドメインを含め”orablj43l.rest”
このドメインにまつわる情報を取得してみます。

管理者も登録者もアメリカの「Dynadot」と言うドメイン名登録事業者です。
リンク先の詐欺サイト管理者は、ここに登録申請と管理を依頼しているようです。

このドメインを割当てているIPアドレスは”23.94.200.12”
先程と同じようにこのIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、アメリカジョージア州アトランタ付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

当然の如くChromeが接続をブロックしてきました。

危険を承知で先へ進んでみました。
すると表示されたのは「ETC利用照会サービス」へのログイン画面。
もちろん偽サイトですから絶対にログインしないでください！

まとめ

「ETC利用照会サービス」さんでは、「特設ページ」を設けフィッシング詐欺メールについての
注意喚起を行っております。
ただ、これらのメールに不審と思わなければこのサイトにたどり着くことはできません。
まず、差出人のメールアドレスに注意し、更にリンク先のURLについても気を付けてみてください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;